Эксперты так и не смогли выявить злоумышленников, которые получили выгоду в результате взлома трейдинговой системы казанского «Энергобанка», стоившего кредитной организации почти четверть миллиарда рублей. Об этом рассказал Сергей Швецов, первый зампред ЦБ, в рамках VIII Уральского форума «Информационная безопасность финансовой сферы». Швецов сообщил, что хакерская атака могла быть предпринята в связи с чьим-то желанием отомстить банку.
Как сообщил Швецов, бенефициара выявить не удалось. По его словам, на потере нескольких сотен миллионов рублей не удалось выявить кто получил эти деньги. В связи с этим Швецов предположил, что атака, по всей вероятности, могла представлять собой месть за увольнение кого-то из сотрудников.
Напомним, ранее компанией Group-IB на своем сайте был обнародован обзор, где сообщается о том, что система безопасности регионального банка была взломана российскими хакерами, которым при помощи вируса удалось изменить курс российского рубля на торгах биржи больше чем на 15 процентов. По словам Дмитрия Волкова, возглавляющего отдел расследований и сервиса киберразведки Group-IB, в отчете говорится о казанском Энергобанке.
В обзоре говорится, что хакерами был использован вирус под названием Corkow Trojan. В итоге предпринятой атаки в феврале 2015 года банком были размещены приказы больше чем на 500 миллионов долларов по нерыночному курсу. Вмешательство хакера вызвало очень большую волатильность на протяжении шести минут, что дало возможность осуществить сделку на покупку долларов США по курсу 59,0560 рубля и спустя 51 секунду провести сделку на продажу по курсу 62,3490 рубля.
Вредоносное ПО, использованное для атаки, дает возможность открытия на компьютере бэкдора (канала удаленного управления) при помощи легитимно выглядящих сайтов или файлов и принуждать его к исполнению команд хакеров. При этом вирус Corkow постоянно обновляют для обхода антивирусных программ. Этот вирус, как отмечается в обзоре Group-IB, попал в 250 тысяч компьютеров во всем мире и заразил больше ста различных финансовых институтов. Экспертам удалось выяснить, что средства антивирусной защиты не могут эффективно бороться с этой угрозой. В частности, во всех банках, в которых зафиксировали это вредоносное ПО, был установлен и корректно функционировал антивирус. Более того, вирус может находиться в Сети и оставаться незамеченным при этом больше шести месяцев.
В «Энергобанке» свой ущерб от хакерской атаки оценили в 244 миллиона рублей.
Также в отчете говорится, что, применяя вредоносное программное обеспечение, хакером были спровоцированы серьезные колебания курса доллара. За 14 минут хакеру удалось добиться аномальной волатильности, в результате чего появилась возможность купить доллар по стоимости 55 рублей, а продать – по 62 рубля. До вмешательства хакера трейдеры торговались в пределах 60—62 рублей за доллар.
В «Энергобанке» утверждали, что его потери, связанные с атакой, составили 244 миллиона рублей в результате проведения этих сделок. В то же время доказательства того, что от этой операции хакеры получили прибыль, не имеется. Позже представители Московской биржи сообщили, что ее системы не подверглись взлому в результате данного инцидента. Кроме того, в результате расследования, проведенного Центробанком, не удалось выявить манипуляций на валютном рынке. Помимо этого, ЦБ до этого опровергал информацию относительно постороннего вмешательства в торговую систему «Энергобанка»: по информации регулятора, эти заявки были выставлены самим банком.
В обзоре Group-IB обращается внимание на то, что прибыль от волатильности получили обычные клиенты биржи. В результате этой махинации банку был нанесен значительный финансовый и репутационный ущерб, в связи с тем, что многие игроки рынка не верят в версию со взломом, охотно списывая все события на ошибку, допущенную оператором торговой системы. В то же время, по словам Волкова, «Энергобанк» может взыскать потерянные средства с тех, кто является ответственным за проникновение в торговую систему вредоносного ПО, но эти лица необходимо сначала установить.
В марте прошедшего года представители комитета по валютному рынку Московской биржи порекомендовал правлению биржи исключение «Энергобанка» из числа участников торгов на валютном рынке, объяснив это недостаточной защищенностью его системы информационной безопасности. В тот день сделки с «Энергобанком» заключались тремя брокерскими компаниями: «Отрытие Брокер», «Финам» и БКС, чьи клиенты купили валюту по низкому курсу. Через суд банк потребовал от брокеров компенсации своих потерь. У «Открытия» банк потребовал возвращения 117,3 миллиона рублей, у БКС — 118,5 миллиона, и у «Финама» — 7,8 миллиона рублей, но в марте Вахитовским районным судом Казани было отказано в удовлетворении иска в связи с тем, что «Энергобанк» также подал заявление в правоохранительные органы.
Проведением следствия по данному факту занимается МВД Татарстана, которое на основании заявления банка возбудило уголовное дело по признакам статьи 272 УК РФ, карающей за неправомерный доступ к компьютерной информации. Как сообщало агентство «Интерфакс», в апреле органами следствия накладывался арест на средства клиентов «Открытия», «Финама» и БКС. В тот же день в татарстанском МВД сообщили о том, что торги от лица «Энергобанка» 27 февраля проводились после внедрения в систему компьютерного вируса. При этом было принято решение о продолжении следствия по уголовному делу.
