Как эксперты «Лаборатории Касперского» ловили хакеров в Сингапуре

Популярная механикаHi-Tech

Кибердетектив

Текст: Александр Грек

Начало февраля в Сингапуре не лучшее время для прогулок: на улице 30 градусов жары при почти 100%-ной влажности. Александр и Виталий, ведущие антивирусные эксперты «Лаборатории Касперского», спасались от этой сауны под надежным прикрытием мощных кондиционеров, лениво поглядывая на многочисленные экраны мониторов. В Сингапуре аналитики оказались неслучайно: именно здесь расположена штаб-квартира Интерпола, которая занимается цифровыми угрозами.

Новогодние гости

В Сингапуре только что отпраздновали китайский Новый год, деловая активность упала до нуля. В банках остался минимум персонала – охрана да дежурный системный администратор. Но Александр и Виталий не спали: праздники – излюбленное время для хакерских атак, поэтому аналитики непрерывно мониторили данные из банков-клиентов, которых у «Лаборатории Касперского» в Азии хватает. И не зря: в одном из таких банков они обнаружили активное заражение. Хакеры орудовали в банковской сети прямо на их глазах.

Это невероятная удача – поймать хакеров за работой. Обычно о взломе узнают постфактум, когда все следы уже подчищены.

У компаний, специализирующихся на кибербезопасности, есть собственные методы сбора статистической информации. Они отмечают, какие проникновения случились в последнее время, какие инструменты использовались, какие фрагменты кода хакеры оставили после себя, сколько заражений в каждой стране. Часто преступники используют старые «отмычки», и глобальная сеть «Лаборатории Касперского» их отслеживает. Как раз в это время компания пристально следила за хакерской группой Blue North, которая специализировалась на банковских атаках и криптовалюте. И по финансовым организациям – клиентам «Лаборатории Касперского» были разбросаны программы, которые искали, в числе прочего, файлы, приписываемые Blue North.

За два месяца работы система детектировала инциденты с банками в Польше, Турции, Азербайджане, Мексике, но поймать хакеров за руку не удавалось: для этого специалисты по кибербезопасности должны находиться внутри финансового учреждения. Классический протокол работы в этом случае выглядит так: при обнаружении попытки проникновения «Лаборатория Касперского» связывается с локальным Computer Emergency Response Team (CERT) – группой быстрого реагирования на компьютерные угрозы – и поручает им дальнейшую работу по противодействию. Большинство стран не дает доступа к своим финансовым организациям сторонним компаниям: по сути, это вопрос государственной безопасности. С другой стороны, компетентные специалисты, которые могут успешно противостоять таким атакам, есть в крайне небольшом количестве стран. Замкнутый круг.

Наибольшее количество атак на финансовые учреждения приходится на праздники, когда в банках остаются только охрана и дежурный системный администратор.

Попали на праздник

Мониторы в Сингапуре показали, что произошел очередной «детект» Blue North. По IP-адресу стало понятно, что банк находится недалеко и до него можно быстро добраться. Но как связаться с руководством? Как только хакеры проникают в сеть организации, они сразу начинают мониторить электронную почту. И если в банк приходит письмо от антивирусной компании на тему «Знаете, у вас тут активная атака», хакеры мгновенно сворачивают свою деятельность и тщательно подчищают следы присутствия.

К счастью, до руководства банка удалось дозвониться по телефону и сообщить: «У вас атака, ничего не делайте, мы сейчас пришлем специалиста». Виталий мгновенно вылетел в банк, а Александр из Сингапура помогал ему с анализом. Это был уникальный случай, когда эксперты по кибербезопасности вели расследование, пока атакующие сидели в той же сети. Обычно, когда спецы приходят после инцидента, они находят какие-то файлы, но последовательность действий и логика киберпреступников зачастую остаются непонятными. Известно только, что конечная цель проникновения – попасть на сервер, который работает с системой межбанковских переводов SWIFT. А чтобы туда добраться, нужно пройти по цепочке связанных серверов в локальной сети.

