4 грудня 2020 р.

Cyber ​​threats: дистанційне банківське обслуговування, брокерські рахунки, криптовалюта

Вчора відвідав цікаву конференцію, яку організували ВТБ і Асоціація Корпоративних Казначеєв «Оптимізація і забезпечення безпеки грошових потоків».
Сподобався один з доповідей щодо ситуації з кіберзагрозами, тезами якого я хотів би поділитися.

Кіберзагрози (Group-IB):

Статистика шахрайства в ДБО:
Вцілому, відзначається зниження загроз типу:

  • Розкрадання в інтернет банкінгу у ЮЛ (-12%)
  • Розкрадання в інтернет банкінгу у ФО (-100%)
  • Розкрадання у ФО з Андроїд троянами (-77%)
  • Цільові атаки на банки в РФ (-20%)
  • Переведення в готівку викрадає засобів (-26%)
  • Зростання тільки в фішинг: 6%.

    Зниження загроз викликаний зниженням інтересу угруповань саме до РФ і перехід на менш захищені країни.

    Одна з серйозних загроз для ЮЛ - «BUHTRAP».

    Kill chain:

  • Зараження - через поштові розсилки з шкідливим вкладенням маскуються під повідомлення від банку.
  • Обхід - UAC, mimimod для отримання записів ОС, RPD / VNC / LiteManager
  • Знищення - ОС і слідів роботи
  • Запуск - модуля автозаліва для «1С: Підприємство в браузері»
  • Обхід - захисту «1С: Підприємство" Контроль безпеки обміну з банком ".
  • У другій половині 18 року т.ч. було заражено більше 600 облікових записів ЮЛ.

    Цілеспрямовані атаки на банки (угруповання, напрям ударів):

  • ANUNAK (інтернет-банкінг, АРМ КБР, SWIFT, Банкомати, платіжні шлюзи, картковий процесинг)
  • CORKOW (трейдинговие термінали, картковий процесинг, банкомати)
  • окремим варто BUHTRAP
  • LURK (АРМ КБР)
  • COBALT (банкомати, картковий процесинг, SWIFT, платіжні шлюзи)
  • MONEYTAKER (банкомати, картковий процесинг, АРБ ​​КБР)
  • SILENCE (банкомати, картковий процесинг, АРБ ​​КБР)
  • LAZARUS (SWIFT, картковий процесинг)
  • BLACKENERGY (саботаж)
  • АРМ КБР - автоматизоване робоче місце ЦБ РФ.

    На поточний момент активні останні 5 зі списку: COBALT, MONEYTAKER, SILENCE, LAZARUS (діє вже близько 5 років), BLACKENERGY.

    Приклади атак:

  • 01.2015 - Еквадор, Banco del Austro, викрадено 12 млн. Дол.
  • 10.2015 - В'єтнам, Tien Phong Bank, викрадено 1,36 млн. Дол
  • 02.2016 - Бангладеш, Центральний банк, Lazarus, спроба розкрадання 951 млн. Дол.
  • 04.2016 - Україна, банк "Кредит Дніпро", Cobalt, викрадено 950к. дол з спроби розкрадання 10 млн.
  • 12.2016 - Туреччина, AkBank, Lazarus, викрадено 4 млн. Дол.
  • 04.2017 - Б.Восток, ЛатАмеріка, Shadow Brokers опублікували відомості про атаки Equation Group (США) на SWIFT
  • 12.2017 - Росія, банк, Cobalt, 1 млн. Дол викрадений з спроби в 5 млн. Дол.
  • 01.2018 - Мексика, Bancomext, Presumably Lazarus, викрадено 110 млн. Дол.
  • 02.2018 - Індія, 2 банки, викрадено 1,7 млн. І 1,87 млн. Дол.
  • 05.2018 - Чилі, Banco de Chile, Presumably Lazarus, пеохіщено 10 млн. Дол.
  • Приклад атаки на брокерську систему:

    18.09.2014 Зараження:
    13:21 - Експлуатація уразливості
    13:22 - Установка трояна
    13:24 - Відправлення даних

    Збір відомостей про систему:
    19.09 - старт збору.
    Вересень, жовтень і листопад - аналіз дій.
    10.12 - запуск клавіатурного шпигуна

    інцидент:
    27.02.2015
    12:30 - Віддалене управління системою
    12:32 - Формування заявок на біржу
    12:44 - Знищення системи

    14 хвилин тривалість атаки.

    Загрози для кріптовалютного ринку:

    </ Strong>Приклад атаки:

  • Фішингових сайтів під китайську кріптобіржу Binance
  • Збір логінів і паролів трейдерів
  • Генерація API-ключів для автоматизованої роботи з біржею
  • протягом 2-х хвилин - генерація заявок від імені трейдерів на валюту Viacoin
  • зростання курсу Viacoin
  • Продаж Viacoin за Bitcoin за завищеним курсом
  • Найбільшою небезпекою для системи вважається подвійне списання коштів (double spending).

    »Атака 51%"

    Володіючи 51% потужності, атакуючий може створити прихований альтернативний блокчейн і використовувати його для підтвердження власних транзакцій.

  • Verge - атакуючий добув криптовалюта на суму понад 1 млн. Дол.
  • Bitcoin Gold - атакуючий добув криптовалюта на суму понад 18 млн. Дол.
  • SuperNova повідомив, про атаку «51%» на Verge.
  • ZenCash - атакуючий добув криптовалюта на суму понад 550к. дол.
  • Litecoin Cash - Форк криптовалюта LTC зіткнувся з «атакою 51%»