30 августа 2016

Финансовая кибергруппировка Lurk: уроки для бизнеса

Бизнес

В начале июня этого года российские правоохранительные органы задержали предполагаемых членов преступной группировки, которая подозревается в хищении почти 3 млрд рублей. По данным правоохранителей, участники группы Lurk, используя одноименное вредоносное ПО, систематически похищали крупные суммы со счетов коммерческих организаций, включая банки. Для отдела расследования компьютерных инцидентов «Лаборатории Касперского» это событие стало кульминацией работы, которая продолжалась почти шесть лет. За это время мы собрали огромное количество сведений о том, как действует типичная русскоязычная финансовая кибергруппировка.

1000 - Lurk

В начале июня мы опубликовали подробный технический анализ вредоносной программы Lurk — его можно почитать здесь. Кроме того, недавно мы рассказали подробную историю нашего исследования деятельности этой группировки. В этом блогпосте я бы хотел сконцентрироваться на том, какие полезные уроки из этого инцидента может извлечь для себя представитель бизнеса, имеющий отношение к обеспечению информационной безопасности в компании.

  1. Ваша компания попадает в группу риска в тот момент, когда вы решаете начать использовать систему дистанционного банковского обслуживания.

Группировка Lurk была крайне разборчива в выборе целей лишь в начале своей деятельности. Тогда преступников интересовали только очень богатые компании, а сами они стремились к улучшению качества атак, а не к увеличению их количества. Но со временем преступники решили наращивать обороты и значительно расширили список целей. В определенный момент мы видели их атакующими всех подряд, включая обычных пользователей. Даже если атака могла принести им «всего лишь» несколько десятков тысяч рублей, они шли на это.

Другими словами, не ждите, что финансовые киберпреступники не станут вас атаковать только потому, что ваша компания невелика, а на ее корпоративных счетах не бывает много денег. Если вы используете систему дистанционного банковского обслуживания, то вы в группе риска.

  1. Те, кто будет охотиться за вашими деньгами, — не новички.

Не ждите, что вас попытаются атаковать непрофессионалы. Итоги нашего исследования говорят об обратном. Уже в 2013 году мы поняли, что имеем дело с группировкой, в состав которой входило примерно 15 человек (на последнем этапе ее деятельности число «постоянных» соучастников возросло до 40). Эта команда обеспечивала, что называется, «полный цикл» разработки, доставки и монетизации вредоносных программ — этакая небольшая компания по разработке программного обеспечения. У «компании» на тот момент было два ключевых «продукта»: вредоносная программа Lurk и огромный ботнет из зараженных с ее помощью компьютеров. У вредоносной программы была своя команда разработчиков, ответственных за разработку новых функций, поиск способов «взаимодействия» с системами ДБО, стабильность работы и прочие задачи, а также команда тестировщиков, которая проверяла работоспособность программы в различных окружениях. У ботнета тоже была своя команда (администратор, операторы, заливщики и прочие соучастники, работающие с ботами через административную панель), отвечавшая за работоспособность серверов управления, их защиту от обнаружения и перехвата управления.

Для разработки вредоносного ПО такого класса требовались профессионалы. Главари группы искали их на обычных сайтах по подбору персонала для удаленной работы. Примеры подобных вакансий я уже описывал в своей статье о российской финансовой киберпреступности. Нелегальность предлагаемой работы в вакансии не указывалась, на этапе собеседования «работодатель» проводил небольшую проверку кандидатов на моральную устойчивость — по сути объясняли, чем на самом деле нужно будет заниматься. Те, кто эту проверку «проходил», то есть соглашался взяться за работу, понимая, что с ней не все чисто, включались в команду.

Так что, размышляя о том, к чему готовиться, когда речь заходит о выборе средств защиты IT-инфраструктуры вашей компании, думайте о предполагаемом атакующем как об одном из ваших конкурентов: русскоязычные финансовые киберпреступники — это группы высокомотивированных профессионалов, которые хотят похитить деньги вашей компании. В отличие от настоящих конкурентов, киберпреступники никак не ограничены законодательством и обладают низким уровнем эмпатии. Другими словами, старайтесь адекватно оценить потенциальную угрозу от действий подобных групп. Даже несмотря на то, что в последние годы банковская индустрия и индустрия информационной безопасности сделали очень многое, чтобы обезопасить финансовые транзакции через Интернет, а правоохранительные органы задержали десятки подозреваемых, к сожалению, по нашим сведениям, на русскоязычном рынке еще есть несколько действующих групп охотников за чужими деньгами. Методы работы и уровень профессионализма некоторых из них не ниже, чем у группы Lurk.

  1. Если киберпреступникам все же удалось успешно вас атаковать, не медлите с заявлением в полицию и приглашением экспертов по цифровой криминалистике.

В этой истории у нас был период, когда нам пришлось приостановить нашу работу по группе Lurk просто потому, что исследовать особо было нечего: в 2011–2012 годах мы не слышали о большом количестве инцидентов, в которых фигурировало их вредоносное ПО. В какой-то момент мы даже решили, что группировка покинула сцену. Однако, как мы выяснили позже, инциденты с участием этого вредоносного ПО происходили все это время — о них просто умалчивали.

