Кибератаки на банковскую ИТ-инфраструктуру. Кто виноват и что делать?

Рост числа атак на инфраструктуру

Дмитрий Кузнецов,

Читайте также:

Какие опасности могут таить в себе виртуальные банковские карты

директор по методологии

и стандартизации,

Positive Technologies

Доля атак, нацеленных на ИТ-инфраструктуру компаний, имеет тенденцию к росту. Так, например, по статистике Positive Technologies, во II квартале 2019 года число кибер­атак на ИТ-инфраструктуру юридических лиц достигло 65% от общего числа таких преступлений. В сравнении с аналогичным периодом 2018 года этот показатель вырос на 21 п.п.: во втором квартале 2018 года он не превышал 44%.

В финансовом секторе география таких атак чрезвычайно обширна: им подвергаются банки не только России, Западной Европы или США, но и Индии, Малайзии, Непала, Чили. Особенностью таких атак является экстерриториальность преступников: все действия с момента начала атаки до момента вывода денежных средств осуществляются дистанционно. Преступники могут находиться в любой точке мира, а вывод средств осуществляется через фирмы-однодневки, казино и другие инструменты легализации в третьих странах. Средний размер потерь от такой атаки составляет 10–15 млн долл. США, а абсолютным рекордом до сих пор остается частично удавшаяся попытка вывода хакерами 850 млн долл. из центрального банка Бангладеш.

Вариантов атак много, сценарий один

Несмотря на то что атаки проводят разные хакерские группировки, все они действуют по очень похожим сценариям. Прежде всего преступники тщательно выбирают жертву и собирают всю необходимую информацию о ней. Чтобы не раскрыть себя на начальном этапе, они прибегают к пассивным методам получения информации, например, для выявления доменных имен и адресов, принадлежащих банку. Для разведки также активно привлекаются недобросовестные сотрудники банков, готовые за вознаграждение поделиться информацией: множество объявлений об этом легко найти на соответствующих форумах в интернете. Как правило, в ходе предварительной разведки преступников интересует информация о внешнем периметре ИТ-инфраструктуры (какие информационные системы банка доступны из интернета, насколько высоко качество программного кода веб-интерфейсов таких систем, с какими организациями производится взаимодействие, решения каких вендоров используются в банковских технологических и платежных процессах и т. п.), а также о сотрудниках банка (имена, фамилии, должности, круг обязанностей, круг интересов). Подобная информация позволяет спланировать атаку, подготовить необходимые инструментальные средства, проработать убедительные легенды для фишинговых атак на сотрудников, подготовить механизм вывода похищенных денежных средств.

Для первичного проникновения в ИТ-инфраструктуру чаще всего используется фишинговая рассылка электронных писем сотрудникам банка. Иногда злоумышленники просто рассылают однотипные фишинговые письма всем работникам банка, контактные данные которых удалось получить на этапе разведки. Однако все чаще для этого используется адресный фишинг, ориентированный на конкретных сотрудников, занимающих определенные должности. Так, сотрудник службы внутреннего контроля может получить письмо, отправленное от имени сотрудника Центрального банка, сотрудник юридической службы – письмо с запросом из прокуратуры или Следственного комитета, а сотрудник отдела закупок – письмо с коммерческим предложением от контрагента. Так как протоколы отправки электронных сообщений позволяют указывать в письмах любой адрес отправителя, подобные письма рассылаются от имени сотрудников реально существующих подразделений, а иногда и от имени реальных людей. При этом сами письма оформлены в типичном для отправителя стиле.

Социальная инженерия уже много лет входит в топ наиболее популярных методов атак: например, во втором квартале 2019 года этот метод занял второе место среди атак на юридические лица.

Цель фишинговой рассылки – открытие получателем приложенного к письму файла (Microsoft Word, Microsoft Excel, Adobe PDF и др.). При этом происходит попытка заражения персонального компьютера сотрудника вредоносной программой, внедренной в тело документа. Как правило, для заражения используются известные уязвимости операционной системы или офисного ПО: злоумышленники рассчитывают на то, что в больших инфраструктурах обновления безопасности устанавливаются на ПК пользователей с большой задержкой (или не устанавливаются вовсе). При этом само вредоносное ПО разрабатывается специально для этой конкретной операции, поэтому на момент проникновения оно не обнаруживается антивирусами. После заражения такой зловред устанавливает соединение с одним из центров управления, которые преступники развертывают специально для проведения атаки, выкачивает и устанавливает модули расширения, фактически предоставляя киберпреступникам удаленный доступ к сети банка и превращая зараженный компьютер в плацдарм для дальнейшего развития атаки.

Получив доступ к рабочему месту конкретного пользователя (или к нескольким РБ сразу), атакующие, используя уязвимости операционной системы, получают из оперативной памяти учетные данные всех пользователей, подключавшихся к ней (идентификаторы, пароли или хеш-суммы паролей). Эти данные накапливаются и используются для подключения к другим компьютерам в сети. Для такого удаленного доступа используются встроенные средства операционных систем и легитимные средства удаленного управления (PsExec, RDP, RAdmin, SSH и т. п.). Поэтому подобные действия обычно не приводят к срабатыванию средств антивирусной защиты и систем обнаружения вторжений.

