Произошла выкладка полного набора программного обеспечения, с помощью которого хакер может атаковать любой российский банк, в открытый доступ в интернете. В архиве вредоносной программы Pegasus также содержатся контакты специалистов по информбезопасности ряда крупных банков. Как сказали эксперты, программы и данные немного устаревшие, но их легко обновить, а это уже может вызвать всплеск хищений у банков.
По словам участников рынка, в открытом доступе оказался архив, по сути - готовая инструкция для кибератаки на банк. Почти неделю назад архив вредоносного программного обеспечения (ВПО) Pegasus неделю выложили в даркнет (скрытая сеть, соединение в которой устанавливается между отдельными лицами, ее используют, в частности, хакеры), а по прошествии нескольких дней он появился и в интернете.
Ранее выложенным ВПО пользовалась группировка Buhtrap, организовавшая серию атак на российские банки. Как сообщалось в отчете Group-IB, группировку удалось похитить у российских банков около 1,8 млрд руб. Как сказал руководитель экспертного центра безопасности Positive Technologies Алексей Новиков, сейчас архивом можно легко воспользоваться.
Программы Pegasus - это возможность вывода средств при помощи автоматизированного рабочего места банка—клиента Банка России. По словам экспертов, архив представлен не только необходимым для атаки комплектом ВПО, но и подробнейшей инструкцией о том, как его использовать. Инструменты, содержащиеся в архиве, позволяют атаковать банки и выводить средства через платежную систему Банка России, это комплект образца 2015/16 гг., то есть он чуть устарел, но при разумных усилиях прилежный хакер апгрейдит инструменты под новые реалии и совершит атаку. Как сказал глава управления информбезопасности ОТП-банка Сергей Чернокозинский, степень опасности зависит напрямую от того, насколько талантлив «вирусописатель»: в случае доработки ВПО, у него будет отличный троян - вирус опасный для любого банка.
Случаев появления в открытом доступе комплектов ВПО для атак на банки, эксперты по кибербезопасности не помнят.
Но доступность для широкого круга лиц даже компонентов ВПО - это уже угроза хищений. Например, когда в 2011 году в публичный доступ были выложены исходные коды ВПО ZEUS, резко возросли хакерские атаки, и часть их была успешной.
К тому же, в выложенном в сеть архиве содержится информация о специалистах по информбезопасности ряда крупных банков, их контакты, это сведения 2015 года и потому многие из них утратили свою актуальность. К примеру, база содержит контакты специалистов Сбербанка, сообщившего, что в выложенной в сеть базе «не содержатся данные его сотрудников». Но, по мнению Новикова, судя по практике OSINT (open source intelligence), эти данные можно актуализировать и использовать при подготовке фишинг-рассылок.
Банк России сообщил, что знает об этой ситуации. Как сказали участники рынка, 13 июля ФинЦЕРТ (подразделение ЦБ, отвечающее за кибербезопасность) осуществил рассылку по этой угрозе. ЦБ подтвердил информацию, сообщив, что на сегодня содержащаяся в ней информация малоактуальна и что про угрозу рынок получал предупреждения от ФинЦЕРТ еще в позапрошлом году.