Многие жертвы атак просто не сообщали о них в полицию и не приглашали технических экспертов. Для некоторых компаний забыть об инциденте, просто покрыв убытки, было предпочтительнее, чем ввязываться в требующие много времени и сил процессы взаимодействия с полицией и экспертами по безопасности. Риск, что информация об атаке станет публичной и нанесет репутационный ущерб, — еще одна причина, останавливавшая некоторые компании от заявления в полицию. В некоторых случаях компании все же решали заявить, но через значительный промежуток времени после возникновения инцидента.

Между тем успех расследования финансовой кибератаки во многом зависит от того, как скоро жертва сообщит об инциденте профессионалам. Чем раньше это произойдет, тем больше доказательств удастся собрать криминалистам до того, как преступники заметут следы.

Еще одна причина в пользу того, что заявлять об атаке нужно немедленно после факта ее обнаружения, заключается в том, что из-за некоторых особенностей функционирования систем обмена финансовыми данными между банками всегда есть шанс остановить украденные деньги на пути от счета жертвы к счетам дропов. Средства оказываются на счетах похитителей не моментально. Иногда (например, если хищение было совершено перед выходными или праздничными днями) на завершение перевода может уйти несколько дней, а то и неделя. Если успеть обратиться в правоохранительные органы и экспертные организации в течение этого времени, шанс вернуть деньги сохраняется.

  1. Смысл заявлять в полицию о кибератаке есть. Расследование подобных преступлений — процесс сложный и долгий, но рано или поздно преступники оказываются под арестом.

Недостаток веры в способности правоохранительных органов и экспертных организаций ловить и наказывать киберпреступников — это еще одна причина, по которой некоторые жертвы кибератак умалчивают об инцидентах. Иногда даже те, кто заявляет об атаке, не испытывают особых надежд на позитивный исход.

Позвольте попытаться переубедить вас. Исследование деятельности группы Lurk заняло так много времени просто потому, что эта группа представляла собой хорошо организованное и дисциплинированное криминальное предприятие, участники которого много времени уделяли обеспечению максимальной анонимности своих операций. Они были настоящими профессионалами своего дела — совершающими злодеяния, но все же профессионалами. И хотя в Интернете гораздо проще спрятать следы преступления, некоторые из них скрыть не получится, и рано или поздно профессиональная команда экспертов окажется способна собрать все ниточки воедино.

Lurk — не первый и не последний пример такого расследования. Взять, к примеру, некогда известный банковский троянец SpyEye. Хищения с его помощью совершались примерно с 2009 по 2011 год, в то время как его предполагаемый создатель был арестован в 2013 году, а осужден в 2014 году.

Первые атаки с помощью банковского троянца Carberp начались примерно в 2010 году, а группа подозреваемых в создании и распространении этого троянца была арестована только в 2012-м, осуждена — в 2014 году. И так далее. В истории деятельности каждой из этих групп был период, когда всем (и прежде всего самим их участникам) казалось, что они неуязвимы, что полиции и экспертам по кибербезопасности не удастся ничего сделать. Как мы видим, они ошибались.

  1. Убедитесь, что программное обеспечение для дистанционного банковского обслуживания, которое использует ваша организация, обновлено и соответствует современным требованиям к информационной безопасности.

В процессе нашей работы над инцидентами, связанными с группой Lurk, мы наблюдали огромные изменения в том, как банки, разработчики программного обеспечения и сообщество информационной безопасности меняли свое отношение к проблеме безопасности финансовых транзакций. В самом начале, в 2011 году, группа Lurk могла похищать деньги чуть ли не в автоматическом режиме: просто потому, что некоторые клиентские программы для дистанционного обслуживания в те времена потенциально позволяли такое делать. Сейчас, в 2016 году, в большинстве случаев такое просто невозможно. Я говорю «в большинстве случаев» потому, что даже несмотря на то, что на рынке присутствует достаточное количество продуктов, способных проводить банковские транзакции с минимальным риском, еще существуют банки и организации, которые используют программное обеспечение, придуманное во времена, когда подобные атаки не были проблемой. Это очень плохо, потому что хоть Lurk и была крупнейшей группировкой, специализировавшейся на подобных атаках, но она, к сожалению, не последняя. По этой причине я призываю всех представителей бизнеса, использующих системы дистанционного банковского обслуживания, убедиться в том, что программное обеспечение учитывает все риски, которые могут возникнуть в связи с деятельностью групп такого типа.

Например, используйте надежные решения для мультифакторной аутентификации. Под «надежными» я имею в виду решения, которые нельзя обойти с помощью подмены SIM-карты. Вот вам история: в 2015 году, когда Lurk еще была активна, по некоторым городам России прокатилась волна сообщений о злоумышленниках, которые при помощи поддельных доверенностей осуществляли перевыпуск SIM-карт без ведома их настоящих владельцев.

