Найдена связь между ФСБ России и хакерами, похитившими из банков $1 млрд

Безопасность Администратору
мобильная версия
, Текст: Сергей Попсулин
Специалисты по информационной безопасности обнаружили связь ФСБ с хакерской группировкой Carbanak, похитившей из банков около $1 млрд. Как выяснилось, их командно-контрольный сервер имеет тот же IP-адрес, что и веб-сервер ФСБ.

Веб-сайт Федеральной службы безопасности (ФСБ) России размещен на том же сервере, на котором находился командно-контрольный сервер злоумышленников, похитивших крупную сумму денег в рамках операции Carbanak. Об этом в блоге антивирусной компании Trend Micro рассказал ее старший специалист по изучению угроз Максим Гончаров.

Организаторы кибероперации Carbanak размещали свой командно-контрольный сервер (C&C-сервер) на домене systemsvc.net. Теперь этот домен указывает на тот же IP-адрес, по которому размещен веб-сервер ФСБ, пояснил сотрудник Trend Micro. Информацию об адресе он получил из бесплатного сервиса Domain Tools. Помимо FSB.ru и systemsvc.net, этот сервис сообщил еще о трех сайтах, использующих тот же IP-адрес, — andary.ru, ilovegermany.pw и inflamed-mind.ru. Все эти ресурсы в настоящее время недоступны. Согласно описанию, владельцем IP-адреса является компания «РТКомм», входящая в группу «Ростелеком».

«Это недоразумение или чья-то шутка», — попытался смягчить выводы от своей находки Максим Гончаров. «Я не знаю, почему так произошло. Я сомневаюсь в том, чтобы ФСБ захотела использовать адрес, связанный с атакой Carbanak. Вероятно, владелец домена просто пошутил», — предположил он после проверки данных адреса (по результатам которой он не нашел каких-либо доказательств причастности ФСБ к атаке).

Кибероперация Carbanak была раскрыта в начале 2015 г. Специалисты признали ее беспрецедентной по своему уровню. Атаки затронули около 100 банков, размещенных по всему миру, включая Россию, США, Европу, Китай, Индию, Бразилию, Австралию и другие государства и регионы.

Преступники вторгались в банковские сети и за один рейд воровали до $10 млн со счетов банка. Эксперты признали высокий профессионализма участников группировки, так как, проникнув в банковскую сеть, они некоторое время изучали принципы работы системы безопасности банка для того, чтобы впоследствии выставить свои действия как легитимные. По причине такого подхода не имело значения, какое программное обеспечение установлено в банке, даже если оно было уникальным.


C&C-сервер хакеров имел тот же IP-адрес, по которому размещен веб-сайт ФСБ России


Информация о домене systemsvc.net

По данным Trend Micro, злоумышленники проникали в сети банков с помощью трояна Carberp, рассылаемого в электронных письмах. После установки в системе посредством известных уязвимостей троян позволял хакерам дистанционно получать скриншоты экрана, похищать куки и системную информацию. Получив доступ к компьютеру жертвы, злоумышленники изучали его работу и таким образом понимали, как им самим можно получить доступ к банковским счетам. Группировка в общей сложности похитила около $1 млрд с банковских счетов. Название кибероперации Carbanak происходит от соединения двух слов: Anunak (название хакерской группировки) и Carberp (название трояна, который они использовали).