Изменение курса рубля на 15% в феврале 2015 года — работа хакеров

    Высокая волатильность курса рубля может быть обусловлена не только санкциями, падением цены на нефть и снижением темпов роста экономики Китая. Еще один фактор — malware и умело спланированная злоумышленниками атака на финансовые структуры. Так, причиной резкого изменения курса рубля в феврале прошлого года стала именно атака хакеров, пишет «РБК» и Bloomberg. Атаку обнаружили и проанализировали эксперты по информационной безопасности из компании Group-IB.

    Как оказалось, хакеры из России сумели взломать систему безопасности регионального банка Энергобанк, и при помощи вируса изменить курс рубля на бирже на 15%. Для атаки на системы банка использовался вирус Corkow Trojan. В ходе атаки банк разместил в феврале 2015 года приказы более, чем на $500 млн, причем по нерыночному курсу. «Это первая задокументированная атака с использованием этого вируса, причем ущерб может быть намного большим… Как только malware проникает в локальную сеть, его сложно обнаружить, а зловред может заразить и компьютеры, не подключенные к Интернету», — сообщил руководитель отдела расследований и сервиса киберразведки Group-IB Дмитрий Волков.

    Такие действия банка привели к значительным колебаниям курса рубля на бирже, что позволило хакерам приобрести доллары по курсу 59,0560. Всего через 51 секунду злоумышленники продали купленную ранее валюту уже по курсу 62,3490. Всего за 15 минут хакерам удалось добиться максимальной волатильности отечественной валюты, с минимальным курсом доллара в 55 рублей за $1. До начала атаки курс доллара составлял 60-62 рубля за $1.

    Как указывалось выше, взломщики использовали вредоносное ПО Corkow Trojan, этот вирус постоянно обновляется создателями для обхода основных антивирусов. Это достаточно распространенный и чрезвычайно эффективный вирус, который за относительно небольшое время смог проникнуть в компьютерные сети различных финансовых институтов и других организаций по всему миру. Общее количество зараженных Corkow Trojan ПК оценивается специалистами в 250 тысяч устройств. При этом практически во всех банках, где был обнаружен вирус, специалисты зафиксировали корректную работу лицензионных антивирусов. Вирус спроектирован очень хорошо, благодаря чему в некоторых случаях он способен оставаться незамеченным многие месяцы.

    По словам представителей Энергобанка, убытки организации в феврале 2015 года составили 244 миллионов рублей (об этом, в частности, писали «Ведомости»). Основной фактор, приведший к таким значительным потерям — действия хакеров. После детальной проверки Московская биржа сообщила, что ее системы работали в штатном режиме.

    После изучения ситуации, в конце марта 2015 года комитет по валютному рынку Московской биржи вынес рекомендацию правлению биржи по исключению Энергобанка из состава участников торгов валютного рынка. Причина — недостаточная защищенность системы информационной безопасности банка. «В итоге этой махинации банк понес большой финансовый и репутационный ущерб, поскольку многие игроки на рынке не доверяют версии со взломом и охотно все списывают на ошибку оператора торговой системы», — сообщили представители Group-IB.

    Также в 2015 году, только уже в августе, произошла другая проблемная ситуация, связанная с несанкционированным использованием расчетной системы, которая объединяла около 250 банков. Эта система позволяла своим участникам снимать средства с карт Visa и MasterCard по выгодным тарифам. И через банкоматы одного из участников системы в августе было выведено несколько сотен миллионов рублей. Как позже оказалось, это была несанкционированная выдача средств, а причина случившегося — хакерская атака с использованием того же вируса Corkow.

    Подробный отчет компании Group-IB можно найти здесь (pdf).
    Поделиться публикацией
    Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

    Зачем оно вам?
    Реклама
    Комментарии 37
    • 0
      тоже что ли в хакеры податься :))
      • +5
        А как же. Все проблемы, они от злых хакеров и жадных пиратов.
        • +1
          От спекулянтов-хакеров: https://meduza.io/news/2015/12/24/putin-obvinil-spekulyantov-v-padenii-urovnya-zhizni-rossiyan
          Наверное через пару месяцев мы узнаем новые подробности, возможно откроется, что они спекулянты-хакеры-жидомассоны-рептилоиды.
          • 0
            //sarcasm=on
            А атаковали они через рутрекер.
            Срочно приказом нужно выделить ХХХХХХ руб. роскомнадзору на решение этой проблемы и создать новое ведомство в помощь отделу К. Дать этому отделу возможность что-нибудь еще закрывать/запрещать в интернете, ведь атака же была через интернет.
            //sarcasm=off
          • +5
            >>Изменение курса рубля на 15% в феврале 2015 года — работа хакеров

