Хакерская группировка Cobalt, известная масштабными атаками на финансовые учреждения, в результате которых банкоматы начинали выдавать деньги, и предположительно имеющая российские корни, в 2017 году значительно расширила сферу деятельности.
Согласно отчету специализирующейся в области информационной безопасности компании Positive Technologies (есть у РБК), в первой половине 2017 года Cobalt разослала фишинговые письма, содержащие в себе зараженные файлы, более чем 3 тыс. получателей из 250 компаний в 12 странах мира. К списку традиционных для Cobalt целей, находящихся в СНГ, странах Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Северной Америке, Западной Европе и Южной Америке, в частности в Аргентине. В сфере интересов группировки теперь не только банки, но и биржи, страховые компании, инвестфонды и другие организации,
Как утверждают эксперты, методы хакеров эволюционируют. Теперь, прежде чем атаковать банки, Cobalt предварительно взламывает инфраструктуру их партнеров — четверть всех атак приходится на госорганизации, промышленные компании, телекоммуникационные операторы и предприятия из сферы медицины.
«Атаки на нефинансовые организации осуществляются с целью подготовки плацдарма для последующих атак на банки. К примеру, злоумышленники могут рассылать фишинговые письма от лица регулятора или партнера банка, для которого он предоставляет услуги», — пояснил РБК заместитель директора центра компетенции по экспертным сервисам Positive Technologies Алексей Новиков. Он отмечает, что кредитно-финансовые организации гораздо лучше защищены от киберугроз, чем государственные органы и компании промышленного сектора. «Они постоянно совершенствуют свои защитные механизмы по причине частых атак на их инфраструктуру, поэтому злоумышленникам проще взломать инфраструктуру контрагента банка или государственной организации для осуществления непосредственной атаки на банк», — говорит Новиков.
Атаки на кредитно-финансовую сферу, на которые приходится 75% всех усилий хакеров из этой команды, стали более изощренными. Группировка массово отправляет фишинговые письма с поддельных доменов, имитирующие сообщения от Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и Национального банка Республики Казахстан, рассказали в Positive Technologies. Для этих целей Cobalt использовала как минимум 22 поддельных домена, имитирующих сайты крупных финансовых организаций и их контрагентов.
Кто есть кто
Наиболее опасными для банковского сообщества эксперты считают несколько группировок — Lurk, Buhtrap, Carbanak, Lazarus.
Хакеры из команды Lurk, создавшие одноименный банковский троян, смогли похитить со счетов российских банков более 1,7 млрд руб., прежде чем в июне 2016 года были задержаны МВД и ФСБ. Правоохранительные органы арестовали около 50 человек, связанных с этой группой, и заблокировали фиктивные платежные поручения еще на 2,3 млрд руб.
Группа Buhtrap была замечена экспертами в сфере информационной безопасности в 2014 году. По данным специализирующейся на предотвращении киберугроз Group-IB, с августа 2015 года по февраль 2016-го ее хакеры похитили со счетов российских банков 1,8 млрд руб., совершив 13 успешных атак. Среди пострадавших оказались Металлинвестбанк и Русский международный банк. Преступники рассылали жертвам содержавшие зараженные файлы фальшивые сообщения от имени Центробанка. Именно с деятельностью этой группировки эксперты Group-IB и Positive Technologies связывают хакеров из Cobalt. «Вероятно, часть группировки Buhtrap или даже основной ее костяк перешли в Cobalt. На данный момент Cobalt, безусловно, лидирует по степени опасности для отечественной финансовой среды как наиболее профессиональная и технически подкованная», — утверждают специалисты Positive Technologies.
В «Лаборатории Касперского» придерживаются мнения, что члены Cobalt — это выходцы из другой опасной группировки, Carbanak, первые атаки которой зафиксированы в 2013 году. «В 2014–2015 годах при хищении денежных средств из банков использовалась вредоносная программа Carbanak, для работы которой была необходима определенная инфраструктура — сетевые адреса. Потом те же самые адреса применялись для управления вредоносной программой, которая вошла в состав вредоносного программного обеспечения», — рассказал ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. По его данным, в группировке Carbanak состоит около ста человек, а ущерб от ее действий уже превысил $1 млрд. В среднем одна атака обходится российским банкам в десятки миллионов рублей, говорит Голованов.
Еще одна группа, целенаправленно атакующая банки, — Lazarus, наиболее известная кражей $81 млн из Банка Бангладеш в 2016 году. Согласно отчету Group-IB, эти хакеры могут быть близки к госструктурам КНДР, так как совершали часть атак из пхеньянского района Потхонган, где расположена штаб-квартира национального комитета по обороне КНДР.
Немало беспокойства вызвали и хакеры из сообщества под названием Metel, сейчас, возможно, прекратившие свою деятельность. Они были активны с 2011 года и за несколько лет смогли скомпрометировать счета на сумму более $250 млн. В ходе атаки на Энергобанк в 2016 году действия Metel привели к изменению курса рубля более чем на 15% и нанесли банку ущерб в размере 244 млн руб.
