Pegasus подкрался незаметно // Полный пакет программного обеспечения для хакерских атак на банки оказался в интернете

Дата: 14 июля 2018 в 00:28 Категория: Новости интернета

Полный набор программного обеспечения, позволяющего хакеру организовать атаку на российский банк, оказался выложен в открытый доступ в интернете. Архив вредоносной программы Pegasus также содержит контакты специалистов по информационной безопасности нескольких крупных банков. По словам экспертов, и программы, и данные несколько устарели, но могут быть легко обновлены, что может привести к всплеску хищений у кредитных организаций.

Как сообщили «Ъ» участники рынка, в открытый доступ оказался выложен архив, являющийся фактически готовой инструкцией для хакерской атаки на банк. Архив вредоносного программного обеспечения (ВПО) Pegasus примерно неделю назад появился в даркнете (скрытой сети, соединение в которой устанавливается между отдельными лицами, используется, в частности, хакерами), а через несколько дней и в интернете, говорят источники «Ъ».

Выложенное ВПО, по словам собеседников «Ъ», было ранее использовано группировкой Buhtrap при атаке на российские банки. Как ранее сообщала в своем отчете Group-IB, группировка похитила у российских банков порядка 1,8 млрд руб. По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, сейчас доступ к архиву достаточно легок.

Программы Pegasus дают возможность вывести средства через автоматизированное рабочее место банка—клиента Банка России. Эксперты отмечают, что архив содержит не только необходимый для атаки комплект ВПО, но и подробнейшую инструкцию по его использованию. «Инструментарий, содержащийся в архиве, позволяет совершать атаки с выводом средств через платежную систему Банка России, это комплект образца 2015–2016 годов, то есть немного устаревший,— рассказывает «Ъ» собеседник из банка, входящего в топ-10.— В то же время с разумными усилиями любой прилежный хакер может апгрейдить инструментарий под сегодняшние реалии и совершить атаку». По словам главы управления информбезопасности ОТП-банка Сергея Чернокозинского, опасность зависит напрямую от таланта «вирусописателя»: «Если он доработает ВПО, то получится отличный троян, и вирус будет опасен для любого банка»,— отметил он.

Между тем доступность широкому кругу лиц даже отдельных компонентов ВПО приводит к хищениям. Господин Новиков приводит пример выкладывания в публичный доступ исходных кодов ВПО ZEUS, что привело к резкому росту хакерских атак, в том числе успешных, в 2011 году.

Кроме того, выложенный в сеть архив содержит данные о специалистах по информбезопасности нескольких крупных банков, их телефоны. По данным источников «Ъ», эти сведения также относятся к 2015 году и потому многие из них не актуальны. Например, в базе есть контакты специалистов Сбербанка, в банке на запрос «Ъ» сообщили, что выложенная в сеть база «не содержит данных сотрудников банка». «Однако, как показывает практика OSINT, эти данные не слишком сложно актуализировать и они могут быть использованы для подготовки фишинговых рассылок», — отметил Алексей Новиков.

В Банке России сообщили «Ъ», что в курсе данной ситуации. По словам участников рынка, 13 июля ФинЦЕРТ (подразделение ЦБ, отвечающее за кибербезопасность) сделал рассылку, посвященную этой угрозе. В ЦБ подтвердили данную информацию, также сообщив, что на сегодняшний день содержащиеся в ней данные малоактуальны и что об угрозе ФинЦЕРТ предупреждал рынок еще в 2016 году.

Вероника Горячева

По сообщению сайта Коммерсантъ