ВХОД
Вернуться
Хакеры научились управлять курсом валют.
Фото: shutterstock.com

Русские хакеры управляют валютой

Хакеры научились управлять курсом валют. Все что для этого им нужно – это усовершенствованный вирус троян, который способен обходить банковскую защиту и поражать даже компьютеры, не подключенные к интернету. 

Пока единственным задокументированным и расследованным случаем, когда банковский вирус win32/Corkow был запущен в систему коммерческого банка, остается прецедент с российским Энергобанком. В феврале прошлого года хакеры внедрили вирус в локальную сеть казанского финучреждения и выплеснули на рынок 500 млн долларов, пишет Bloomberg..

За счет банка они покупали и продавали валюту – за 14 минут на московской бирже ММВБ от его имени было выставлено 7 заявок на полмиллиарда. Из-за этого колебания курса рубля достигли 15%. Сначала он обвалился с 61 до 55 руб/доллар, но уже через несколько минут превысил отметку в 66 рублей.

Win32/Corkow дал мошенникам удаленный доступ к локальной системе управления сделками Энергобанка. Вход в систему происходил параллельно с ничего не подозревающим оператором. В итоге Энергобанк оценил свои дневные убытки в 236 млн рублей и даже подал в суд на ряд крупных московских брокеров. При этом Московская биржа заявила, что в тот день рынок работал нормально и никаких нелегальных сделок зафиксировано не было. Сам же Энергобанк стали подозревать в умышленном манипулировании курсом. 

Расследованием инцидента занималась московская компания Group-IB, но добыть мало-мальски внятные результаты ей удалось только сейчас. Спустя год после атаки на Энергобанк (и еще несколько других банков в этот же день), выяснилось, что скорее всего, это был заказ кого-то из игроков рынка, заработавших на курсовой разнице довольно серьезные деньги. Хакерам искусственная волатильность курса вряд ли принесла бы какие-то серьезные дивиденды. Конкретных имен в Group-IB при этом не называют, но обещают передать всю информацию правоохранителям.

На примере казанского банка (по российским меркам это банк регионального значения), хакеры продемонстрировали рынку свои возможности. И теперь подобной атаке могут подвергнуться системы практически любого банка в мире. Был бы заказчик.

Вирус Corkow начал активно использоваться хакерами еще в 2011 году. Как и другая популярная банковская вирусная программа Hesperbot, он имеет модульную структуру, что позволяет злоумышленникам постоянно усовершенствовать его возможности с помощью дополнительных плагинов.

Изначально он использовался для кражи личных данных отдельных пользователей, в особенности это касалось юрлиц. Программа, например, могла делать скриншоты рабочего стола компьютеров, копировать данные из веб-форм для заполнения системной информации или использовать кейлоггеры («клавиатурные шпионы»). Среди популярных возможностей вируса – удаленный доступ к компьютеру («backdoor»), самостоятельная установка других вредоносных программ, таких как Pony, ворующая пароли, «вживление» в специализированные файлы и приложения для банкиров и трейдеров.

По данным компании Eset NOD 32 (разрабатывает одноименный антивирус), 73% заражений трояном Corkow в 2014 году приходилось на Россию. На втором месте Украина – 13%. Еще 5% случаев приходится на Италию, 3% — на Беларусь, 1% — на Казахстан.

В Украине масштабных одновременных атак с помощью Corkow пока не наблюдалось. В России этот вирус еще раз крупно засветился в ноябре прошлого года. Тогда злоумышленники с его помощью похитили из банкоматов 5 российских банков около 250 млн рублей или 3,9 млн долларов.

Опубликовано на minfin.com.ua 9 февраля 2016, 10:22 Источник: Минфин
Следить за новыми комментариями

Комментарии (10)

+
0
i1 i1
i1 i1
9 февраля 2016, 16:48
с. Несказаевка
#
Опять хакери виноваті
+
+14
Qwerty1999
Qwerty1999
10 февраля 2016, 13:55
Qwerty, Ольгино
#
«поражать даже компьютеры, не подключенные к интернету.»
+
+7
Василий Шуйский
Василий Шуйский
11 февраля 2016, 13:46
Украинск
#
Конечно. Через флешки
+
0
Qwerty1999
Qwerty1999
11 февраля 2016, 20:20
Qwerty, Ольгино
#
Терминалы Reuters Dealing обычно работают в изолированном сегменте сети банка и посредством локального сервера имеют доступ к требуемым ресурсам путём создания vpn-соединений через публичную сеть интернет.

Хотя по халатности админов банков Reuters-терминалы могли быть включены и в общую локальную сеть банка.

Что твориться в российских банках-середнячках известно только ФСБ.
+
0
zevsonline
zevsonline
24 февраля 2016, 23:44
Ukraine
#
«… доступ к требуемым ресурсам путём создания vpn-соединений через публичную сеть интернет....» — а это разве не есть подключение через интернет, пусть даже подключение зашифрованное?
+
0
Qwerty1999
Qwerty1999
25 февраля 2016, 00:14
Qwerty, Ольгино
#
« а это разве не есть подключение через интернет, пусть даже подключение зашифрованное?»

так то оно так, только журналисты минфина пишут, цитирую:

«вирус троян, который способен обходить банковскую защиту и поражать даже компьютеры, не подключенные к интернету».

вот я и на распутье, как можно участвовать в валютных торгах на бирже без подключения к ней (бирже) по каналам связи.
+
0
zevsonline
zevsonline
24 февраля 2016, 23:46
Ukraine
#
Через гибкие диски 1.44 дюймов :) , Говорят, их до сей пор используют в Белом Доме. Не знаю, может они считаются безопаснее :)
+
0
Qwerty1999
Qwerty1999
25 февраля 2016, 00:16
Qwerty, Ольгино
#
В качестве подставок под кофейные чашки…
+
+38
ВсёБудетХорошо ;*****
ВсёБудетХорошо ;*****
11 февраля 2016, 17:08
НБУ
#
Русским хакерам ещё далеко ДО украинского хакера в лице НБУ !
+
0
zevsonline
zevsonline
24 февраля 2016, 23:54
Ukraine
#
Ни одного подобного дня в том месяце я не обнаружил. 02.02.15г. был максимальный курс 70 руб/$, а минимум показал аж в конце месяца — 59,2 руб/$. И где там 55руб/$ они увидели — не знаю. А то что творилось 16.12.14 г. и 17.12.14г. они умалчивают, когда колебания были от 57 до 82 руб/$. Тогда, небось, вирус занесли марсиане :)

Написать комментарий

Чтобы оставить комментарий, нужно войти или зарегистрироваться
 
окно закроется через 20 секунд