Ключ под ковриком

Один из главных вопросов – как преступники попали в банк? Оказалось, что за полгода до попытки ограбления банк обновлял свой веб-сервер. После этого стандартная процедура – приглашение компании, специализирующейся на поисках уязвимостей. Спецы компании пытаются взломать сервер, имитируя атаки хакеров, и сообщают банку о найденных уязвимостях, чтобы их можно было устранить.

Александр нашел проверявшую компанию, запросил результаты исследований и сверил с ситуацией в банке. На тестируемом сайте действительно было много дыр: банк запустил очень сырую версию. Сама компания-тестер поначалу тоже вошла в число подозреваемых, но после проверки версия отпала. Выяснилось, что одновременно с тестером сайт атаковали и настоящие хакеры, которые, скорее всего, непрерывно мониторили все банковские сайты. Через те же самые дыры, которые нашли тестеры, они успели проникнуть, взломать веб-сервер и получить через него доступ в локальную сеть банка. Александр и Виталий выявили цепочку из шести компьютеров, по которой хакеры добрались до сервера, который взаимодействует со SWIFT. Этот сервер охраняется в банке тщательнее, чем золотые слитки: комната закрыта решеткой, подключения к интернету нет – система использует собственные защищенные каналы связи. Но через локальную сеть банка до него добраться можно. Для этого нужно на каждую из шести зараженных машин установить определенный софт, пробросив так называемый туннель извне.

Отпечаток пальца

Выявить цепочку не так просто. Сначала собирается информация со всех компьютеров, которые есть в банке. Потом изучаются сами файлы: это файл кейлоггера, это файл-бэкдор, этот файл уже работает непосредственно со SWIFT. Выстраиваются зависимости, где чего не хватает, где надо еще искать.

Неделю Виталий пробыл в банке, вместе с системными администраторами собирал данные, а Александр их удаленно анализировал. Виталий делал «слепки» серверов, состояния системы. Просто взять и скопировать все файлы нельзя: это гигантские объемы. Виталий брал только имена файлов и дату их создания и отсылал гигантские списки того, что хранится в файловой системе, Александру. А тот сутками сидел и просматривал присланное, группируя по датам, чтобы понять, в какой день была атака. С большой вероятностью все файлы, созданные в этот день, относятся к ней. Затем Виталий искал нужные файлы и выдергивал их из системы. На стене, прямо как в фильмах про Шерлока Холмса, висел гигантский лист, на котором складывалась мозаика, обнаруживались закономерности. В какой-то момент служба безопасности банка отключила один из серверов – хакеры насторожились, поняли, что за ними следят, и начали сворачивать свою деятельность. После этого Виталий вернулся в Сингапур, где коллеги продолжили работу.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Водородный разворот Водородный разворот

Как устроена водородная энергетика и чем «водоробус» лучше электробуса

Популярная механика
Сервер на колесах: каким будет транспорт будущего Сервер на колесах: каким будет транспорт будущего

Рано или поздно беспилотный транспорт станет повседневной реальностью

Популярная механика
Боевой друг Боевой друг

Что принципиально нового можно сделать с АК?

Популярная механика
Без черной звезды Без черной звезды

Почему Тимати ушел из Black Star и чем он сейчас занимается

Forbes
На понятном языке На понятном языке

Как появился Kotlin, и правда ли, что он идеален для программирования

Популярная механика
4 важных правила этикета современного секса, которые должен соблюдать каждый 4 важных правила этикета современного секса, которые должен соблюдать каждый

Прогресс затронул не только технику, но и интим

Playboy
Метавселенные Метавселенные

Главная технология и тренд этого года – виртуальные вселенные, или метавселенные

Популярная механика
Беньямин Форестер Беньямин Форестер

Пасечник-швейцарец делает мёд в Переславле-Залесском

Seasons of life
Нечеловеческий секс Нечеловеческий секс

Почему мы все еще занимаемся сексом по старинке – с живыми людьми?