Делалось это для получения доступа к одноразовым паролям, которые банк присылает пользователю, чтобы он мог подтвердить финансовую транзакцию в интернет-банкинге или системе дистанционного банковского обслуживания. Злоумышленники воспользовались тем, что в отдаленных от крупных городов регионах сотрудники мобильных операторов не всегда достаточно тщательно проверяли подлинность предоставленных документов и выпускали новую SIM-карту по запросу преступников. Lurk заражали компьютер жертвы, выясняли ее персональные данные, с помощью «партнеров» с форумов изготавливали поддельную доверенность и шли в офис оператора. Получив новую SIM-карту, они тут же опустошали счет жертвы, после чего исчезали.

Однако эта схема срабатывала только с теми системами, в которых не использовалась дополнительная авторизация SIM-карты по ее уникальному номеру (IMSI). В решениях, которые учитывают этот фактор, нельзя просто так взять и заменить SIM-карту. Перед тем как работа сервиса одноразовых паролей возобновится, владелец новой карты должен связаться с представителями банка и подтвердить замену.

Так что, выбирая систему дистанционного банковского обслуживания, убедитесь не только в том, что она позволяет проводить все необходимые вашей компании операции и стоит недорого, но и в том, что она надежна и современна в плане информационной безопасности.

  1. Обучайте персонал распознавать киберугрозы. Особенное внимание уделяйте обучению сотрудников, которые имеют доступ к рабочим станциям с программами для дистанционного банковского обслуживания. Именно они станут основной целью групп, похожих на Lurk.

Вне зависимости от того, насколько сложна кибератака, чаще всего она начинается с атаки на человека. Сотрудник организации получает по электронной почте письмо с вредоносным приложением или ссылкой на вредоносный сайт. Сотрудник открывает приложенный файл или переходит по ссылке, и атака выходит на следующую стадию.

Самый лучший способ справиться с финансовой кибератакой на вашу организацию — это избежать ее, и осведомленность сотрудников об актуальных киберугрозах в данном случае является крайне полезным профессиональным навыком. Если вы научите ваших сотрудников, особенно тех, кто работает с финансами, безошибочно идентифицировать вредоносные письма, фишинговые страницы и другие применяемые киберпреступниками способы заражения и выманивания ценной корпоративной информации, вы уже значительно снизите риск. Этот совет также актуален и для тех сотрудников, которые занимаются поддержанием IT-инфраструктуры. Если вы представляете малый бизнес, вы, скорее всего, не имеете в штате эксперта по информационной безопасности, а соответствующие функции по умолчанию возложены на системного администратора. Но тот факт, что ваш «айтишник» может устанавливать необходимое ПО и решать проблемы с работой оборудования, совсем не означает, что он не менее сведущ и в вопросах безопасности. В процессе исследования деятельности Lurk мы видели реальные примеры того, как системные администраторы компании используются преступниками в качестве «точки входа» в IT-инфраструктуру организации.

В том числе поэтому системных администраторов следует обучать информационной безопасности наряду с другими сотрудниками. В общем, не пренебрегайте дополнительным образованием: эти инвестиции способны сберечь вам деньги.

  1. Используйте надежные защитные решения. Применяйте жесткие политики безопасности к терминалам, с которых осуществляются финансовые транзакции, и к сотрудникам, которые их используют.

Это наш стандартный совет, но он не теряет актуальности: надежное защитное решение корпоративного уровня если и не решит проблему финансовых кибератак полностью, то хотя бы обеспечит базовую защиту от вредоносного ПО, спама и прочих киберугроз. Также если вы представляете крупную организацию с тысячами рабочих станций, то помимо стандартного набора решений для защиты IT-инфраструктуры следует рассмотреть возможность установки надежного решения для предотвращения целевых атак, которое, ориентируясь на аномалии в сетевом трафике, способно выявлять сложные атаки, не использующие вредоносное ПО, а вместо этого применяющие легитимный софт (средства для поиска уязвимостей в компонентах сети, программы для удаленного администрирования и так далее).

Мудрая сегментация сети, которая затруднила бы удаленный доступ к рабочим станциям, с которых совершаются финансовые операции, — это еще одна мера, которая если и не сможет гарантировать невозможность успешной кибератаки на вашу организацию, то уж точно сделает эту задачу очень дорогостоящей.

Вообще, стоимость атаки на вашу организацию — гораздо более важная вещь для киберпреступников, чем может показаться на первый взгляд. Анализируя активность  группы Lurk, мы видели, что ее участники используют огромную инфраструктуру для обеспечения работоспособности вредоносных программ. Помимо этого они содержали штат разработчиков, тестировщиков и прочих «сотрудников», необходимых для успеха всего предприятия. По нашим оценкам, ежемесячно все это обходилось руководителям группировки в десятки, если не сотни тысяч долларов. Чтобы быть прибыльными, преступникам нужно похищать больше, чем они тратят. И, следовательно, чем дороже будет атаковать вашу компанию, тем менее привлекательна она будет для киберпреступных групп, подобных Lurk.