На Международном финансовом конгрессе в Санкт-Петербурге были представлены сводные данные по основным типам компьютерных атак в кредитно-финансовой сфере за 2018 г. Документ подготовлен специалистами ФинЦЕРТ Банка России совместно с ведущими российскими компаниями в области расследования инцидентов информационной безопасности.
Так, эксперты Positive Technologies, оценивая защищенность отрасли, отметили, что три четверти банков уязвимы для атак методами социальной инженерии. В 75% банков сотрудники переходят по ссылкам, указываемых в фишинговых письмах, в 25% — вводят свои учетные данные в ложную форму аутентификации; также в 25% финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение. При этом фишинг на этапе проникновения используют девять из десяти APT-группировок (APT — advanced persistent threat).
Далека от совершенства и безопасность внутренней сети банков. Самые частые проблемы в конфигурации серверов — несвоевременное обновление ПО (67% банков) и хранение чувствительных данных в открытом виде (58% банков). Более чем в половине обследованных банков используются словарные пароли. Специалистам Positive Technologies при проведении тестов на проникновение доступ к управлению банкоматами из внутренней сети удалось получить в 25% банков.
Низким остается уровень защищенности мобильных приложений: уязвимости высокого уровня риска обнаружены в 38% приложений для iOS и в 43% приложений для платформ под управлением Android. В 76% мобильных приложений выявлено небезопасное хранение данных, которое может привести к утечкам паролей, финансовой информации и персональных данных пользователей.
Эксперты Positive Technologies подчеркивают оперативность APT-группировок), которые в своей деятельности быстро применяют новые возможности. Так, группа Cobalt провела вредоносную рассылку через 34 ч с момента публикации информации об уязвимости нулевого дня CVE-2018-15982. Всего эта группировка за 2018 г. выполнила 61 рассылку по кредитно-финансовым организациям в России и странах СНГ.
Другая APT-группа — RTM, на счету которой в 2018 г. 59 рассылок, — использовала в качестве одного из центров управления домены в защищенной от цензуры децентрализованной зоне .bit. Однако особенности архитектуры блокчейна сыграли против злоумышленников. Специалисты PT Expert Security Center разработали алгоритм отслеживания регистрации новых доменов группировки RTM (или смены их IP-адресов), что позволяет уведомлять банки о новых управляющих серверах через несколько минут после начала их использования злоумышленниками (а иногда и до вредоносной рассылки).
Несмотря на общий рост числа атак в 2018 г., финансовый ущерб значительно снизился по сравнению с предыдущим годом. Этому во многом способствует информационный обмен внутри отрасли, в частности запуск автоматизированной системы обработки инцидентов (АСОИ) ФинЦЕРТ. Согласно данным ФинЦЕРТ, ущерб российских организаций кредитно-финансовой сферы от атак группы Cobalt в 2018 г. составил не менее 44 млн руб., а от атак группы Silence — не менее 14,4 млн руб. Всего за год ФинЦЕРТ получил сведения о 590 атаках на кредитно-финансовые организации, в том числе о 177 целевых атаках.
APT-группировки постоянно совершенствуют техники атак, улучшают качество рассылок, следят за публикацией уязвимостей, приобретают уязвимости нулевого дня и вводят их в свой арсенал за считаные часы. Кредитно-финансовым организациям сегодня нельзя больше ставить во главу угла традиционное возведение защитных барьеров. Ситуация изменилась: преступники научились обходить антивирусы, песочницы, системы IDS. Банкам следует исходить из того, что гипотетический злоумышленник уже находится внутри их периметра; главная задача — максимально сократить время его присутствия в инфраструктуре и лишить его возможности действовать, подвели итог в Positive Technologies.
Свое аналитическое исследование кибератак на российские банки и уровня защищенности организаций финансово-кредитной сферы в 2018 — начале 2019 гг. представила и компания «Ростелеком-Солар». Всего за 2018 г. Solar JSOC зафиксировал в кредитно-финансовых организациях свыше 120 тыс. компьютерных атак. Доля критичных инцидентов — т. е. таких, которые способны привести к остановке деятельности или потерям на сумму свыше 1 млн руб. — составила до 19%. Во второй половине года количество атак, направленных на получение контроля над инфраструктурой, выросло на 50%, количество атак, направленных на кражу денежных средств, — на 60%. Аналитики Solar JSOC прогнозируют дальнейший рост таких атак на финансово-кредитный сектор, подчеркивая, что в 2019 г. количество попыток вывода денежных средств из банков может вырасти в два раза.
Злоумышленники с одинаковой интенсивностью развивают и совершенствуют все возможные методы атак: от проникновения в защищаемый периметр и взлома веб-сервисов до изощренной социальной инженерии в отношении сотрудников банка.
Большие опасения вызывает безопасность систем дистанционного банковского обслуживания в России: в рамках проектов по анализу защищенности группа пентеста Solar JSOC обнаруживала уязвимость класса IDOR (insufficient direct object references) в каждом четвертом банковском мобильном приложении. Проэксплуатировав такую уязвимость, злоумышленник может узнать номер счета клиента и остаток средств на нем, а также перевести деньги на сторонний счет, минуя этап ввода одноразового пароля. Уязвимости класса XSS (cross-site-scripting), позволяющие атаковать компьютеры или мобильные устройства клиентов банка, обнаруживаются практически в каждом приложении.
Однако основную опасность представляет «социальный» вектор киберугроз. По данным Solar JSOC, 68% сложных целенаправленных атак на банки начинается с рассылки фишинговых писем по сотрудникам. Эффективность фишинга в отношении банковского сектора выше средних значений по рынку — в среднем каждый 6-й пользователь, не прошедший курсы повышения осведомленности, поддается на социальную инженерию. Во многом это связано с тем, что вредоносные рассылки, ориентированные на банки, обычно лучше подготовлены и продуманы. Они примерно на 60% чаще включают персонификацию — обращение к жертве по имени, упоминание реальных рабочих обязанностей сотрудника и т.п. Это повышает уровень доверия к письму, а с ним и вероятность, что сообщение будет открыто.
В первой половине 2018 г. через фишинговые письма, как правило, распространялся троян Dimnie, во втором полугодии он уступил место вредоносному ПО под названием RTM, созданному непосредственно для атак на российский финансовый сектор. Анализ образцов RTM начала 2019 г. показывает, что троян уже был несколько раз модифицирован злоумышленниками с целью предотвращения его обнаружения и повышения надежности работы.
Усовершенствования уже известного хакерского инструментария, выводящие его на новый уровень эффективности, можно назвать трендом. Во второй половине 2018 г. аналитики Solar JSOC регулярно сталкивались с вредоносным ПО, оптимизированным для обхода средств защиты, в том числе антивирусов и «песочниц». Уровень проработки фишинговых писем также заметно повысился. Если раньше получатель мог обратить внимание на ошибки или непривычные формулировки, то теперь письма все труднее отличить от привычных рассылок о промоакциях или приглашений на предстоящие мероприятия для организаций финансово-кредитного сектора.
Несмотря на активную борьбу с массовыми атаками в 2017-2018 гг., темпы устранения уязвимостей в кредитно-финансовой сфере остаются невысокими. Среднее время от выхода патча до полного закрытия критичной уязвимости в банках составляет около 42 дней. Это дает злоумышленникам достаточно времени, чтобы не только разработать эксплойт, но и провести несколько атак до того, как уязвимость будет закрыта.