Если злоумышленники уверены в отсутствии в инфраструктуре специализированных средств противодействия атакам, используются и более агрессивные методы расширения плацдарма, например – перехват сетевого трафика соседних машин путем подмены адресной информации (например, атакой ARP Spoofing) или фишинговая рассылка внутри компании с использованием почтового ящика владельца зараженного компьютера. Перехват сетевого трафика особенно эффективен в тех случаях, когда для управления серверами, приложениями и сетевым оборудованием используются незащищенные протоколы, а при внутреннем фишинге хакеры могут эффективно использовать сведения, полученные из сообщений, содержащихся в почтовом ящике пользователя.

Таким образом, на каждой итерации под управление преступников попадает все большее количество компьютеров в локальной сети организации, а контроль над каждым из них позволяет атакующим получать в свое распоряжение имена и пароли все большего числа пользователей. Конечная цель атакующих на данном этапе – получение неограниченного доступа к контроллеру домена, используя уязвимости его операционной системы, перехватив имя и пароль администратора домена или получив контроль над его рабочим местом.

Контроль над инфраструктурой позволяет атакующим получать имена и пароли любого пользователя в любой информационной системе (например, путем перехвата клавиатурного ввода на зараженном компьютере), а также предоставляет им доступ к технической документации, которая хранится на файловых серверах и рабочих местах администраторов. В результате преступники получают возможность найти в инфраструктуре компоненты банковских систем, контроль над которыми позволит им формировать и отправлять денежные переводы, в том числе в обход применяемых инструментов внутреннего контроля.

Проведение такой атаки с момента первичного проникновения до момента отправки денежных переводов может занимать длительное время – от нескольких дней или недель до года. Все это время преступники действуют в инфраструктуре банка, стараясь не оставлять следов и не нарушить функционирование информационных систем банка. Такой запас времени позволяет спланировать заключительный этап атаки – собственно вывод денежных средств, который может занимать несколько часов. Для того чтобы помешать банку свое­временно обнаружить и блокировать вывод средств, одновременно с выводом средств часто выполняются отвлекающие действия – проводятся «операции прикрытия» – DoS-­атаки на внешние и внутренние ресурсы, важные для работы банка, запускается шифрование данных на зараженных компьютерах, отключается и выводится из строя оборудование.

В чем причина успешности атак на ИТ-инфраструктуру?

Описанный выше сценарий не требует от атакующих каких-либо специальных знаний об инфраструктуре банка, все действия стандартизованы – их описание с подробными инструкциями при должном желании можно найти в сети, а львиная доля применяемых инструментальных средств приходится на свободно распространяемое ПО. Даже уникальные троянские программы, применяемые для первичного проникновения, часто являются доработкой уже известных инструментов, таких как EternalBlue или BlackEnergy.

Успешность подобных атак обусловлена рядом факторов, которые коротко можно охарактеризовать как недостаточная готовность банков противодействовать квалифицированным злоумышленникам. Прежде всего стоит отметить отсутствие во многих организациях практики оценки собственной защищенности, а при использовании самостоятельно разработанных программных продуктов – отсутствие практики систематизированного выявления и устранения уязвимостей в собственном программном коде. Кроме этого, во многих банках отсутствует практика систематической установки обновлений безопасности операционных систем, СУБД и прикладного ПО.

Также в большинстве финансовых организаций отсутствуют ресурсы, необходимые для эффективного обнаружения атак. Самым заметным действием атакующих на ранней стадии атаки является фишинговая рассылка, и уже в этот момент защищающейся стороне требуется быстро определить, что вложение является вредоносной программой, и идентифицировать все компьютеры пользователей, на которых это вложение было открыто пользователем. Как правило, в случае инцидента даже эта задача оказывается неразрешимой на практике: у банковских подразделений ИТ и безопасности зачастую нет ни специалистов, способных с ней справиться, ни инструментов, которые для этого необходимы. Таким образом, атакующим удается получить контроль над несколькими узлами локальной сети, защищающаяся сторона подозревает об этом, но не знает точно, какие именно узлы скомпрометированы.

Обнаружить распространение атакующих вглубь инфраструктуры можно только в том случае, если точно знать, за какими событиями нужно наблюдать. Так, и для легитимного удаленного администрирования серверов и рабочих мест, и для несанкционированного удаленного доступа к компьютеру с чужими учетными данными применяются одни и те же инструментальные средства. Отличить действия злоумышленника от действий администратора можно только по незначительным нюансам (работа ведется в неурочное время, доступ осуществляется сразу ко многим узлам локальной сети и т. п.). Для этого от защищающейся стороны требуется хорошее знание методов проведения атак и тех следов, которые оставляют действия преступников на ранних стадиях подготовки кибератаки, а также инструментальные средства для сбора и корреляции событий безопасности – но в большинстве организаций, кроме ряда самых крупных, подразделения информационной безопасности такими ресурсами не располагают.

