Rambler's Top100
 
Все новости Новости отрасли

Как хакеры грабят банки

06 июня 2018

Банки выстроили достаточно эффективные барьеры для защиты от внешних атак, однако не готовы противостоять нарушителям во внутренней сети. Преодолевая периметр с помощью социальной инженерии, уязвимостей веб-приложений или инсайдеров, злоумышленники оказываются в комфортной для себя среде, уровень безопасности которой не отличается от компаний из других сфер.

При наличии доступа к внутренней сети банка специалистам Positive Technologies удалось получить доступ к финансовым приложениям в 58% случаев. В 25% банков были скомпрометированы узлы, с которых осуществляется управление банкоматами, а значит, из этих банков смогли бы вывести деньги последователи группировки Cobalt, использующие аналогичные методы взлома. Перевести средства на собственные счета через системы межбанковских переводов, на которые нацелены группировки Lazarus и MoneyTaker, было бы возможно в 17% банков.

В 17% банков недостаточно защищены системы карточного процессинга, что позволяет злоумышленникам манипулировать балансом на своих карточных счетах, как мы это видели в начале 2017 года в атаках на банки Восточной Европы. Группировка Carbanak, отличающаяся своим умением успешно проводить атаки на любые банковские приложения, смогла бы похитить средства более чем у половины банков, протестированных экспертами. В среднем злоумышленнику, проникшему во внутреннюю сеть банка, требуется всего четыре шага для получения доступа к банковским системам.

В отчете отмечается, что уровень защиты сетевого периметра в банках значительно выше, чем в других компаниях: за три года в рамках внешнего тестирования на проникновение доступ ко внутренней сети был получен в 58% систем, а для банков этот показатель составил лишь 22%. Однако и такой уровень весьма далек от идеала, учитывая высокую финансовую мотивацию атакующих и отсутствие во многих банках практики анализа защищенности кода онлайн-сервисов на этапах проектирования и разработки. При проведении тестов на проникновение во всех случаях получению доступа способствовали уязвимости в веб-приложениях (методы социальной инженерии не применялись). Подобные способы проникновения использовали в своей деятельности, например, группировки ATMitch и Lazarus.

Большую опасность для банков представляют также интерфейсы удаленного доступа и управления, которые зачастую доступны для подключения любому внешнему пользователю. Среди наиболее распространенных — протоколы SSH и Telnet, которые встречаются на периметре сети свыше половины банков, а также протоколы доступа к файловым серверам (в 42% банков).

Но самое слабое звено — сотрудники банков. Злоумышленники легко обходят системы защиты сетевого периметра с помощью простого и эффективного метода — фишинга, который доставляет вредоносное ПО в корпоративную сеть. Фишинговая рассылка электронных писем в адрес сотрудников банка осуществляется как на рабочие адреса, так и на личные. Такой метод для преодоления периметра применялся практически каждой преступной группировкой, в том числе Cobalt, Lazarus, Carbanak, Metel, GCMAN. По оценкам Positive Technologies, в среднем в банках по фишинговой ссылке переходили около 8% пользователей и 2% запускали вложенный файл. В исследовании также приводятся примеры объявлений с хакерских форумов с предложениями услуг со стороны внутренних злоумышленников в банках. По оценкам экспертов, в некоторых случаях для успешной атаки достаточно привилегий сотрудника, обладающего только физическим доступом к сетевым розеткам (уборщик, охранник). Другой вариант первичного распространения вредоносного ПО — взлом сторонних компаний, которые не столь серьезно относятся к защите своих ресурсов, и заражение сайтов, часто посещаемых сотрудниками целевого банка, как в случае Lazarus и Lurk.

После того, как преступники получают доступ к локальной сети банка, им необходимо завладеть привилегиями локального администратора на компьютерах сотрудников и серверах — для дальнейшего развития атаки. Типовые векторы атак базируются на двух основных недостатках — слабой парольной политике и недостаточной защите от восстановления паролей из памяти ОС.

Если на сетевом периметре словарные пароли встречаются почти в половине банков, то во внутренней сети от слабой парольной политики страдает каждая исследованная система. Приблизительно в половине систем слабые пароли устанавливают пользователи, однако еще чаще мы сталкиваемся со стандартными учетными записями, которые оставляют администраторы при установке СУБД, веб-серверов, ОС или при создании служебных учетных записей. В четверти банков было установлено использование пароля P@ssw0rd, также к распространенным паролям относятся admin, комбинации типа Qwerty123, пустые и стандартные пароли (например, sa или postgres).

Внутри сети атакующие свободно перемещаются незамеченными с помощью известных уязвимостей и легитимного ПО, которое не вызывает подозрений у администраторов. Пользуясь недостатками защиты корпоративной сети, злоумышленники за короткое время получают полный контроль над всей инфраструктурой банка.

«Нужно понимать, что злоумышленник не сможет достичь своей цели и похитить деньги, если атака будет вовремя выявлена и остановлена, а это возможно на любом ее этапе, если принимаются соответствующие меры защиты, — говорит аналитик Positive Technologies Екатерина Килюшева. — Необходимо проверять почтовые вложения в изолированном окружении, не полагаясь исключительно на антивирусные решения, установленные на рабочих станциях пользователей. Крайне важно своевременно получать уведомления систем защиты и незамедлительно реагировать на них с помощью постоянного мониторинга событий безопасности силами внутреннего или внешнего подразделения SOC, а также SIEM-решений, которые могут существенно облегчить и повысить эффективность обработки событий ИБ».

Источник: Positive Technologies

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.