            Казанский «Энергобанк» 27 февраля в ходе торгов на валютном рынке Московской биржи потерял 243 млн руб. Средства были потеряны из-за хакерской атаки его трейдинговой системы, сообщал банк

            Примерно в 12.30 27 февраля спокойный ход торгов в валютной секции Московской биржи был нарушен: курс доллара рухнул с 61 почти до 55 руб. (см. график), через несколько минут стоил больше 66 руб., а затем вернулся к 61 руб. Объяснение этой аномалии нашлось в иске (есть у «Ведомостей») казанского Энергобанка к брокерскому дому «Открытие», БКС и «Финаму».

            27 февраля — 60,71
            3 марта — 62,22
            И где тут 15% между атакой?
            • 0
              и еще — дата статьи
              http://www.vestifinance.ru/articles/56454/print
              23.04.2015 12:10
              «Энергобанк», чьи сделки на бирже привели к аномальным скачкам курса доллара в феврале, действительно подвергся хакерской атаке, передают «Ведомости» со ссылкой на руководителя по развитию продуктов компании Group–IB Павла Крылова.

              Председатель правления «Энергобанка» Дмитрий Вагизов в интервью татарстанской газете «Бизнес Online» рассказал, что атака случилась во время обеденного перерыва в «Энергобанке». Трейдер банка увидел на экране монитора странные сделки по валютным торгам. После того как были совершены сделки на рынке, была запущена очистка жесткого диска компьютера.

              По словам главы «Энергобанка», еще несколько месяцев назад в систему банка было внедрено вредоносное программное обеспечение. Вирус все это время собирал информацию о системе, мог смотреть данные о переписке сотрудников. Злоумышленники должны были хорошо изучить распорядок дня сотрудников банка. По его мнению, смысл атаки на «Энергобанк» был в том, чтобы захватить контроль над торговым терминалом и подать заявки на покупку и продажу валюты.
              • +1
                Ссылка на «Вести» дана в абзаце материала, где и говорится о том, что эта публикация от прошлого года, вроде бы нигде не утверждается, что «Вести» только-только все это напечатали.

                Но сейчас появился отчет с полным анализом ситуации. А представители компании, которая проводила исследование, дали интервью РБК и Блумбергу, рассказав новые подробности. Вот материал на РБК и Блумберге — как раз новинка.
                • 0
                  Дата указывает что и тогда большие детали были известны.

                  Ну надо же Group-IB о себе напомнить.

                  Написано не очень.

                  Про работу антивирусов, про мероприятий по предотвращению этого в отчете очень мало.
                  • +1
                    а зачем в публичном отчете об инциденте печатать рекомендации по предотвращению и о антивирусах?
                    они описали конкретный кейс с разбором инструмента, хронологией и последствиями, отчасти это для того чтобы продавать свои услуги по предотвращению, реагированию.
              • +3
                Данные по торгам на ММВБ за 27/02/2015, взятые с сайта export.rbc.ru:

                TICKER | __DATE__| |_OPEN_| |HIGH_| |LOW | |CLOSE| |VOL_______| |WAPRICE|
                USD000 |2015-02-27| |_61.088| |66.33 | |55.36| |61.877_| |2117554000| |61.1887|

                Для сравнения возьмите данные за любой другой день февраля. выводы можете сделать сами.
                • 0
                  Что говорится в заголовке
                  «Изменение курса рубля на 15% в феврале 2015 года — работа хакеров»

                  Не говорится что изменение курса на 10 минут, а фраза больше подразумевает на изменение курса за февраль.
                  Курс рубля устанавливает ЦБ РФ, а менялся «курс рубля на бирже»

                  p.s.
                  31 января 2015 — 68,93
                  3 марта 2015 62,22
                  • 0
                    «В феврале» — то есть событие произошло в феврале, а не за февраль курс изменился на 15%. Далее в статье приводится информация, что все произошло в течение 15 минут, а не в течение месяца.
                    Но согласен, что заголовок является двусмысленным.
                    • 0
                      Просто тут далее в тексте идет «В ходе атаки банк разместил в феврале 2015 года приказы более, чем на $500 млн, причем по нерыночному курсу» — не указано когда, может в течении нескольких дней, размещались приказы. И только потом про 15 минут непонятного в статье дня, и приходится читать другие статьи.
                    • 0
                      Официальной курс рубля который «устанавливается» ЦБ РФ как раз с этой самой биржи и берется. ЦБ лишь констатирует фактически сложившееся положение вещей по итогам торгов и утверждает его как официальный курс, чтобы его потом можно было использовать для различных государственных нужд как «эталон» для соответствующего дня.

                      А вот насчет сроков это да, курс тогда эта история с банком расшатала сильно, но глобально на горизонте хотя бы в несколько недель особого влияния не оказала, т.к. сколько куплено было столько и продано. Разница только в том что кто-то (допустим хакеры или внедренная крыса-сотрудник) на этом отлично заработал воспользовавшись специально созданной за чужой счет ситуацией (а так же часть спекулянтов, вовремя сообразивших и не упустивших момент), а банк чьи средства использовались для «пробития» рынка крупно потерял.
                      • 0
                        >>Официальной курс рубля который «устанавливается» ЦБ РФ как раз с этой самой биржи и берется

                        Берется, но вот берется на основании курса в определенное время. А эта операция была позднее чтобы говорить о значительном влиянии на курс.
                  • 0
                    А про что иски к брокерским домам? и чем закончились разбирательства по ним?
                  • 0
                    Интересно, а можно ли с помощью этого вируса вернуть курс гривны 1993-го года? А то жить с сегодняшним курсом как-то не комильфо…
                    • +7
                      Можно, но только на 15 минут.
                      • +14
                        Вот этой?

                        Или этой?

                        Потому что гривна с Владимиром Великим поступила в обращение только в 1996 году.
                      • –6
                        Капец. Вредные продукты, вредный интернет. Теперь «волатильность» хакеры обеспечили. Все беды из-за интернета. Хороший повод запретить интернет, в котором то эти хакеры водятся.
                        • +10
                          Предлагаю скинуться на хакеров всей страной и вернуть курс в 33 рубля.
                          • –1
                            Достаточно скинутся долларами. По сотне с каждого жителя и продавать их по 10р за штуку. Курс тут же рухнет.
                          • –1
                            Хакеры виноваты. Как удобно.
                            • –6
                              Хабр не доверяет! Рашка не может страдать по внешним причинам, это всё выдумки, про этих ваших хакеров и зарубежных спекулянтов, а все проблемы рубля только от внутренней ущербности и сиволапости.
                              • –2
                                Можно список банков, которые признали, что их поимели хакеры?
                                Мне кажется, что никакой банк находясь в здравом уме не признает такое.
                                • +3
                                  если у банка стоит выбор между 1) нас поимели хакеры, мы не будем (не хотим) рассчитываться по долгу в 240млн и 2) мы не компетентны в нашем бизнесе, поэтому должны 240 млн, то признавать становится легче
                                • 0
                                  Аномальные торги произошли по инструменту USDRUB_TOD (расчёты сегодняшним днём), объемы торгов по которому в среднем в 2-3 раза ниже, чем по USDRUB_TOM (расчёты завтрашним днём). Обычно, говоря о биржевом курсе имеют в виду именно курс TOM, курс ЦБ устанавливается по нему же.
                                  На графике USDRUB_TOD 27.02.2015 видны аномалии в 12:38, 12:40 — 12:42, 12:45 минуты. Курс в эти минуты отклонился от достаточно плоской полки 61,03 — 61,07 довольно существенно: min — 55,36; max — 66,33. Только объемы торгов в эти «аномальные» минуты составляет не 500, а 268,091 млн. долларов. Эти объёмы не являются чем-то выдающимся. Примерно через час (около 13:30) на просадке на 20 коп. видно всплеск объемов примерно до тех же уровней.
                                  График USDRUB_TOD

                                  На торгах основным инструментом USDRUB_TOM практически не видно следов аномальной активности ни по объёмам, ни по котировкам. Просадка в пределах 5 копеек на очень низких объемах.
                                  График USDRUB_TOM

                                  По аналогии, если бы на заправке какой-нибудь крупной сети бензин 95-СуперПуперУльтра продавался бы по 20 руб. вместо привычных 35. Владелец заправки понёс бы убытки. Но причём тут покупатели «халявы»? Заправка продала, они купили. Если на заправке вирус, то это исключительно проблемы заправки.

