Об этом стало известно на Уральском форуме по кибербезопасности. Зампред ЦБ Дмитрий Скобелкин сказал, что это дело рук группировки Cobalt. Агентство кибербезопасности выяснило, что это за банда, и как она совершила столь дерзкое ограбление.
Западные СМИ называют Cobalt группировкой российских хакеров, но на то они и западные СМИ, чтобы все списывать на российских хакеров. Прославились Cobalt летом 2016 года, когда взломали банкоматы Тайваня и Таиланда, открыв настежь купюроприемники. На радость местным из них посыпались на улицу банкноты.
Атакам хакеров подвергались кредитные организации стран СНГ, Восточной и Западной Европы, Юго-Восточной Азии, Северной и Южной Америки. Название преступники взяли из проекта Cobalt Strike, созданного для определения уязвимостей системы.
Каждый сайт пытается защититься от хакеров. Для того, чтобы проверить защиту, программисты устраивают хакерскую атаку сами на себя. Для имитации таких атак и существует проект Cobalt Strike. Система настолько хорошо подражает хакерам, что большинство современных вирусов написаны на основе Cobalt Strike.
Вредоносная программа распространяется через письма. Причем обычно хакеры сначала рассылают зараженные письма сотрудникам и партнерам организации, на которую планируется атака. Например, медицинского учреждения, в котором работники банка застрахованы. После этого вирус может проникнуть в компьютер даже со знакомого адреса, в рамках рабочей переписки. Обычно вредоносный код встроен в документ Microsoft Word. Когда пользователь открывает файл, этот код первым делом не дает антивирусам среагировать на то, что происходит. Затем программа загружает из интернета непосредственно троян, написанный на основе Cobalt Strike, который незаметно хранится на компьютере, похищает коды доступа, а иногда позволяет управлять компьютером удаленно.
Cobalt – далеко не первая банда хакеров, похищающая миллиарды по всему миру. В июне 2016 года ФСБ и МВД задержали более 50 человек, предположительно связанных с группировкой Lurk, похитившей 1,7 млрд рублей из российских банков. Тогда же произошла первая атака Cobalt. Как и в Юго-Восточной Азии, они взломали несколько банкоматов в России и забрали из них наличные деньги.
В 2015-2016 году Buhtrap похитила из российских банков 1,8 миллиарда рублей. Их до сих пор не поймали, и международный гигант в области кибербезопасности Positive Technologies уверен, что Cobalt – это и есть Buhtrap.
«Лаборатория Касперского» связывает Cobalt с группой хакеров Carbanak, орудовавшей в 2013-2015 годах.
Центр мониторинга и реагирования на кибератаки в финансовой сфере (ФинЦЕРТ) Банка России старается отслеживать хакерскую активность и рассылает банкам списки адресов, с которых осуществляется вредоносная рассылка, однако, такой способ, как мы видим, работает не очень эффективно. Надежной защиты от хакерских атак пока не придумал никто. Пока присутствует человеческий фактор. Ведь изначально именно человек не замечает измененную букву и открывает зараженное письмо или ссылку.
Ранее Агентство кибербезопасности рассказало о том, как в России обсуждают будущее законодательство для искусственного интеллекта.
