Рис. 30. Направления совершенствования кибербезопасности в условиях применения СЭБ и интернета вещей
Необходимо отметить, что именно соблюдение кредитными организациями указанных требований позволит существенно снизить вероятность успешного исхода при проведении злоумышленниками атакующих действий. Векторы атак злоумышленников не всегда одинаковы, однако их можно классифицировать по основным группам и «точкам приложения».
2.6.1. Целевые атаки на кредитные организации
В последние три года эксперты ФинЦЕРТ Банка России отмечают увеличение количества целевых атак на ОКФС. При компрометации информационных систем и сетей используются инструменты, предназначенные для проведения тестов на проникновение.
К таким инструментам можно отнести Metasploit Framework и основанные на Metasploit решения: Cobalt Strike, Armitage, Empire. Например, в 2017 г. ущерб от атак с использованием набора программ Cobalt Strike, разработанного американской компанией Strategic Cyber, LLC, согласно Обзору основных типов атак в кредитно-финансовой сфере, превысил 1 млрд руб. Данные инструменты, разработанные с применением техник, затрудняющих их обнаружение в системе, предоставляют простой механизм удаленного управления зараженными компьютерами, а также включают в себя утилиты, предназначенные для сбора информации о сети организации и хищения данных (паролей, документов и пр.).
Особенностью указанных атак является то, что они не требуют от атакующих особых технических знаний. Большинство компонентов уже соответствующим образом подготовлены производителями программного обеспечения.
Типовая схема целевой атаки на кредитную организацию выглядит следующим образом:
– производится массовая рассылка на адреса ОКФС электронных писем, содержащих вредоносные вложения;
– в случае запуска вредоносного вложения происходит скрытое внедрение программ (чаще всего загрузчика) в компьютер неосторожного получателя;
– после скачивания загрузчика на компьютере устанавливается компонент Beacon (основной инструмент из набора Cobalt Strike) и атакующий получает возможность удаленного доступа к зараженному компьютеру;
– атакующий проводит исследование доступных с зараженного компьютера сегментов сети и пытается открыть доступ к контроллеру домена сети для последующего получения паролей администраторов. Чтобы получить пароль, могут быть использованы возможности специальных инструментов (например, Mimikatz);
– после получения доступа к контроллеру домена и администраторских паролей атакующий ищет в сети интересующие его серверы и компьютеры. Прежде всего проводится поиск компьютера или сервера, с которого есть доступ в подсеть, где находятся банкоматы или иные сегменты сети (например, сегмент процессинга платежных карт);
– на банкоматах устанавливается программное обеспечение, действующее предположительно через программный интерфейс XFS и обеспечивающее выдачу денежных средств по команде, подаваемой удаленно. После получения контроля над банкоматами к процессу привлекаются соучастники, занимающиеся получением денежных средств. Их задача – присутствовать около банкоматов в заранее оговоренное время. После успешной выдачи денежных средств программное обеспечение с банкоматов, как правило, удаляется;
– в случае получения доступа к процессингу платежных карт привлекаются соучастники, занимающиеся оформлением на подставных лиц платежных карт атакованной организации. Карты консолидируются в руках лиц, которые получают денежные средства. Их задача – обеспечить снятие денежных средств в банкоматах непосредственно после того, как балансы и лимиты карт будут повышены в системе процессинга. В ходе получения денег соучастниками оператор может продолжать поднимать лимиты снятия или увеличивать балансы карт;
– в случае получения доступа к компьютерным средствам сегмента платежной системы Банка России (АРМ КБР) или системы переводов SWIFT осуществляются платежи на заранее подготовленные счета. Далее денежные средства переводятся с этих счетов и обналичиваются по стандартным для компьютерной преступности схемам.