Хакеры похитили свыше миллиарда рублей у 50 российских банков

22 декабря 2014 года

Свыше 50 российских банков и пяти платежных систем были взломаны начиная с 2013 года активной хакерской группировкой под названием Anunak, сообщает CNews со ссылкой на материалы отчета, опубликованного компаниями Group-IB и Fox-IT.

Первая успешная атака на финансовую организацию в России была проведена в январе 2013 года, а в общей сложности злоумышленникам удалось похитить более миллиарда рублей, причем основная масса хищений пришлась на вторую половину 2014 года.

Для осуществления взлома хакеры поначалу использовали две программы: RDPdoor, которая позволяла получать удаленный доступ к банковской сети, и MBR Eraser для сокрытия следов взлома компьютеров и серверов под управлением операционной системы Windows. В комплект инструментов также входили легальные приложения для удаленного доступа Ammyy Admin и Team Viewer.

Позднее хакеры отказались от RDPdoor и Team Viewer. В 2014 году киберпреступники разработали троян под названием Anunak. С его помощью мошенники похищали логины и пароли для входа в Windows и вносили изменения в файерволы и системные файлы Windows. Кроме того, умело скрывающийся троян выполнял функцию кейлоггера и отправлял скриншоты на сервер злоумышленников.

Одним из методов заражения сетей была рассылка поддельных электронных писем от имени Центрального банка РФ с прикрепленным вложением, которое содержало вредоносный код. Он эксплуатировал некоторые из известных уязвимостей программ, работающих на платформе Windows. Также для заражения хакеры использовали ботнеты, покупая у них списки IP-адресов зараженных систем. Если в этих списках оказывались ПК целевых организаций, злоумышленники осуществляли взлом этих компьютеров через ботнет.

Сообщается также, что в дополнение к банковским и платежным системам хакеры получали доступ к почтовым серверам. Благодаря этому они могли следить за внутренней перепиской сотрудников и вовремя узнавать об обнаружении Anunak. Это позволяло преступникам предпринимать ответные меры.

По данным Group-IB, Anunak продолжает действовать и по сей день. Костяк группировки составляют граждане России и Украины, однако порой они прибегают к услугам фрилансеров, которые помогают им проникать в защищенные сети. Эти исполнители находятся в России, Украине и Беларуси.

За один раз мошенники похищают около двух миллионов долларов. При этом с момента взлома сети финансовой организации или платежной системы до хищения денег в среднем проходит 42 дня.

В отчете отмечается, что, получив доступ ко внутренним сетям финансовых организаций, хакеры стремились получить контроль и над банкоматами. Так, злоумышленники научились менять номинал выдаваемых купюр, и при запросе, к примеру, 10 банкнот номиналом 100 рублей машина выдавала 10 банкнот номиналом 5000 рублей. Всего, по данным аналитиков, преступники успешно взломали свыше 50 банкоматов, а объем похищенных из них средств превысил 50 миллионов рублей.

Стоит отметить, что интересы членов группировки Anunak не ограничиваются банковскими сетями. Хакеры также осуществляют атаки на СМИ и розничные сети в Европе и США. Кроме того, они атакуют компьютерные сети промышленных и государственных организаций с целью промышленного шпионажа и получения инсайдерской информации, позволяющей выгодно играть на биржах.