По данным осведомленного источника, их добычей стали более полумиллиарда рублей
Хакерская группировка MoneyTaker провела успешную атаку на российский банк через его рабочее место в Банке России. Это первая акция такого рода, передает РБК.
Об атаке сообщила компания Group-IB в своем отчете об угрозах безопасности финансового сектора «Большой куш: угрозы для финансовых организаций». В отчете сказано, что «после долгого затишья группа MoneyTaker успешно атаковала российский банк».
Специалисты выяснили, что атака началась в июне 2020 года «через компрометацию аффилированной с банком компании» - предположительно, с физического устройства, установленного в аффилированной сети. Через месяц хакеры получили доступ к сети банка. Еще полгода у них ушло на исследование сети с помощью программного обеспечения для хранения учетных данных проверки клиента, удаленного доступа и т. д.
Финальная стадия атаки началась в январе 2021 года. Злоумышленники получили доступ к системе межбанковских переводов, которые проводятся через автоматизированное рабочее место клиента Банка России (АРМ КБР). Они также смогли украсть цифровые ключи для подписания платежей, проходящих через Центробанк. Получив доступ к АРМ КБР, похитители сформировали в нем платежное поручение и отправили деньги с корреспондентского счета на свои счета.
Название банка и сумму похищенных средств Group-IB не называет. Близкий к ЦБ источник РБК рассказал, что добычей хакеров стали более 500 миллионов рублей.
Другой источник на рынке кибернетической безопасности отметил, что пострадал действующий «не очень крупный банк». Еще один собеседник знает, что это был маленький банк не из первой сотни.
В прошлый раз MoneyTaker успешно атаковала по такой схеме московский «Банк промышленно-инвестиционных расчетов» («ПИР Банк»). Это произошло летом 2018 года. Тогда хакеры украли свыше 58 миллионов рублей. В октябре того же года у банка была отозвана лицензия.