Хакеры атаковали Центробанк

21.08.2015

Сотрудники Центробанка больше не могут открывать на рабочих компьютерах письма с файлами, пришедшими из интернета. Это следует из отчета «О вирусных атаках на организации» замначальника главного управления безопасности и защиты информации Банка России Артема Сычева (есть у «Известий»). Исключения составят только текстовые файлы и изображения размером не более 5 Мб. Все остальные письма с любыми архивами и исполняемыми файлами будут автоматически блокироваться уже на почтовом шлюзе ЦБ, указывает он. Виной тому участившиеся вирусные атаки, в том числе из-за рубежа.

«В настоящее время в Банке России участились случаи получения сообщений электронной почты, отправляемых через интернет и содержащих вредоносный код, — признает Артем Сычев. — Сообщения поступали как от организаций, так и от неизвестных отправителей в том числе иностранных. Вложенные в письма вредоносные программы являлись новейшими модификациями, которые не детектировались средствами защиты в день получения писем по причине отсутствия информации об этих модификациях в базах сигнатур средств защиты от воздействий вредоносного кода».

Как указывает Сычев, все вирусные атаки в ЦБ разделяются на два вида. Это специальные шифровальщики, цель которых — получить деньги за расшифровку пользовательских файлов, и вирусы-бэкдоры, позволяющие получить несанкционированный доступ во внутреннюю сеть регулятора для похищения конфиденциальных данных. При этом схожесть методик различных атак указывает на то, что планируется и реализуются они из единого центра, считает он.

«Приведенный анализ структуры осуществления вирусных атак может говорить об идентичности способов взаимодействия, представляющих собой сочетание методов нарушения информационной безопасности (атаки типа “вирусное заражение” и атаки типа “социальная инженерия”), используемых инструментов и подходов к организации атак, и подтверждает наличие единого источника планирования и осуществления атак. Можно предположить, что атаки целевые, злоумышленник продумывает возможности обхода систем защиты», — пишет он, не уточняя, впрочем, что это может быть за единый центр.

При этом вирусописатели имеют очень высокую квалификацию, отмечает Сычев. Во-первых, они умело скрывают следы источников атаки, регистрируя домены для рассылки писем за рубежом и незадолго до атаки, что затрудняет обращение к владельцам ресурса. Во-вторых, они отлично разбираются в технологиях «корпоративного шантажа». И, в-третьих, количество атакуемых объектов постоянно увеличивается.

Дополнительно замначальника главного управления уточняет, что кроме ЦБ мишенью вирусных атак являются коммерческие банки и другие финансовые институты. В августе 2015 года Центробанк оповестил о мошеннической рассылке от имени Сбербанка. Рассылка, рекламирующая новые карты «Мир», содержала вирус, который на тот момент не определялся ни одним из средств антивирусной защиты. Целью вируса были пароли клиентов банка к системам дистанционного банковского обслуживания.

«Уровень риска нарушения информационной безопасности для Банка России и кредитных организаций достаточно высок и продолжит возрастать вплоть до момента достижения злоумышленниками поставленных целей», — заключает Антон Сычев.

В пресс-службе регулятора отметили, что пока ни одна вирусная атака не достигла цели.

— Банк России считает, что эффективно бороться с подобными угрозами в современном мире можно только объединив усилия всех заинтересованных сторон, — заявил «Известиям» официальный представитель Центробанка. — Кибератаки в отношении информационных ресурсов Банка России фиксируются постоянно, однако в течение последних нескольких лет такие атаки не были результативными.

Эксперты подтверждают, что уровень опасности вирусного заражения в последнее время действительно, значительно вырос. При этом противодействие вирусам сводится не только к полной блокировке потенциально опасных писем, но и к кропотливой работе с пользователями.

— Мы фиксируем существенное увеличение угроз в области инфобезопасности, — говорит начальник управления IТ специализированного депозитария «Инфинитум» Сергей Киселев. — Если до этого меры по обеспечению инфобезопасности сводились к установке антивируса на рабочие станции пользователей, то сейчас система обеспечения безопасности превратилась в сложный и разветвленный процесс. В настоящее время, действительно, вирусы «нулевого» дня могут не определяться ни одним из антивирусов. Совершенствуются и методы социальной инженерии, с помощью которых преступники пытаются обойти системы безопасности. Поэтому для обеспечения высокого уровня информационной безопасности требуется постоянное обучение пользователей. В компании проводятся семинары по типовым угрозам и уловкам мошенников, периодически служба информационной безопасности тестирует знания пользователей, рассылая фиктивные письма сотрудникам и фиксируя, кто и как реагирует на них.

Впрочем, в компаниях — разработчиках антивирусов утверждают, что даже при отсутствии описания вируса в антивирусных базах их программы могут эффективно справляться с угрозами.

— Действительно, если какая-либо вредоносная программа была только что создана злоумышленниками или заново упакована специальным вирусным упаковщиком, ее сигнатура может отсутствовать в базах до тех пор, пока данный образец не попадет на анализ в вирусную лабораторию. Как следствие, в течение некоторого времени такие угрозы могут не детектироваться антивирусным ПО, — говорит аналитик компании «Доктор Веб» Павел Шалин. — Вместе с тем в антивирусе Dr. Web существуют модули проактивной и превентивной защиты, которые призваны предотвратить деструктивные действия некоторых вредоносных программ, в том числе с использованием алгоритмов эвристического анализа.

— Современные антивирусные средства имеют ряд технологий, в том числе эвристического анализа, поведенческого анализа, анализа репутации и других, которые позволяют обнаружить вредоносную программу в момент ее запуска, даже если она не ловится обычными сигнатурами, — соглашается антивирусный эксперт «Лаборатории Касперского» Юрий Наместников. — Тем более что злоумышленники, организуя подобные целевые атаки, тщательно готовятся и стараются узнать, какие именно антивирусы установлены в банке, а затем модифицируют вредоносную программу таким образом, чтобы статичными сигнатурами она не обнаруживалась. Организовать безопасную среду в организации нужно с помощью комплекса мер. Во-первых, это административные меры (обучение персонала, регламенты, актуальная стратегия реагирования на инциденты). Во-вторых, меры, которые осуществляются на сетевом уровне, — прежде всего разграничение сетей внутри самой организации. В-третьих, это технические меры, которые обеспечиваются специальными программными и аппаратными средствами защиты.

Источник

Похожие новости
АҚШдаги Capital One Financial Corp банкига киберҳужум уюштирилди

31.07.2019

АҚШдаги Capital One Financial Corp банкига киберҳужум уюштирилди

Кредит на открытие собственного бизнеса

19.02.2019

Кредит на открытие собственного бизнеса

Виды кредитов для малого бизнеса

29.01.2019

Виды кредитов для малого бизнеса



Система Orphus