- Регистрация
- 11 Ноя 2019
- Сообщения
- 1,667
- Реакции
- 72
- Репутация
- 0
Чтобы проникнуть в сеть российского банка, хакерам нужно в среднем 5 дней, показали тесты в 10 банках из топ-50. Цель достигалась за счет уязвимостей приложений, ПО и подбора паролей. В ряде случаев был получен доступ к банкоматам.
Хакерам требуется в среднем пять дней на проникновение во внутреннюю сеть российского банка, а если злоумышленник действует изнутри, то всего за два дня он способен получить полный контроль над инфраструктурой кредитной организации. К такому выводу пришли специалисты компании в сфере информационной безопасности Positive Technologies по итогам серии тестов на степень защищенности банков от хакерских атак. Тесты проводились в десяти кредитных организациях из топ-50 по активам, относящимся к разным размерным категориям. Их названия не раскрываются.
Специалисты, по словам представителя Positive Technologies, имитировали 18 атак: в восьми случаях атака на банк совершалась извне, то есть «хакеры» использовали только общедоступные данные, например сайт банка или неправильно настроенную базу данных, в десяти — атаковали изнутри банка, то есть хакер оказался в здании банка и получил доступ к розетке, Wi-Fi-сети и так далее или же благодаря атаке извне получил доступ к пользовательским данным банковского сотрудника. Методы социальной инженерии в тестах не использовались.
Что выявили атаки снаружи
Новое тестирование показало, что хакеры могут проникнуть из интернета в локальную сеть семи из восьми банков. Общий уровень защищенности шести банков от хакерских атак специалисты оценили как крайне низкий, одного банка как низкий. И только один банк получил оценку выше среднего.
Хакеры могут использовать несколько различных способов для проникновения в локальную сеть банка: в среднем злоумышленнику для этого требуется всего два шага (максимум — пять; минимум — один). В одном из банков эксперты Positive Technologies обнаружили следы более ранней реальной хакерской атаки, которую банк не смог выявить.
В большинстве случаев (44%) хакеры могут попадать во внутреннюю сеть банка через уязвимость веб-приложений. Для такой атаки, например, необходимо иметь личный кабинет в банке, доступ к которому хакер может получить путем подбора паролей реальных пользователей. В некоторых системах также можно просто зарегистрировать нового пользователя, используя встроенные механизмы приложения.
В 25% случаев хакеры попадали во внутреннюю сеть банка с помощью подбора учетной записи сотрудника организации для удаленного управления, еще в 25% использовали недостатки конфигурации с уязвимостями программного обеспечения, в оставшихся 6% — «уязвимости нулевого дня» (недостатки в ПО или вирусы, против которых еще не разработаны защитные механизмы).
В четырех банках специалистам удалось скомпрометировать учетные записи сотрудников (подключиться к почтовому ящику этого сотрудника, читать его почту и отправлять письма от его имени), еще в четырех — установить контроль над веб-приложением, в трех — провести атаки на посетителей сайтов, в двух — установить контроль над веб-сервером.
Что удалось при атаках изнутри
Семь из десяти внутренних атак по получению контроля над инфраструктурой стали успешным продолжением атак из интернета, указывается в отчете Positive Technologies. В среднем атака изнутри на банк состояла из восьми шагов (минимально — два, максимально — 15). Тестирование показало, что хакеры могут получить доступ к банкоматам, рабочим станциям топ-менеджеров, серверам карточного процессинга, центрам управления антивирусной защитой.
Большинство выявленных векторов для атак изнутри были сложны в реализации, указали эксперты, девять из них характеризовались высокой сложностью, пять — средней, а еще пять — низкой. «Для проведения сложной атаки злоумышленнику необходимо обладать высокой квалификацией и понимать, как обойти различные системы защиты. При этом в восьми банках существовал одновременно и альтернативный способ атаки, более простой в реализации, для которого нарушителю достаточно было бы обладать базовыми навыками, использовать общедоступные инструменты и эксплойты (программы, использующие уязвимости в ПО)», — подчеркивают авторы исследования.
Большинство успешных атак (49%) удалось реализовать с помощью легитимных действий в системах (разрешенные действия, которые позволяли получать несанкционированный доступ или нужную информацию). В 14% использовался подбор учетных данных сотрудников банка, в 13% — архитектурные особенности операционной системы.
Насколько защищены банки
Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов считает, что крупные российские банки «очень хорошо защищены от кибератак» и постоянно совершенствуют свои системы безопасности. Но зачастую злоумышленники используют уязвимости в бизнес-приложениях, которые разработала сама организация, а также в необновленных версиях широко использующегося ПО, объясняет он: «Например, в конце 2019 года мы расследовали серию атак, где использовалась уязвимость в VPN-решениях. Несмотря на то что брешь была обнаружена еще весной 2019 года, многие компании не установили необходимое обновление, чем и воспользовались злоумышленники». Кроме того, хакеры атакуют партнеров и поставщиков банков, где могут не соблюдаться базовые правила кибербезопасности.
В прошлом году информации об успешных целевых атаках на российские банки вообще не появлялось, не согласен с выводами исследования директор департамента информационной безопасности банка «Открытие» Владимир Журавлев. Если бы злоумышленники действительно могли бы проникать в сеть банков за пять дней, то банки регулярно теряли бы огромные деньги в результате подобных атак, говорит он.
Хакеры с большей степенью вероятности будут атаковать не банки, а напрямую их клиентов, уверен директор департамента информационной безопасности Росбанка Михаил Иванов: риски атаки на кредитные организации (даже не с самыми зрелыми системами безопасности) для злоумышленников всегда выше.
Уровень готовности банков к инцидентам в сфере кибербезопасности вырос за прошлый год, говорит глава лаборатории компьютерной криминалистики Group-IB Валерий Баулин. Отрасль «старается работать на опережение, используя инструменты раннего предупреждения кибератак», добавляет он: речь идет не только о технологической инфраструктуре, но и об уровне компетенции сотрудников.
Из-за улучшения банками систем безопасности русскоязычные группировки хакеров все чаще атакуют зарубежные кредитные организации, отмечает Голованов: они переключаются на банки в Азии, Африке и Латинской Америке. Об этом же сообщали и специалисты Group-IB: отработав техники взлома на домашних регионах, хакеры пошли дальше. С другой стороны, российским банкам стоит ждать атак от нового поколения взломщиков, отмечали в компании.