Хакеры «положили» ИТ-системы огромного банка, маскируя взлом SWIFT

Безопасность Стратегия безопасности ИТ в банках
мобильная версия
, Текст: Роман Георгиев
Сотни компьютерных систем крупнейшего чилийского банка пали жертвой деструктивного вредоноса. Вероятно, кибератака использовалась как маскировка для попытки кражи средств через систему SWIFT.

Одна вредоносная программа на 9000 компьютеров и 500 серверов

Компания Trend Micro опубликовала отчёт о произошедшем в мае 2018 г. киберинциденте в Чили, когда хакеры использовали деструктивную вредоносную программу («вайпер») для вывода из строя банковских систем. По утверждению экспертов, в действительности хакеры стремились проникнуть в локальную подсеть банка, подключённую к системе SWIFT, а вайпер использовался лишь в качестве маскировки.

Хотя в отчете название банка не приводится, вероятнее всего речь идёт о Banco de Chile, крупнейшей финансовой организации Чили, которая 24 мая 2018 г. сообщила о широкомасштабном сбое своих систем, в результате которого многие операции стали недоступны.

28 мая банк признал, что столкнулся с киберинцидентом - атакой «вируса». Как выяснилось, вредоносная программа, атаковавшая компьютеры банка, наносила повреждения загрузочному сектору жёсткого диска (Master Boot Record), в результате чего компьютер становилось невозможно загрузить.

Жертвой вредоноса в общей сложности стали более 9000 персональных компьютеров и более 500 серверов.

Хакеры фактически уничтожили компьютерные системы Banco de Chile в попытке замести следы после взлома SWIFT

Впоследствии чилийская фирма Arkavia Networks, занимающаяся вопросами безопасности, идентифицировала вредонос как KillMBR; это наименование компания Trend Micro некоторое время использовала для вредоносной программы KillDisk, печально знаменитого вайпера, пытающегося выдавать себя за шифровальщик-вымогатель.

KillDisk выводит типичный для вымогателей текст с требованием выкупа за ключ для дешифровки, хотя на самом деле шифрования данных не происходит, они просто унитожаются.

Атака или диверсия?

Как раз на днях Trend Micro опубликовали отчёте о некоем майском инциденте в Чили, где фигурировала новая версия KillDisk, разрушавшая MBR, но не выводившая никаких требований выкупа. Конкретные пострадавшие в отчёте не названы, однако совпадение по месту и времени заставляет предположить, что речь идёт именно о Banco de Chile.

Эксперты Trend Micro отметили, что тот же вариант KillDisk ранее использовался некоей хакерской группировкой при попытке украсть из мексиканского банка $110 млн через систему SWIFT. И теперь те же хакеры использовали аналогичный трюк в Чили.

«Наш анализ показывает, что атака (с помощью KillMBR) использовалась для отвлечения внимания. Конечной целью было проникновение в системы банка, подключённые к локальной сети SWIFT», - говорится в новом отчёте Trend Micro.

До настоящего момента, ни сам банк, ни чилийские официальные лица, ни местные СМИ не публиковали никаких подробностей относительно атаки на Banco de Chile.

Чилийский журналист Родриго Эскобар Полхаммер (Rodrigo Escobar Pohlhammer) отметил в твиттере, что на фоне массового вывода из строя компьютеров в Banco de Chile кто-то похитил 11 млн долларов. При этом источники в самом банке полагают, что атаку устроил кто-то из недавно сокращённых сотрудников, решивший таким образом отомстить.

«Атаки с использованием диверсий - распространённое явление», - отмечает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - «Но их вряд ли будут проводить «обычные» киберпреступники: подобные операции требуют высокого уровня технической подготовки. Если в случае с Banco de Chile и вправду действовал «инсайдер», то, скорее всего, это кто-то из тех, кто занимался вопросами технической и информационной безопасности, что сужает круг подозреваемых для правоохранительных органов».