Как они атакуют
Типовая атака Cobalt состоит из нескольких этапов, рассказывает представитель Positive Technologies. Сначала регистрируются поддельные домены, якобы принадлежащие крупным компаниям, например Visa. Затем в адрес банков и их контрагентов проводится фишинговая рассылка, содержащая вредоносный файл, обычно документ Microsoft Word. После открытия этого вложения пользователем запускается программа, которая не дает системам антивирусной защиты среагировать на вирус. После чего загружается собственно троян, который позволяет организовать удаленный доступ к рабочему компьютеру сотрудника компании-жертвы. Далее злоумышленники могут либо развивать атаку внутри организации, либо отправить со взломанного рабочего стола письмо с аналогичным вредоносным софтом в другую организацию.
«Наша статистика показывает, что в среднем 20–30% сотрудников открывают потенциально опасные вложения, ставящие под угрозу всю безопасность компании. Но в данном случае процент открывших был в 2–2,5 раза выше, так как письма отправлялись от лица контрагента, а в ряде случаев даже от имени конкретных сотрудников», — говорят в Positive Technologies.
Руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов говорит, что главной целью Cobalt по-прежнему остается похищение денег у финансовых организаций, однако атаки хакеров действительно стали затрагивать не только банки.
«Нашей системой Threat Intelligence были выявлены атаки на юридические компании, страховые компании, информационные и новостные агентства, лизинговые компании. Это делается для того, чтобы протестировать атаку на эффективность для дальнейших атак на банковскую инфраструктуру. Уже известны случаи, когда инфраструктура крупного интегратора использовалась этой группой для проведения атак на банки в Румынии, Казахстане, Азербайджане, Молдавии, России и др.», — говорит Миркасымов. По его словам, средняя сумма хищений по одному инциденту составляет около 100 млн руб.
Ущерб российских банков от действий хакеров за 2016 год составил чуть более 2 млрд руб., сообщал ранее заместитель начальника главного управления безопасности и защиты информации Центробанка Артем Сычев. Средний ущерб от кибератаки в этот период в мире в среднем составлял $926 тыс. на одну финансовую организацию, говорится в отчете «Лаборатории Касперского». В то же время средний годовой объем расходов одного банка на обеспечение кибербезопасности, по данным компании, сейчас достигает в мире $58 млн, что в три раза больше, чем у нефинансовых организаций.
Идея с обязательной регистрацией гаджетов по IMEI в России может получить ещё одно продолжение, на этот раз платное. Крупные операторы связи предложили Минцифры брать деньги за внесение устройств в единую базу IMEI и направлять эти средства в специальный отраслевой фонд.
По данным СМИ, логика простая: если смартфон, планшет или другое устройство не зарегистрировано в базе, в перспективе оно просто не сможет нормально работать в сети оператора.
Но у такой схемы есть и вполне очевидное последствие: профильные эксперты уже предупреждают, что новый платёж, скорее всего, в итоге заложат в стоимость техники. А значит, платить будет не рынок, а обычный покупатель.
Минцифры ещё в конце 2025 года заявляло, что планирует создать такую базу в 2026 году, а в феврале 2026-го Госдума приняла в первом чтении законопроект № 1110676-8, где фигурирует единый реестр IMEI мобильных устройств.
Если механизм примут в нынешней логике, требование о привязке IMEI к абонентскому номеру может заработать уже с 2027 года, а с 2028-го в сетях операторов должны будут работать только зарегистрированные устройства. Для незарегистрированных гаджетов это будет означать, что сим-карта в них работать не будет.
Сторонники инициативы говорят, что в этом есть практический смысл. Во-первых, можно сократить объём нелегального ввоза техники. Во-вторых, у операторов и государства появится более прозрачная система учёта устройств. В Минцифры также подчёркивали, что база IMEI, по замыслу ведомства, должна помочь точнее идентифицировать оборудование и использоваться в рамках антифрод-мер.
Но критики смотрят на идею прохладнее. По их оценке, экономическая целесообразность отдельного сбора пока неочевидна: для оператора это, по сути, ещё одно поле в системе учёта, а не дорогостоящая новая услуга. Поэтому у части рынка есть ощущение, что речь идёт не столько о технической необходимости, сколько о новом скрытом платеже, который в итоге ляжет на потребителя. Это особенно чувствительно на фоне и без того дорогой электроники.
При этом сама модель не уникальна. Похожие базы IMEI уже работают в ряде стран, а регистрация устройства там нередко становится обязательным условием для работы в сети. Именно на этот международный опыт сторонники инициативы и ссылаются, когда говорят, что мера поможет «обелить» рынок.
Есть, правда, и ещё один важный нюанс. Чем больше значение такой базы для работы связи, тем выше цена возможного сбоя. Эксперты уже предупреждали: если единый реестр IMEI окажется недоступен, это может превратиться в единую точку отказа и ударить по работе мобильной связи.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
