Главная - Специалисты ООО «Лайтигард» приняли участие в расследовании киберпреступления
 



Документы

Специалисты ООО «Лайтигард» приняли участие в расследовании киберпреступления

В начале сентября 2013 года компания ООО «Лайтигард» принимала участие в разборе инцидента, связанного с кражей большой суммы денег с банковского счета одной из наших дружественных компаний. Наши специалисты занимались исключительно технической составляющей инцидента, прочими вопросами занимались другие организации. 

Перед нашими специалистами была поставлена задача по восстановлению хронологии событий, предшествовавших краже, на основании технических журналов и другой информации. В результате проведённой работы было установлено следующее:
 

- В декабре 2012 года через Интернет злоумышленники установили вредоносное ПО на 2 компьютера бухгалтерии, для чего были использованы уязвимые места ОС Microsoft Windows.

- Несмотря на то, что на этих двух ПК было установлено современное антивирусное программное обеспечение, которое корректно обновлялось, оно никак не реагировало на присутствие в системе вредоносного ПО.

- С марта 2013 года оба этих ПК стали постоянно устанавливать связь с управляющими серверами за рубежом.

- В конце августа 2013 года, в четверг, перед закрытием банковского дня, с одной из этих машин был отправлен подложный платёж. Затем информация на ПК была уничтожена достаточно изощрённым способом: была разрушена вся файловая система.

- В пятницу рано утром платежное поручение было исполнено, и деньги были переведены на счёт в банке, расположенном в Нижнем Новгороде, и работающем в субботу. 

- Реквизиты и назначение платежа в подложном платежном поручении были взяты из платёжных поручений, проводившихся ранее. При этом электронное платежное поручение было подписано стандартными средствами он-лайн банк-клиента, основанными на полноценной ЭЦП.

- Были переведены все деньги, имевшиеся на счету компании. Благодаря именно этому просчету злоумышленников история закончилась благополучно. Естественно, сразу исчезновение денег со счета никто не заметил. Отказ ПК за 15 минут до окончания рабочего дня на мысль о хищении никого не навёл. 

- По счастливой случайности в пятницу днём понадобилось сделать крупный платеж. Банк сообщил, что операцию выполнить невозможно из-за нехватки денег на счёте. Это обескуражило сотрудников бухгалтерии, начались поиски причин. К счастью, удалось вернуть деньги из банка, в который они были уже перечислены. 

- Если бы всё сложилось не так удачно, и деньги не начали искать сразу, уже в субботу они бы ушли на другие счета в других банках и были бы потеряны.

- На втором ПК, поскольку он не участвовал в атаке, данные сохранились, что позволило обнаружить следы вредоносного ПО.


Вот признаки, которые характерны для этой атаки, и которые ставят её в ряд типичных современных угроз ИБ:

1. Существующие антивирусные средства недостаточны для предотвращения такого рода угроз. Необходимы принципиально новые технические решения.

2. Атака строится по принципу APT (Advanced Persistant Threat), для которого характерны: невозможность обнаружения штатными антивирусными средствами; незаметное присутствие на ПК в течение долгого времени; злоумышленники анализируют ситуацию продолжительное время, что позволяет им добиваться наилучших результатов; высокая организованность злоумышленников; целенаправленность и прагматизм при проведении атаки, целями которой могут стать не только электронные финансовые инструменты, но и информация, представляющая ценность для организации, влияющая на её репутацию и т.п.

3. Захваченные ПК могут служить перевалочным пунктом для атаки на другие элементы инфраструктуры предприятия (организации).

 

Последнее обновление 13.05.14 12:31