Таким образом, обнаружить действия преступников удается только на финальной стадии, когда организовать эффективное противодействие уже невозможно. Поэтому, несмотря на то, что в целом уровень защищенности организаций банковской сферы год от года повышается, большинство из них пока что неспособны самостоятельно противодействовать киберпреступникам.

Роль регулятора в повышении киберзащищенности банковского сектора

Повлиять на столь пессимистичную оценку уровня защищенности банковской системы и даже несколько изменить положение дел к лучшему может регулирование вопросов безопасности непосредственно Банком России. Например, одно из ключевых изменений нормативной базы – требование о ежегодном проведении анализа уязвимостей и тестирование на проникновение информационной инфраструктуры кредитных и некредитных организаций, установленных в положениях Банка России № 382-П, № 683-П и № 684-П. Подобное исследование, если оно проводится добросовестно, позволяет выявить и устранить основные проблемы в обеспечении безопасности платежных сервисов, тем самым затрудняя работу преступников. При этом результаты такой работы обычно заставляют руководство организации более трезво оценивать уровень защищенности, ее активы и риски, связанные с возможными действиями преступников. Как правило, подобная работа становится толчком для создания в организации если не надежной системы безопасности, то хотя бы ориентированной на практическое противодействие киберпреступникам.

Николай Пятиизбянцев, независимый эксперт

Говоря о кибербезопасности, хотелось бы дополнительно обратить внимание на следующий аспект: роль регулятора в повышении киберзащищенности банковского сектора, безусловно, очень значительна. Однако в последнее время в области банковской информационной безопасности вышло такое количество нормативных требований, что возможность их исполнения со стороны банков вызывает определенные опасения.

Например, «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» № 382-П требует от банков проводить внешний аудит на соответствие требованиям данного Положения раз в два года. А «Положение об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» № 683-П также раз в два года требует проводить внешний аудит, но уже на соответствие требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Есть еще Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации» № 321. Который требует проводить аудит на соответствие требованиям ГОСТ Р 57580.1-2017 ежегодно.

А ведь помимо этого действуют «Закон о персональных данных» (152-ФЗ), «О критической информационной инфраструктуре» (187-ФЗ), требования по PCI DSS, а для некоторых банков – и по GDPR.

Смогут ли банки выполнить все эти требования? Не превратится ли реальная безопасность в бумажную?

Алексей Голенищев, директор по мониторингу операций и диспутам Альфа-Банка

Очень профессиональная статья и довольно популярно изложена! От себя акцентировал бы комментарий на проблематике, затронутой в статье несколько вскользь. А точнее – на проблеме недостаточно серьезного и продуманного отношения отдельных банков и других финансовых институтов к теме безопасности: как технологической, операционной, так и безопасности бизнеса. Чаще всего это проявляется в недостаточном финансировании, которое выливается в дефицит квалифицированных кадров, отсутствие необходимых современных аппаратных, программных средств и организационных процедур противодействия атакам. Все основные бюджеты, как правило, уходят на развитие бизнеса, экономя на его поддержке и сопровождении, а безопасность вообще чаще всего стоит на последних местах. Как говорится, «пока петух не клюнет». А клюнуть он может очень болезненно, ведь, помимо «украденных» денег, это еще и большие репутационные риски, связанные с надежностью банка и т. п., что может оказаться не менее убыточно. Также стоит напомнить: к сожалению, никакой стопроцентной ИТ-защиты не существует! Поэтому, помимо построения эффективной системы ИТ-безопасности, нужны не менее эффективные системы мониторинга, обнаружения и предотвращения, как на операционном, так и на транзакционном уровне рисковых инцидентов, операций и уже конечных финансовых транзакций, когда происходит попытка непосредственного вывода средств. Т. е. эшелонированная защита нужна и на входе, и внутри, и, наконец, на выходе корпоративных ИТ-систем. 

Независимый эксперт в области безопасности банковского сектора

Обращает на себя внимание некая нелогичность в выводах публикации «Кибератаки на банковскую ИТ-инфраструктуру. Кто виноват и что делать?». Так, в первой ее части приводится большое количество информации о том, каким образом криминал готовит атаки на КФО, и подчеркивается, что все это характерно не только для РФ. А в заключение говорится о том, что речь идет именно об удручающей картине в РФ, которую, однако, могут исправить Банк России и его документы.

Справедливости ради стоит сказать, что российский банковский сегмент считается самым защищенным в мире, и не только по моему мнению. Все приличные (и часть «неприличных») организации выстроили свои защитные периметры как минимум на приемлемом уровне. Само собой, совершенству нет предела, но за последние четыре года сектор значительно преобразился, а многие наши специалисты в сфере ИБ могут без особого труда найти себе рабочее место в большинстве европейских банков.

Да, утверждать, что у нас абсолютно все хорошо и проблемы отсутствуют, было бы ложью. Однако сгущать краски также представляется не совсем корректным.