Популярная механика
5 лучших фильмов Дэнни Бойла 5 лучших фильмов Дэнни Бойла

Вспоминаем фильмы, которые занимают особое место в карьере британца Дэнни Бойла

GQ
Античный герой Античный герой

Кого люди будут вспоминать через столетия?

Популярная механика
Эпоха тревоги: как мы стали одержимы безопасностью Эпоха тревоги: как мы стали одержимы безопасностью

Отрывок из книги «Парадокс страха» — о природе страхов и их первопричинах

Forbes
Верхом на вихре Верхом на вихре

Возможное будущее гражданской авиации

Популярная механика
На МКС произошло ЧП из-за внезапного включения двигателей пристыковавшегося модуля «Наука» На МКС произошло ЧП из-за внезапного включения двигателей пристыковавшегося модуля «Наука»

Станцию буквально развернуло на месте

National Geographic
Созвездие рекламы Созвездие рекламы

Почему разработчики ионных двигателей занялись проектом космической рекламы

Популярная механика
Что будет, если уронить мяч на разных планетах: видео Что будет, если уронить мяч на разных планетах: видео

Ученый-планетолог наглядно сравнил силу притяжения на объектах Солнечной системы

National Geographic
Как будущий американский самолет может доминировать в воздухе Как будущий американский самолет может доминировать в воздухе

Технологии стелс у российских Су-57, китайских J-20 и американских NGAD

Популярная механика
«Еще пару годиков поживешь, а потом в утиль»: я столкнулась с эйджизмом в 30 лет «Еще пару годиков поживешь, а потом в утиль»: я столкнулась с эйджизмом в 30 лет

Наша героиня о способах борьбы с эйджизмом в современной России

Cosmopolitan
В поисках ядерного буксира В поисках ядерного буксира

Почему ядерные корабли до сих пор не появились?

Популярная механика
Овсянка, мэм! Твой уход за волосами больше не будет прежним Овсянка, мэм! Твой уход за волосами больше не будет прежним

Овес был популярным средством для лечения кожи на протяжении веков

Cosmopolitan
Как полюбить будущее и не сойти с ума Как полюбить будущее и не сойти с ума

Артемий Лебедев в российском интернете, как Пелевин – в русской литературе

Популярная механика
ЖЭК-арт, психоанализ и толпа под микроскопом: 10 виртуальных музеев, от которых невозможно оторваться ЖЭК-арт, психоанализ и толпа под микроскопом: 10 виртуальных музеев, от которых невозможно оторваться

Виртуальные музеи со всего мира, которые вас удивят

Esquire
В ожидании космического отпуска В ожидании космического отпуска

Самые реальные варианты космического туризма

Популярная механика
Сильнее страха и отчаяния. О Филиппе Авдееве — актере, режиссере и создателе бренда «Белый шум» Сильнее страха и отчаяния. О Филиппе Авдееве — актере, режиссере и создателе бренда «Белый шум»

Филипп Авдеев о судьбе театра «Гоголь-центра» и своей собственной жизни

СНОБ
Как летает «Кинжал» Как летает «Кинжал»

Что такое аэробаллистическая траектория и в чем ее преимущества

Популярная механика
История Chrome Hearts: как эстетика байкерского Лос-Анджелеса воплотилась в культовом бренде История Chrome Hearts: как эстетика байкерского Лос-Анджелеса воплотилась в культовом бренде

От локальной компании по производству кожи до кастома для звезд

GQ
Малый не дурак Малый не дурак

Долой нелепые стереотипы: страус умеет за себя постоять в этом опасном мире

National Geographic
Мумификация не отразила социальный статус древних жителей Канарских островов Мумификация не отразила социальный статус древних жителей Канарских островов

Антропологи выяснили рацион питания аборигенов с острова Гран-Канария

N+1
Лев человеку волк Лев человеку волк

История противостояния львов-людоедов и строителей железной дороги в Кении

Maxim
Дорогу покажешь? Тест-драйв нового Chevrolet Tahoe Дорогу покажешь? Тест-драйв нового Chevrolet Tahoe

Салехард — идеальное место для теста «Какой из тебя внедорожник»

РБК
Открыть в приложении