В открытый доступ оказался выложен архив, являющийся фактически готовой инструкцией для хакерской атаки на банк. Архив вредоносного программного обеспечения (ВПО) Pegasus примерно неделю назад появился в даркнете (скрытой сети, соединение в которой устанавливается между отдельными лицами, используется, в частности, хакерами), а через несколько дней и в интернете.

Выложенное ВПО, было ранее использовано группировкой Buhtrap при атаке на российские банки. Как ранее сообщала в своем отчете Group-IB, группировка похитила у российских банков порядка 1,8 млрд руб. По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, сейчас доступ к архиву достаточно легок.

Программы Pegasus дают возможность вывести средства через автоматизированное рабочее место банка—клиента Банка России. Эксперты отмечают, что архив содержит не только необходимый для атаки комплект ВПО, но и подробнейшую инструкцию по его использованию. Инструментарий, содержащийся в архиве, позволяет совершать атаки с выводом средств через платежную систему Банка России, это комплект образца 2015–2016 годов, то есть немного устаревший. В то же время с разумными усилиями любой прилежный хакер может апгрейдить инструментарий под сегодняшние реалии и совершить атаку. По словам главы управления информбезопасности ОТП-банка Сергея Чернокозинского, опасность зависит напрямую от таланта «вирусописателя»: «Если он доработает ВПО, то получится отличный троян, и вирус будет опасен для любого банка»,— отметил он.

Случаев, когда в открытый доступ выкладывались бы комплекты ВПО для атак на банки, эксперты по кибербезопасности вспомнить не смогли.

Между тем доступность широкому кругу лиц даже отдельных компонентов ВПО приводит к хищениям. Новиков приводит пример выкладывания в публичный доступ исходных кодов ВПО ZEUS, что привело к резкому росту хакерских атак, в том числе успешных, в 2011 году.

Кроме того, выложенный в сеть архив содержит данные о специалистах по информбезопасности нескольких крупных банков, их телефоны. Эти сведения также относятся к 2015 году и потому многие из них не актуальны. Например, в базе есть контакты специалистов Сбербанка, но в банке сообщили, что выложенная в сеть база «не содержит данных сотрудников банка». «Однако, как показывает практика OSINT (open source intelligence, разведка на основе открытых источников), эти данные не слишком сложно актуализировать и они могут быть использованы для подготовки фишинговых рассылок», — отметил Алексей Новиков.

В Банке России сообщили, что в курсе данной ситуации. По словам участников рынка, 13 июля ФинЦЕРТ (подразделение ЦБ, отвечающее за кибербезопасность) сделал рассылку, посвященную этой угрозе. В ЦБ подтвердили данную информацию, также сообщив, что на сегодняшний день содержащиеся в ней данные малоактуальны и что об угрозе ФинЦЕРТ предупреждал рынок еще в 2016 году.

Вероника Горячева

Дочитали статью до конца? Пожалуйста, примите участие в обсуждении, выскажите свою точку зрения, либо просто проставьте оценку статье.

Вы также можете:

• Перейти на главную и ознакомиться с самыми интересными постами дня
• Добавить статью в заметки на:
•