Reuters: ЦБ РФ расследует публикацию исходного кода вируса для атак на банки
Российский Центробанк сообщил, что проводит проверку после публикации в открытом доступе исходного кода вредоносного программного обеспечения, которая может спровоцировать новую волну кибератак на банки.
Неизвестные опубликовали архив с файлами под названием Pegasus, в котором содержится исходный код трояна, на сайте pastebin.com, который позволяет любому человеку анонимно публиковать исходный код какого-либо программного обеспечения.
Помимо исходного кода, в архиве содержится информация о контактных данных и должностях сотрудников десятков российских банков, в том числе Сбербанка, Промсвязьбанка и Металлинвестбанка. В нескольких файлах также приводится описание того, как обходить банковскую систему по противодействию атакам и как устроена схема передачи платежей через Автоматизированное рабочее место клиента Банка России.
"Банк России в курсе данной ситуации и проводит необходимые мероприятия", — сообщил ЦБ в ответ на просьбу о комментарии, не дав деталей.
Источник в ЦБР сказал Рейтер, что значительная часть информации в выложенном архиве устарела, однако ФинЦЕРТ Банка России, который занимается анализом кибератак и дает рекомендации другим финансовым учреждениям, проводит "точечную работу с теми банками, информация о которых есть в выложенном архиве".
Представитель Промсвязьбанка сообщила Рейтер, что банк проводит проверку этой информации и "в достаточной степени защищен и работает в тесном контакте с ЦБ по повышению информационной безопасности".
"Мы в курсе данной ситуации. Размещенные материалы не оказывают влияние на уровень защищённости систем банка и не содержат данных сотрудников банка", — говорится в комментарии Сбербанка.
Металлинвестбанк пока не ответил на просьбы о комментарии.
Подарок для хакеров
Публикация архива может облегчить для хакерских группировок подготовку к атакам на банки и заражение их систем, и, как следствие, привести к новой волне кибератак, говорят эксперты.
"Архив содержит достаточно большой объем инструментов и инструкций по реализации атак, который достаточно легко может быть активирован и использован злоумышленниками. Сам факт публикации кода действительно делает его доступным для широкой группы разных хакерских группировок, что увеличивает вероятность атаки", — сказал Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC.
Лаборатория Касперского сообщила, что им известно об утечке исходного кода вредоносного софта, который известен под именами Pegasus, Ratopak или Karamanak.
"Утечка исходного кода теоретически может облегчить злоумышленникам возможность заражать банки, однако кража денег всё равно требует много планирования и усилий. Другими словами, мы вряд ли незамедлительно услышим о новых киберинцидентах, которые спровоцировала эта утечка", — говорится в комментарии компании.
"Временные метки позволяют предположить, что код был создан в 2015-2016 годах. Вирусописатели определённо являются русскоговорящими, а их целью были финансовые организации в России".
В долгосрочной перспективе различные киберпреступники пользуются доступным исходным кодом и создают на его основе новые модификации вредоносного ПО, сообщила Лаборатория Касперского.
В мае 2017 года более 500.000 компьютеров были заражены вирусом WannaCry, который зашифровывал на них данные и требовал выкуп в биткоинах за дешифровку. Президент Microsoft Брэд Смит в блоге компании утверждал, что WannaCry был создан на основе украденного кибероружия Агентства национальной безопасности США, данные о котором публиковала хакерская группировка Shadow Brokers в 2016 году, а затем – Wikileaks.
В феврале 2016 года Symantec сообщала о масштабной фишинговой кампании с использованием вредоносного ПО Ratopak, которое после заражения компьютера проверяло языковые настройки и начинало работать, если пользователь установил русский или украинский языки. Троян позволял делать снимки рабочего стола, перехватывать нажатия клавиш и закачивать произвольные файлы. С декабря 2015 года по февраль 2016 года с помощью этого ПО были атакованы шесть российских банков, утверждала Symantec.
Под данным ФинЦЕРТа, в 2017 году на банки России было совершено 11 успешных атак, в ходе которых было похищено 1,15 миллиарда рублей. Всего за прошлый год организация зафиксировала 240 попыток проведения кибератак.
В июне московский суд отправил за решетку шестерых хакеров, которые похитили около 12,5 миллиона рублей со счетов клиентов российских банков.
Мария КОЛОМЫЧЕНКО, Татьяна ВОРОНОВА
Редактор Антон ЗВЕРЕВ