Группа хакеров арестована за попытку кражи 130 млн. рублей

В Уфе по обвинению в покушении на кражу в особо крупном размере арестована группа хакеров. Трое местных жителей подозреваются в попытке снять с банковского счета фонда обязательного медицинского страхования в Башкирии 130 млн руб. Хакеры вскрыли счет организации и намеревались перевести деньги подставным фирмам, но были задержаны сотрудниками УФСБ.

Как сообщил руководитель подразделения общественных связей УФСБ по Башкирии Илья Якупов, 1 октября Кировский райсуд Уфы санкционировал арест трех жителей города — мужчин, одному из которых 30, а двум другим по 26 лет. Их личности не разглашаются. Они обвиняются по ч. 3 и 4 ст. 158 УК РФ («Кража организованной группой в особо крупном размере») с применением ст. 30, квалифицирующей действия как покушение. Об аресте ходатайствовали следователи УФСБ, которые опасались, что, оставшись на свободе, обвиняемые попытаются скрыться.

Чекисты считают арестованных хакерами, причастными к попытке кражи 130 млн руб. у республиканского фонда обязательного медицинского страхования (ФОМС). Как рассказал господин Якупов, обвиняемые были задержаны 29 сентября, но в разработку сотрудников УФСБ попали раньше. По данным следствия, мужчины спланировали похищение денег заранее — пока не установленным способом завладели электронными паролями, ключами, сертификатами и цифровой подписью ФОМС, затем договорились с коммерческими организациями, на счета которых будут переводить деньги для обналичивания, а также привлекли для этого фирмы-однодневки.

В ходе разработки сотрудники УФСБ установили точную дату и место проведения хакерской атаки на банковский счет ФОМС. Название банка не разглашается, на сайте организации в реквизитах фигурирует Национальный банк Башкирии (подразделение Банка России). Хакеров взяли в офисном помещении, которое они специально арендовали и где размещали свою аппаратуру. По словам господина Якупова, они только вскрыли счет и уже хотели начать переводить деньги, как были заблокированы чекистами по сети, после чего отряд спецназа в считанные секунды произвел их захват. Хакеры оказались вооружены — при них в ходе досмотра найдены газовый и травматический пистолеты.

Как сообщил господин Якупов, с места преступления были изъяты «средства компьютерной техники со специальным программным обеспечением, средства доступа к компьютерным сетям, конфиденциальные средства защиты информации». Сразу после задержания хакеров сотрудники УФСБ возбудили в отношении них уголовное дело.

Вчера исполняющая обязанности исполнительного директора ФОМС Башкирии Ольга Скворцова сообщила, что по факту инцидента в ее организации проводится служебная проверка. «Виновный в пропаже (электронных паролей и ключей) будет наказан»,— сказала она, отметив, что к безопасности средств доступа к счету в ее организации относятся «бдительно и строго». По словам Ильи Якупова, в настоящее время «оперативно-следственные мероприятия продолжаются».

«Сама по себе сумма в 130 млн рублей для российской практики подобных преступлений, пожалуй, рекордна, — считает Алексей Раевский, генеральный директор SecurIT. — Стоит отметить оперативность УФСБ по Башкирии, которые сработали четко, предотвратив хищение денег со счетов ФОМСа. Однако под большим вопросом остается то, каким образом злоумышленники смогли завладеть ключами, сертификатами и цифровой подписью, ведь такая информация должна быть максимально защищена от утечек организационными и техническими мерами».

 

Источник

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Угон учетной записи Microsoft принес исследователю $50 000

Независимый исследователь Лаксман Мутхиях (Laxman Muthiyah) обнаружил в онлайн-сервисах Microsoft уязвимость, позволяющую сбросить пароль пользователя в обход аутентификации и захватить контроль над аккаунтом. Разработчик высоко оценил эту находку, выдав баг-хантеру премию в $50 тысяч в рамках своей программы bug bounty.

Найденная проблема затрагивает процедуру восстановления учетной записи, включающую отправку семизначного одноразового кода на email или номер мобильного телефона пользователя, который тот должен ввести на сервисе для подтверждения своих полномочий на смену пароля. Мутхияху удалось угадать нужную комбинацию посредством брутфорса, преодолев используемое Microsoft шифрование и лимиты на количество подаваемых запросов.

 

Суммарно исследователю предстояло перебрать 10 млн возможных вариантов одноразового кода, то есть подать на сервер Microsoft огромное количество запросов. С этой целью Мутхиях написал скрипт, способный автоматизировать этот процесс.

Его тестирование показало наличие на сервисе защитных ограничений: из 1000 отправленных кодов сервер принял только 122, остальные вернули ошибку 1211 (ошибка очистки буфера). Поняв, что при последовательной передаче множества запросов включаются черные списки (блокировка IP-адреса), экспериментатор попробовал подавать запросы одновременно с тысячи разных IP. Как оказалось, сервер должен их получать без малейшей задержки — разница в пару миллисекунд уже вызывала блокировку атаки.

Скорректировав свой код, Мутхиях смог добиться успеха и благополучно сменить пароль. Этот способ, по его словам, очень ресурсоемкий и пригоден только для взлома аккаунтов с отключенной двухфакторной аутентификацией (2FA). Если жертва ее использует, то придется дополнительно ломать шестизначный код, генерируемый специальным приложением-аутентификатором.

Специалисты Microsoft классифицировали проблему как возможность повышения привилегий с обходом многофакторной аутентификации. Поскольку провести брутфорс в данном случае сложно, степень опасности уязвимости была оценена как существенная. Соответствующий патч вышел в ноябре прошлого года.

Похожую уязвимость Мутхиях обнаружил в прошлом году в Instagram, заработав $30 тыс. в качестве вознаграждения от Facebook.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru