Банковские хакеры: найти и обезвредить

В апреле 2013 года СБУ и ФСБ России отчитались о совместной операции по обезвреживанию опасной киберпреступной группы, которая за последние пять лет обчистила банковские счета на 250 млн долл. Чекисты считают, что смогли захватить именно разработчиков самого опасного на просторах СНГ банковского «троянца» Cerberp.

Операция длилась почти год. Правоохранители смогли выследить программистов из Киева, Одессы, Запорожья, Херсона и Львова. Причем участники группы работали изолированно — не знали друг друга, каждый разрабатывал только свою часть программного кода. Руководил группой из 20 человек 28-летний россиянин, собиравший данные на сервере в Одессе. В Украине с 2009 года от действий этих хакеров пострадали около 30 юридических лиц, сумма ущерба по нашей стране не разглашается, приводится лишь общий размер для России и Украины — четверть миллиарда долларов.

Современные троянские программы строят таким образом, чтобы ими мог воспользоваться и неопытный мошенник. Это своего рода коробочное решение: купил вирус в интернете, запустил на нужный компьютер и воспользовался готовым конструктором настроек — указал банк, систему интернет-банка, какие данные перехватывать (логины, пароли, прочее). Обычно опытные хакеры предоставляют новичкам (пользователям) платный сервис в виде аренды уже имеющихся бот-сетей (зараженных вирусом компьютеров, обычно с сайтами) и сервера управления сетями и собранной информацией. Сервер управления позволяет отдавать вирусу новые команды: перенастраивать его дистанционно на воровство другой информации и выполнять на компьютере жертвы какие-либо действия.

Так вот, для правоохранителей крайне важно, что они обезвредили именно авторов вируса. Потому что пользователи (те, кто покупал вирус и эксплуатировал его в своих целях) попадали за решетку и ранее. Так, летом 2012 года управление «К» МВД России совместно с ФСБ сообщили о задержании банды киберпреступников, костяк которой составляли выходцы из Украины. Руководил сетью, размер которой в разное время колебался от 9 до 25 человек, 22-летний россиянин. Сумма украденного этой группой за три года взломов в системах интернет-банкинга составила приблизительно 5 млн долл. Российские спецслужбы тогда заявили, что раскрыли самую большую зараженную банковскими троянами бот-сеть, называемую хакерами «Оригами», — около 6 млн компьютеров.

Целью злоумышленников становились системы «Клиент—банк», логины, пароли и цифровые подписи которых воровались при помощи различных модификаций вируса Cerberp и RDP door. Деньги переводились от имени жертвы на счета подставных компаний, затем на банковские карточки и обналичивались в банкоматах. В основном пострадали клиенты российских банков.

В апреле прошлого года российские киберполицейские отчитались о раскрытии другой группы из восьми человек, похитившей около 60 млн рублей. В арсенале их «банковских отмычек» также были штаммы вируса Cerberp и RDP door.

За 2012 год в Украине, по данным МВД, зафиксировано 139 случаев несанкционированного списания денег со счетов предприятий на сумму около 116 млн грн. Как ранее сообщал «Ракурс», почти 80 % украденных средств удалось вернуть.

В прошлом году различные специалисты по компьютерной безопасности весьма пессимистично отозвались об успехах силовиков. Ведь авторы вирусов оставались по-прежнему на свободе и предлагали через сеть к продаже очередные релизы вредоносных программ с усовершенствованиями.

Антивирусные компании фиксировали рост активности вируса Cerberp до лета 2012 года — момента, когда начались первые аресты авторов зловреда. Затем начался спад. Последние аресты в Украине прошли в марте 2013 года. Чекисты отрапортовали об успешном обезвреживании шайки.

Спустя пару недель, в начале апреля, компания ESET (один из ведущих мировых разработчиков антивирусного ПО) публично заявила о появлении нового штамма Cerberp, который умеет обходить защиту двухфакторной авторизации и вмешивается в Java-скрипты систем «Клиент—банк» вполне легальным способом — используя стандартные библиотеки с открытым программным кодом. По этому поводу старший вирусный аналитик компании ESET Артем Баранов сказал следующее: «Мы отмечаем, что код бота продолжал свое развитие, несмотря ни на что. Это является дополнительным свидетельством того, что написание и распространение вредоносного кода может осуществляться разными лицами или группами лиц».

Ну что ж, судя по всему, борьба не закончена. Cerberp жив и развивается. О том, почему так опасен этот вирус, о методах его работы и мерах по защите читайте в статье "Банковский вирус Cerberp: как защитить свои счета?".