Хакеры впервые за три года украли деньги банка через его счёт в ЦБ

Хакерская группировка MoneyTaker смогла похитить деньги из российского банка через автоматизированное рабочее место клиента Банка России (АРМ КБР). Об этом сообщается в отчёте под названием «Большой куш. Угрозы для финансовых организаций» международной компании Group-IB, специализирующейся на предотвращении кибератак.

С помощью АРМ проводятся межбанковские денежные переводы с корреспондентского счёта, открытого в Центробанке.

«После долгого затишья группа MoneyTaker успешно атаковала российский банк. Очевидно, что злоумышленники на этом не остановятся и будут продолжать атаковать АРМ КБР», — говорится в документе.

По данным аналитиков компании, кибермошенники подделали часть файлов, когда банк отправлял платежи в ЦБ. Первые шаги по атаке злоумышленники сделали ещё в июне 2020 года: предположительно, они начали с физического устройства, установленного в аффилированной сети. Затем они смогли получить доступ к сети банка и примерно полгода изучали её с помощью программного обеспечения для хранения учётных данных проверки клиента, удалённого доступа и т.д. Финальная стадия атаки началась в январе 2021 года. Тогда хакеры получили доступ к системе межбанковских переводов, которые проводятся через АРМ КБР, а также смогли украсть цифровые ключи для подписания платежей, проходящих через ЦБ. Дело в том, что при получении доступа к АРМ КБР в нём можно сформировать платёжное поручение и отправить с корсчёта деньги на свои счета. «[Хакеры] вручную скопировали поддельные подписанные платежи в специальную папку в системе АРМ КБР», — отмечается в отчёте Group-IB. В результате они смогли перевести средства с корсчёта банка на свои счета. После атаки они удалили почти все следы своего присутствия.

Название банка, который был атакован, не сообщается. Также не уточняется и точная сумма ущерба. Однако в Group-IB отмечают, что она была самой большой для операций такого рода за последние годы. По некоторым данным, речь идёт о более чем 500 млн рублей.

Представитель Центробанка подтвердил, что регулятору известно о произошедшем. Другие участники системы также уведомлены о действиях хакеров.

Участники русскоязычной группировки MoneyTaker не раскрыты до сих пор.

В прошлый раз MoneyTaker успешно атаковала по аналогичной схеме ПИР Банк. Инцидент произошёл летом 2018 года, тогда злоумышленникам удалось украсть с корсчёта в Банке России более 58 млн руб., сообщал «Коммерсантъ». В октябре 2018 года ЦБ отозвал лицензию у этого банка.

По материалам Group-IB, ТАСС, РБК, НТВ