Изменение курса рубля на 15% в феврале 2015 года — работа хакеров

Высокая волатильность курса рубля может быть обусловлена не только санкциями, падением цены на нефть и снижением темпов роста экономики Китая. Еще один фактор — malware и умело спланированная злоумышленниками атака на финансовые структуры. Так, причиной резкого изменения курса рубля в феврале прошлого года стала именно атака хакеров, пишет «РБК» и Bloomberg. Атаку обнаружили и проанализировали эксперты по информационной безопасности из компании Group-IB.

Как оказалось, хакеры из России сумели взломать систему безопасности регионального банка Энергобанк, и при помощи вируса изменить курс рубля на бирже на 15%. Для атаки на системы банка использовался вирус Corkow Trojan. В ходе атаки банк разместил в феврале 2015 года приказы более, чем на $500 млн, причем по нерыночному курсу. «Это первая задокументированная атака с использованием этого вируса, причем ущерб может быть намного большим… Как только malware проникает в локальную сеть, его сложно обнаружить, а зловред может заразить и компьютеры, не подключенные к Интернету», — сообщил руководитель отдела расследований и сервиса киберразведки Group-IB Дмитрий Волков.
Такие действия банка привели к значительным колебаниям курса рубля на бирже, что позволило хакерам приобрести доллары по курсу 59,0560. Всего через 51 секунду злоумышленники продали купленную ранее валюту уже по курсу 62,3490. Всего за 15 минут хакерам удалось добиться максимальной волатильности отечественной валюты, с минимальным курсом доллара в 55 рублей за $1. До начала атаки курс доллара составлял 60–62 рубля за $1.

Как указывалось выше, взломщики использовали вредоносное ПО Corkow Trojan, этот вирус постоянно обновляется создателями для обхода основных антивирусов. Это достаточно распространенный и чрезвычайно эффективный вирус, который за относительно небольшое время смог проникнуть в компьютерные сети различных финансовых институтов и других организаций по всему миру. Общее количество зараженных Corkow Trojan ПК оценивается специалистами в 250 тысяч устройств. При этом практически во всех банках, где был обнаружен вирус, специалисты зафиксировали корректную работу лицензионных антивирусов. Вирус спроектирован очень хорошо, благодаря чему в некоторых случаях он способен оставаться незамеченным многие месяцы.

По словам представителей Энергобанка, убытки организации в феврале 2015 года составили 244 миллионов рублей (об этом, в частности, писали «Ведомости»). Основной фактор, приведший к таким значительным потерям — действия хакеров. После детальной проверки Московская биржа сообщила, что ее системы работали в штатном режиме.

После изучения ситуации, в конце марта 2015 года комитет по валютному рынку Московской биржи вынес рекомендацию правлению биржи по исключению Энергобанка из состава участников торгов валютного рынка. Причина — недостаточная защищенность системы информационной безопасности банка. «В итоге этой махинации банк понес большой финансовый и репутационный ущерб, поскольку многие игроки на рынке не доверяют версии со взломом и охотно все списывают на ошибку оператора торговой системы», — сообщили представители Group-IB.

Также в 2015 году, только уже в августе, произошла другая проблемная ситуация, связанная с несанкционированным использованием расчетной системы, которая объединяла около 250 банков. Эта система позволяла своим участникам снимать средства с карт Visa и MasterCard по выгодным тарифам. И через банкоматы одного из участников системы в августе было выведено несколько сотен миллионов рублей. Как позже оказалось, это была несанкционированная выдача средств, а причина случившегося — хакерская атака с использованием того же вируса Corkow.

Подробный отчет компании Group-IB можно найти здесь (pdf).

© Geektimes