2016-08-24T01:39:59+03:00

Обвалив доллар, хакеры дали заработать трейдерам сотни миллионов рублей

Впервые в мировой практике мошенники отрепетировали обвал курса валют с помощью вируса Corkow Trojan. Площадкой для махинаций стал казанский банк
Поделиться:
Комментарии: comments17
В считанные минуты удалось не только обвалить биржу, но и наторговать на огромную сумму.В считанные минуты удалось не только обвалить биржу, но и наторговать на огромную сумму.Фото: GLOBAL LOOK PRESS
Изменить размер текста:

27 февраля 2015 года казанский «Энергобанк» провел несколько странных сделок. Сначала было зафиксировано резкое падение курса валют, затем рост - на старте доллар стоил 61 рубль, затем обвалился до 55 рублей. После валюту некоторое время торговали по 66 рублей. Подчеркнем, изменения действовали только на региональной площадке, Московская биржа настаивала, в ее инфраструктуре никаких изменений не произошло. Впрочем, такое расхождение не помешало трейдерам заработать на колебаниях курса. Банк понес колоссальный ущерб, по некоторым данным потери составили около 243 миллионов рублей. Не говоря уже об испорченной репутации - говорили, будто инцидент произошел из-за внутренних проблем в системе финансового учреждения.

В самом банке еще в начале 2015 года утверждали, система подверглась хакерской атаке. Теперь появилось подтверждение этой информации - результатами независимого расследования делятся аналитики компании Group-IB.

- В феврале 2015 года произошел первый в мировой практике крупный инцидент, когда троянская программа получила контроль над терминалом торговой системы для торгов на различных биржевых рынках, - сказано в отчете специалистов. - Это и привело к выставлению заявок на сумму более 400 миллионов долларов. Используя вредоносное программное обеспечение, хакер применил инструмент «доллар/рубль расчетами сегодня» для продажи и покупки валюты от имени банка, что вызвало серьезные скачки курса доллара. За 14 минут взломщик добился аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля. До инцидента трейдеры торговались в рыночном диапазоне 60 - 62 рубля за доллар.

Интересно, что сами мошенники не заработали на своей атаке ни копейки. Зато помогли обогатиться другим участникам торгов. Такой вывод также озвучивают аналитики по итогам расследования.

- Эта была тестовая атака демонстрирующая потенциальные возможности, - объясняют эксперты. - На волатильности курса рубля заработали многие участники торгов, но не хакеры.

В августе 2015 года злоумышленники решили использовать Corkow Trojan уже на «широкую ногу» - взломали расчетную систему, объединяющую около 250 банков. Таким образом, у хакеров появилась возможность снимать денежные средства с Visa и MasterCard по выгодным тарифам. Один из участников системы потерял тогда несколько сотен миллионов рублей - такие данные приводят в Group-IB. Более того, по мнению аналитиков, вредоносная программа засела во многих сетях российских банков, есть заражения и на территории постсоветского пространства и Европы. Традиционная защита антивирусными программами оказалась бесполезной, от атак Corkow она не защитила.

- Нами было зафиксировано заражение более 100 финансовых организаций, в числе которых 80% из топ-20, - уверяют аналитики. - После фиксации во многих банках были выявлены факты успешных денежных хищений.

На графике по торгам в этот день отчетливо видна «свеча», показывающая разницу курса от 55 до 66 рублей. Фото: из личного архива героя(ев) публикации

На графике по торгам в этот день отчетливо видна «свеча», показывающая разницу курса от 55 до 66 рублей.Фото: из личного архива героя(ев) публикации

Кто работал - не знаем, но скажем как именно

Имен мошенников, реализовавших план в Казани, аналитики не называют. Отмечают лишь, что работали русскоязычные хакеры. Следы причастности спецслужб эксперты не выявили. По всей видимости, мы имели дело с демонстрацией силы - такой вывод напрашивается, если принять во внимание нежелание хакеров заработать на атаке.

Сама атака длилась ровно 14 минут. И именно за эти несколько минут банку был нанесен ущерб. Однако, подготовка к атаке длилась гораздо дольше. Хакеры попали на компьютер с торговой системой в сентябре 2014 года. С того самого времени она жила и постоянно обновлялась, чтобы избежать обнаружения средств антивирусной защиты, которые в банке были установлены и корректно работали.

- На момент исследования экземпляра вредоносной программы в марте, он не детектировался ни одним средством антивирусной защиты, - подчеркивают эксперты. - Начиная с декабря 2014 года на системе начинают создаваться отчеты клавиатурного шпиона. А 27 февраля Corkow предоставляет удаленный доступ к системе, что позволило злоумышленнику запускать программы, управлять клавиатурой, мышкой параллельно с оператором системы.

В результате несанкционированного доступа к терминалу торговой системы злоумышленник, используя инструмент «доллар/рубль расчетами сегодня» совершил 7 сделок на покупку и продажу долларов США. Было выставлено 5 заявок на покупку 437 миллионов долларов и 2 заявки на продажу 97 миллионов долларов. Однако, была исполнена только часть заявок и в результате было куплено 158 миллионов 536 тысяч и продано 93 миллиона 925 тысяч долларов США.

Завершив первую заявку, хакер дал команду Corkow на удаление своих следов и вывода системы из строя.

Чтобы обогатиться на специально спровоцированной разнице курса, злоумышленник должен был обладать большой суммой личных средств для проведения сделок. Такой сценарий возможен, но злоумышленникам проще было бы сыграть на фьючерсном рынке, где мультипликатор на валютные сделки может достигать 20. То есть хакер мог увеличить величину открытой позиции в 20 раз, а свой капитал в 8 раз. В данной схеме злоумышленнику не надо вступать в сговор с крупными клиентами торговых систем, обладать значительно суммой денег.

Аналитики представляют следующую хронологию атаки. Фото: из личного архива героя(ев) публикации

Аналитики представляют следующую хронологию атаки.Фото: из личного архива героя(ев) публикации

ВАЖНО

В 80% банков троянская программа Corkow присутствует в защищенной корпоративной сети. Учитывая способ распространения трояна и исследования обстоятельств заражений банковских сетей можно утверждать, что все заражения имели случайный характер. Другими словами, подхватить вирус можно было где угодно. Угроза заразиться существует и сегодня.

ЧИТАЙТЕ ТАКЖЕ

Халиф на час: как казанец умудрился наторговать на бирже 42 миллиарда рублей и обанкротиться всего за пару кликов

Страсти в семье начинающего трейдера Дениса Громова за месяц успели поутихнуть, но не «смута в душе». Сейчас он пытается доказать, что в его провале виновата не глупость, а сама система (подробности)

ИСТОЧНИК KP.RU

Понравился материал?

Подпишитесь на ежедневную рассылку, чтобы не пропустить интересные материалы:

 
Читайте также