Хакерская группировка MoneyTaker обворовала один из банков России через его рабочее место в ЦБ. В результате было украдено свыше полумиллиарда рублей.
Как выяснилось, кража денег со счёта через атаку на автоматизированное рабочее место клиента Банка России (АРМ КБР) шла в несколько этапов и финишировала в январе этого года. Подробности сейчас обнародовали в отчёте Group-IB об угрозах безопасности финансового сектора «Большой куш: угрозы для финансовых организаций». К слову, куш был действительно большим — хакеры через пробитую ими брешь смогли украсть свыше полумиллиарда рублей.
Началась кибератака за полгода до часа икс — летом 2020 года «через компрометацию аффилированной с банком компании». Как предполагается в отчёте Group-IB, хакеры из группировки MoneyTaker «начали с физического устройства, установленного в аффилированной сети».
После кибермошенники в течение месяца получили доступ к сети самого банка, а после полгода изучали сеть с помощью программного обеспечения для хранения учётных данных проверки клиента, удалённого доступа.
Завершающая стадия кибератаки состоялась в январе 2021 года после того, как у злоумышленников оказался доступ к системе межбанковских переводов, которые проводятся через АРМ КБР. Кроме того, в руках хакеров оказались и цифровые ключи для подписания платежей, проходящих через Центробанк. Аналитики отмечают, что киберпреступники «вручную скопировали поддельные подписанные платежи в специальную папку в системе АРМ КБР».
Как пояснил собеседник РБК в одном из банков, при получении доступа к АРМ КБР в нём можно сформировать платёжное поручение и отправить с корсчёта деньги на свои счета.