Около 20 польских банков стали жертвами кибератаки

Компьютерные системы ряда банков в Польше были инфицированы вредоносным ПО в результате крупнейшей в истории страны кибератаки на финансовый сектор.

За последнюю неделю сотрудники служб безопасности нескольких польских банков обнаружили в компьютерных системах финорганизаций вредоносное ПО. Как сообщает ресурс BadCyber, источником заражения стала Комиссия по финансовому надзору (КФН, государственный орган надзора за финансовым рынком в Польше). Представители КФН подтвердили факт компрометации внутренних систем регулятора, но не предоставили подробности инцидента, лишь отметив, что атаки были осуществлены «кем-то из другой страны».

Неизвестный атакующий модифицировал один из файлов JavaScript на сайте КФН и разместил на ресурсе вредоносный JS-скрипт, который, в свою очередь, загружал вредоносное ПО. Оказавшись на системе, вредоносная программа связывалась с размещенными за границей серверами и осуществляла различные действия с целью разведки и хищения данных. В некоторых случаях злоумышленникам удалось получить контроль над критически важными серверами в инфраструктурах целевых банков. Как отмечается, речь идет о ранее неизвестном семействе вредоносного ПО.

После того, как выяснилось, что загрузка вредоносных файлов была произведена с серверов регулятора, КФН приняла решение отключить всю систему «для сохранения доказательств».

По имеющимся данным, жертвами кибератаки стали около 20 коммерческих банков Польши. В настоящее время КФН и правоохранительные органы страны ведут расследование инцидента. Фактов хищения средств со счетов клиентов финорганизаций не обнаружено.

Чаба Краснаи, менеджер по продукту Shell Control Box компании Balabit

Судя по всему, эта атака была хорошо спланирована и подготовлена группой высококлассных профессионалов. Очевидно, что хакеры тщательно изучили принципы работы польской банковской системы, так как точкой входа вирусного ПО стал правительственный сайт, регулярно посещаемый сотрудниками финансовых организаций. На мой взгляд, хакеров в первую очередь интересовали не деньги, а информация о рынке.

Реакция банков показывает, что в стране хорошо отлажены процессы обмена информацией между пострадавшими организациями. В условиях регулярных хакерских атак такая неформальная связь чрезвычайно важна. Согласно отраслевым нормам, финансовые организации должны иметь надежную систему безопасности и использовать ключевые технологии выявления инцидентов. Как раз с помощью одной из них — SIEM-системы — угроза была обнаружена довольно быстро. Успешно атаковать можно любую компанию — это факт, с которым нам нужно смириться. Но никто не мешает подготовиться к этому встретить врага во всеоружии: службам безопасности нужно обратить внимание на средства раннего выявления атак. В ближайшее время все организации должны уже укрепить операционные центры и процессы управления инцидентами.

Вячеслав Медведев, ведущий аналитик отдела развития "Доктор Веб"

Самое, пожалуй, интересное в этой ситуации - это даже не сам взлом сайта
регулятора: уязвимости были, есть и будут. Вопросов два. Первый - стоит ли доверять доверенным по умолчанию системам? В век Интернета и облачных систем мы не можем быть уверены ни в одном используемом приложении. Уязвимости имеют средства шифрования, системы организации доверенных каналов, системы работы с документами, операционные системы. Как работать в системах, в которых каждый компонент не является доверенным?

И второй вопрос - а готовы ли мы примерить данную ситуацию на себя? Что каждый из прочитавших данную новость сделал для того, чтобы ситуация не повторилась на его рабочем месте? У скольких компаний бухгалтеры выходят в Интернет не с того же компьютера, с которого осуществляется связь с банком? Сколько компаний не проверяет полученное ПО в течение определенного
времени?

В большинстве случаев при подготовке к целевым атакам злоумышленники проверяют свое вредоносное ПО на актуальных версиях антивирусов. В результате до момента выявления нового образца вирусными аналитиками антивирусная защита (без контроля за поведением процессов) такое ПО вредоносным не сочтет. Логично, но сколько процентов компаний ограничиваются только установкой антивируса и не настраивают ограничения поведенческого анализатора, списки устанавливаемых программ, запрещают пользователям запускать неразрешенное ПО?

И последнее. Сейчас в России идет процесс централизации систем услуг. Услуги, представляемые системами в конкретных регионах, переводятся на общефедеральные ресурсы. Вполне логично, что такие важные системы будут помещены наряду с иными критически важными системами в изолированный сегмент Интернета. Так же логично, что безопасность такого сегмента будет обеспечивать определенная организация. Что будет, если взломают ее?

Андрей Заикин, руководитель направления информационной безопасности компании КРОК

Недавняя атака на банки Польши является одним из примеров целевой атаки на банковские системы. Злоумышленники использовали типовой вектор проникновения во внутреннюю сеть банков: обнаружили и проэксплуатировали уязвимость в веб-портале государственного сайта финансового сектора и создали за счёт неё канал доставки вредоносного программного обеспечения на рабочие станции сотрудников банков. 

Не исключено, что злоумышленниками могут быть участники преступных групп, организовавших несколько крупных хищений у банков в 2016 году. Тогда была разработана одна из самых продвинутых троянских программ для хищений у юридических лиц, позволяющих скрытым от пользователя образом подменять реквизиты и сумму платежа в системах интернет-банкинга, а также обходить SMS-подтверждение платежей. Сейчас, в связи с усилением мер по защите физических и юридических лиц, многие преступные группы переориентировались на анализ и попытку взлома непосредственно банковских систем.

К сожалению, антивирусное ПО и прочие средства защиты информации в некоторых случаях могут быть бессильны против продвинутых троянских программ, и для предотвращения угрозы требуется специализированный комплексный подход к организации системы защиты.

В подобных случаях эффективны системы поиска и выявления аномалий в сетевом трафике (NBAD). Они могут обнаружить и предотвратить запросы вредоносного ПО к командному центру, которые зачастую осуществляются по нестандартным сетевым протоколам. В дополнение, аномалии в системных процессах рабочей станции и другие признаки руткит-технологий могут быть обнаружены защитным ПО класса «песочница» (Sandbox).