«Была попытка атаки на прошлой неделе», – подтвердил президент Глобэксбанка Валерий Овсянников, подчеркнув, что «средства клиентов не пострадали». Пострадал ли сам банк, он не сообщил. Представители ВЭБа и Центробанка на вопросы не ответили.
Скорее всего это не первый случай в России, когда злоумышленникам удалось воспользоваться SWIFT для вывода денег, полагают два собеседника «Ведомостей», имеющих отношение к обеспечению безопасности платежей.
SWIFT не комментирует отдельных пользователей, заявил ее представитель, подчеркнув, что корпорация уделяет большое внимание кибербезопасности и до сих пор не было ни одного доказательства того, что кому-либо удавалось получить несанкционированный доступ к системе.
Речь идет не о взломе SWIFT: суть атаки в том, что хакеры проникают в сеть, из которой можно отправлять платежи, в том числе через SWIFT, объясняет консультант по безопасности Cisco Алексей Лукацкий. Раньше большой популярностью у хакеров пользовался взлом автоматизированного рабочего места клиента Банка России (АРМ КБР), через которое банки обмениваются сообщениями с ЦБ, однако он в отличие от SWIFT не позволял вывести деньги напрямую за границу, рассказывает Лукацкий. ЦБ выпустил указания по защите этих АРМ, а банки научились быстро отслеживать такие атаки и замораживать деньги до того, как мошенники успеют их вывести, поэтому злоумышленники потеряли интерес к этим АРМ.
Если деньги выводятся сразу за границу, то вернуть их практически невозможно, а собрать доказательства в этом случае гораздо сложнее, заключил Лукацкий.
Хакеры атакуют банки по всему свету, причем не только частные. В начале октября киберпреступники атаковали крупнейший банк Тайваня Far Eastern International Bank и украли оттуда $60 млн. Почти все похищенные средства удалось вернуть. За кражей могла стоять северокорейская хакерская группировка Lazarus, писало Bloomberg со ссылкой на отчет разработчика вооружений и информационной безопасности BAE Systems Plc.
В 2016 г. через SWIFT мошенники вывели средства также из Центрального банка Бангладеш – всего $81 млн. Правда, покушались они на гораздо большую сумму – около $1 млрд.
Атаки на SWIFT по всему миру – это тенденция 2016–2017 гг., говорится в сообщении «Лаборатории Касперского». «Коммерсантъ» со ссылкой на Group-IB писал, что к пятничной атаке причастна группировка Cobalt. «Наши исследования показывают, что Cobalt – это не группа, а набор программ Cobalt Strike для получения несанкционированного доступа к компьютерам и проведения тестов на проникновение. Стоимость данного набора составляла $3500», – сообщает «Лаборатория Касперского».
Основная волна атак на банки, по данным «Лаборатории Касперского», пришлась на 2014 г., когда группа злоумышленников атаковала российские банки с помощью вредоносной программы Carbanak: «В последний год мы фиксируем увеличение данной активности не только в России, но и во всем мире, так как данный набор программ стал доступен на пиратских сайтах бесплатно. Также Carbanak стала первой группировкой, которая выводила средства из финансовой организации на свои счета, используя сеть SWIFT».
За несколько дней до атаки на «Глобэкс» председатель ВЭБа Сергей Горьков заявлял, что ВЭБ надеется решить вопрос с продажей банка в 2018 г. Он добавлял, что покупатели на «Глобэкс» есть, но они не устраивают госкорпорацию (цитата по «Прайму»).
ВЭБ занялся финансовым оздоровлением «Глобэкса» и Связь-банка в кризис 2008–2009 гг., их спасение обошлось государству в 212 млрд руб. В прошлом году с приходом в ВЭБ Горькова была принята новая стратегия госкорпорации, согласно которой от Связь-банка и «Глобэкса» решено было избавиться. Сомнения в том, что Связь-банк и «Глобэкс» удастся продать в этом году, как это заявлял менеджмент, в мае высказывало рейтинговое агентство Fitch. Причины – завышенные ожидания ВЭБа по цене, низкий интерес инвесторов к банковским активам и слабые кредитные профили этих банков. Во вторник, 19 декабря, Reuters со ссылкой на источники написало, что ВЭБ может передать «Глобэкс» Росимуществу.