Российские хакеры изменили курс рубля на 15% с помощью вируса

Речь идет об инциденте с казанским "Энергобанком" в феврале 2015

Российские хакеры взломали систему безопасности регионального банка РФ и с помощью вируса смогли изменить курс рубля на биржевых торгах более чем на 15%. Об этом сообщили в пресс-службе компании по кибербезопасности Group-IB.

Как отмечается в отчете, речь идет о казанском "Энергобанке".

В частности, хакеры использовали вирус под названием Corkow Trojan. По данным Group-IB, в результате атаки банк разместил в феврале 2015 года приказы более чем на 500 миллионов долларов по нерыночному курсу. Действия киберпреступников вызвали очень большую волатильность в течение шести минут, что позволило совершить сделку на покупку долларов по курсу 59,0560 и через 51 секунду продать по курсу 62,3490, говорится в обзоре.

Вредоносное программное обеспечение, примененное для атаки, способно открывать на компьютере бэкдор (канал удаленного управления) через легитимно выглядящие сайты или файлы и затем принуждать его к выполнению команд хакеров. Вирус Corkow постоянно обновляется для обхода антивирусных программ. Он проник в 250 тысяч компьютеров по всему миру и заразил более ста финансовых институтов.

Как отмечается, средства антивирусной защиты не способны эффективно противостоять этой угрозе. Согласно исследованию, во всех банках, где зафиксировали эту вредоносную программу, был установлен и корректно работал антивирус. При этом вредоносная программа может находиться в сети незамеченной более шести месяцев.

Используя вредоносное программное обеспечение, хакеры вызвали серьезные скачки курса доллара, говорится в отчете Group-IB. За 14 минут хакеры добились аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля. До инцидента трейдеры торговали в рыночном диапазоне 60-62 руб. за доллар.

В свою очередь, "Энергобанк" утверждал, что тогда его потери составили 244 млн рублей за счет этих сделок. Впрочем, доказательств того, что хакеры получили прибыль от этой операции, нет. Позже Московская биржа сообщила, что ее системы не были взломаны в результате данного инцидента.

Расследование Центробанка РФ не установило манипуляций на валютном рынке, также регулятор ранее опровергал информацию о постороннем вмешательстве в торговую систему "Энергобанка": по данным ЦБ, эти заявки выставлял сам банк.

По данным Group-IB, на волатильности заработали обычные клиенты биржи. "В итоге этой махинации банк понес большой финансовый и репутационный ущерб, поскольку многие игроки на рынке не доверяют версии со взломом и охотно все списывают на ошибку оператора торговой системы", - говорится в обзоре.

Как заявил РБК руководитель отдела расследований и сервиса киберразведки Group-IB Дмитрий Волков, "Энергобанк" может взыскать свои потери с тех, кто ответственен за проникновение вредоносного обеспечения в торговую систему. "Однако эти лица нужно еще установить", - добавил эксперт.

В конце марта 2015 года комитет по валютному рынку Московской биржи рекомендовал правлению биржи исключить "Энергобанк" из состава участников торгов валютного рынка из-за недостаточной защищенности системы информационной безопасности банка. Сделки с "Энергобанком" в тот день заключали три брокерские компании: "Финам", БКС и "Отрытие Брокер", клиенты которых покупали валюту по низкому курсу.

Банк через суд потребовал от брокеров компенсировать свои потери. С "Открытия" он требовал 117,3 млн руб., с БКС - 118,5 млн и с "Финама" - 7,8 млн руб., однако в марте Вахитовский районный суд Казани отказал в удовлетворении иска на том основании, что "Энергобанком" также было подано заявление в правоохранительные органы.

​Следствие ведет МВД Татарстана, возбудившее по заявлению банка уголовное дело по статье 272 УК РФ (неправомерный доступ к компьютерной информации). В апреле следственные органы накладывали арест на средства клиентов "Финама", "Открытия" и БКС. В этот же день татарстанское МВД заявило о том, что торги 27 февраля от лица "Энергобанка" прошли после внедрения компьютерного вируса. При этом следствие по уголовному делу было решено продолжить.

Как отмечается в обзоре Group-IB, в августе 2015 года произошел другой важный инцидент с использованием расчетной системы, объединяющей около 250 банков и позволяющей снимать средства с карт Visa и MasterCard по выгодным тарифам. Тогда через банкоматы одного из участников этой расчетной системы было выдано несколько сотен миллионов рублей, которые, как выяснилось позже, были результатом хакерской атаки с использованием все того же трояна Corkow.

Напомним, ранее стало известно о том, что Visa и MasterCard избежали ущерба от кибератак хакеров в РФ.

Ранее группу российских хакеров заподозрили в причастности к блэкауту в Украине.

По оценке "Лаборатории Касперского", ущерб от действий русскоязычных хакеров составил более 790 миллионов долларов за последние четыре года.