28.09.2018 Общество

Студенты в Татарстане раскрыли дело о краже 100 млн рублей

Этим летом один из российских банков подвергся хакерской атаке. В течение дня системы «бомбили» несколько раз. Сотрудники банка пытались пресечь действия злоумышленников, но все равно не досчитались 5 миллионов рублей по итогам суток. Общая сумма потерь от действий группы составила 100 миллионов рублей – грабили в разных точках России и мира.

Установить IP-адреса, с которых проводились атаки, удалось студентам Университета Иннополис в рамках практического проекта по киберпреступности и компьютерной криминалистике. Для начала восстановили хронологию ограбления банка. Затем поняли алгоритм действий преступников. Как оказалось, банковская система имела ряд уязвимостей в аутентификации. Эти «дыры» и позволили хакерам добраться до счетов.

«С помощью SMB-протокола и ранее полученных данных преступники сумели обойти защиту банка, установить контроль над системой и удаленно загрузить вредоносное программное обеспечение, - объяснили представители университета. - После получения контроля над системой злоумышленники провели несколько незаконных транзакций».

Свою операцию хакеры разрабатывали несколько месяцев. Получив контроль над системой, они провели еще один тест – установили вредоносную программу и провели минимальную транзакцию. Когда стало ясно, что потерю никто не заметил, забрали еще. Спустя три атаки на счету злоумышленников были 5 миллионов рублей. Причем раз за разом преступники взламывали, казалось бы, залатанную систему.

Команде Университета Иннополис удалось установить IP-адреса атаковавших банк. Стало ясно, что работала группа с четко определенными ролями. Один человек изготовил вредоносное ПО, другой искал и использовал уязвимые системы, третий удаленно контролировал зараженную систему, четвертый и пятый снимали наличные.

«Группа функционировала несколько лет, атакуя банки России, Беларуси и Казахстана, а также инфраструктуру ИТ компаний, производителей оборудования и ритейл, - отметили представители команды Иннополиса. - Суммарно преступники похитили из организаций 100 миллионов рублей».

Вся полученная в ходе исследования информация была передана в МВД РТ, рассказал преподаватель по компьютерной безопасности Университета Иннополис Кирилл Салтанов. Отдел «К» вместе со студентами собрал доказательную базу, которая затем была использована в суде.

«Киберпреступная группировка понесла заслуженное наказание, а дальнейшие атаки на предприятия Российской Федерации предотвращены», - резюмировал Салтанов.

Механизм расследования

В команде разработали четкую систему действий, предполагающую исполнение пяти пунктов.

Исследовать и оценить скомпрометированную систему, извлечь и декодировать данные для получения информации, относящейся к инциденту.
Проанализировать компоненты системы, затронутые в ходе атаки. Найти вредоносное программного обеспечения и средства удаленного администрирования и управления компьютерной системы банка.
Проанализировать вредоносное программное обеспечение, его функционал, сетевые взаимодействий и способы проникновения в систему.
Систематизировать результаты, выстроить связи и соотнести события скомпрометированной системы, чтобы определить причины и хронологию нападения, оценить ущерб, определить источники проникновения.
Сформировать юридическую доказательную базу для дальнейшей процедуры расследования компьютерного преступления.

---
Казанский репортер
№ --- | 28.09.2018