                                  P.S. Всё-таки я не согласен с формулировкой заголовка. В первую очередь потому, что USDRUB_TOD не является «курсом рубля».
                                  • 0
                                    Не проще было просто перевести $500 млн на свой счёт, чем выдумывать всю эту схему с манипуляцией курсом?
                                  • 0
                                    Что за фиерический бред? Троян какой-то… Если такого трояна реально делать, то надо знать топологию сети и вести атаку на один (подчеркиваю именно один) хост. На этом хосте надо точно знать какая именно клиентская система стоит (а она естественно самописная). Далее как именно к ней подсоединиться (т.е. не-программистов данного конкретного банка исключаем сразу). Ну и т.д. Есть еще вариант с подключением напрямую к бирже. Тогда надо знать оочень много конфиденциальной инфы начиная от секретных ключей и заканчивая спецдевайсами.

                                    Наиболее вероятных вариантов два — целенаправленое манипулирование рынком самим банком (но тут регуляторы по шапке сразу надают) или глюк торгового робота (ну или UAT в PROD полезло :) ). В итогеоба варианта прекрасно маскируются «вирусом в сети и злобными хакерами».
                                    • 0
                                      атакован был терминал DMA системы транзак или квик, ему не требуется находится в сети биржи, он работает с брокером через интернет. причем банк мог работать как со сторонним брокером, так и давать своим трейдерам терминалы к своему же приложению.
                                      вирус мог попасть туда естественным путем, без какой либо адресной атаки. в дальнейшем уже один из модулей нашел на рабочей станции клиентскую часть транзак\квик, увести креденшалс было не трудно.
                                      секретные ключи к этим системам бывает не используются, а если используются, то не защищаются (хранятся локально).
                                      • 0
                                        Но тогда это еще больший бардак! Как можно не использовать как минимум для одноразовые пароли доступа? Вон тот-же Блумберг использует одноразовые генерилки (девайсики такие с экранчиком) с доступом к самой генерилке по отпечатку пальца ну или собственно физический терминал с ридером отпечатков на клаве. Код новый генерируется каждые несколько секунд. Другие используют клавиатуры с смарткард-ридерами или RSA-токены (USB ключи).

                                        Внутренние коммуникации в банке по идее должны как минимум быть защищены по зонам файерволами с защитой самого канала NSSPI с SSL/TLS. Ну как при такой защите влезть? Так еще и на файерволах белые списки IP… Так оно выглядело во всех банках, где я работал по крайней мере.

                                        Использовать терминал у которого можно условно говоря куки украсть… далеко за гранью добра :) Я не говорю что их нет, я просто оооочень удивлен что они, похоже, есть (хотя я таких не видел) :)

                                        "Транзак" вы имеете ввиду EMV шлюз? Я лет 12 назад реализовывал сам EMV протокол для эквайеров (тот что от карты к терминалу и дальше). Это конечно не шлюз, но зная мастеркардовцев там наверняка требуется физический шифровальный гроб для доступа к сети. Для банков точно должен требоваться. А туда влезть вообще нельзя. Остается только участок от софта до этого гроба. Из внешней сети вообще никак даже утащив вообще всю банковскую сеть :)
                                        • 0
                                          у квика и транзака есть функционал двух-факторной аутентификации, но не у всех брокеров он используется.
                                          тем более, что у квика это сводится к секретному ключу — безопасность которого это забота клиента, а не банка.
                                          повторяю, что атакуют не банк, а клиентов (это домашний ноут с касперским с обновлениями от 2013 года, работа под админом, возможно с отключением UAC, работа из домашних сетей и кафешек и это секретный ключ, который хранится в папке самой программы).
                                          тем более, что если организация называется банком, это не делает её автоматически зрелой в вопросах ИБ.

                                          http://www.transaq.ru/modules это DMA ПО, к картам никакого отношения не имеет. собственно, то как серверная часть реализована у самих банков не особо важно, раз атаковали клиентский терминал.
                                          особенность ситуации в том, что банк может как предоставлять DMA сервис другим финансовым институтам и физикам, так и пользоваться сам своим же сервисом.

                                          имея доступ к учетной записи клиента нельзя просто вывести деньги на левый счет, потому что в рамках биржи можно осуществлять только торговые операции «ты — мне, я — тебе». это специфический мир со своими рисками и контролями.
                                          • 0
                                            Тут то взломали не клиента-физика, а сам банк — предположительно рабочее место одного из сотрудников-трейдеров банка.
                                            • 0
                                              такой кейс ничем не отличается от ситуации когда ломают рабочее место клиента системы клиент-банк.
                                        • 0
                                          Это был не квик.

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.