Пока единственным задокументированным и расследованным случаем, когда банковский вирус win32/Corkow был запущен в систему коммерческого банка, остается прецедент с российским Энергобанком. В феврале прошлого года хакеры внедрили вирус в локальную сеть казанского финучреждения и выплеснули на рынок 500 млн долларов, пишет Bloomberg..
За счет банка они покупали и продавали валюту – за 14 минут на московской бирже ММВБ от его имени было выставлено 7 заявок на полмиллиарда. Из-за этого колебания курса рубля достигли 15%. Сначала он обвалился с 61 до 55 руб/доллар, но уже через несколько минут превысил отметку в 66 рублей.
Win32/Corkow дал мошенникам удаленный доступ к локальной системе управления сделками Энергобанка. Вход в систему происходил параллельно с ничего не подозревающим оператором. В итоге Энергобанк оценил свои дневные убытки в 236 млн рублей и даже подал в суд на ряд крупных московских брокеров. При этом Московская биржа заявила, что в тот день рынок работал нормально и никаких нелегальных сделок зафиксировано не было. Сам же Энергобанк стали подозревать в умышленном манипулировании курсом.
Расследованием инцидента занималась московская компания Group-IB, но добыть мало-мальски внятные результаты ей удалось только сейчас. Спустя год после атаки на Энергобанк (и еще несколько других банков в этот же день), выяснилось, что скорее всего, это был заказ кого-то из игроков рынка, заработавших на курсовой разнице довольно серьезные деньги. Хакерам искусственная волатильность курса вряд ли принесла бы какие-то серьезные дивиденды. Конкретных имен в Group-IB при этом не называют, но обещают передать всю информацию правоохранителям.
На примере казанского банка (по российским меркам это банк регионального значения), хакеры продемонстрировали рынку свои возможности. И теперь подобной атаке могут подвергнуться системы практически любого банка в мире. Был бы заказчик.
Вирус Corkow начал активно использоваться хакерами еще в 2011 году. Как и другая популярная банковская вирусная программа Hesperbot, он имеет модульную структуру, что позволяет злоумышленникам постоянно усовершенствовать его возможности с помощью дополнительных плагинов.
Изначально он использовался для кражи личных данных отдельных пользователей, в особенности это касалось юрлиц. Программа, например, могла делать скриншоты рабочего стола компьютеров, копировать данные из веб-форм для заполнения системной информации или использовать кейлоггеры («клавиатурные шпионы»). Среди популярных возможностей вируса – удаленный доступ к компьютеру («backdoor»), самостоятельная установка других вредоносных программ, таких как Pony, ворующая пароли, «вживление» в специализированные файлы и приложения для банкиров и трейдеров.
По данным компании Eset NOD 32 (разрабатывает одноименный антивирус), 73% заражений трояном Corkow в 2014 году приходилось на Россию. На втором месте Украина – 13%. Еще 5% случаев приходится на Италию, 3% — на Беларусь, 1% — на Казахстан.
В Украине масштабных одновременных атак с помощью Corkow пока не наблюдалось. В России этот вирус еще раз крупно засветился в ноябре прошлого года. Тогда злоумышленники с его помощью похитили из банкоматов 5 российских банков около 250 млн рублей или 3,9 млн долларов.