CERT-UA та ЄMA. Протидія шахрайству в системах ДБО

15/10/2014

Фахівцями команди реагування на комп’ютерні надзвичайні події України CERT-UA, в рамках виявлення та ліквідації кіберзагроз в українському сегменті мережі Інтернет, протягом першого кварталу 2014 року були зафіксовані численні випадки розсилання електронних листів, начебто, від імені державних органів України (Міндоходів, Державної реєстраційної служби, НАК «Нафтогаз України» та ін.). Зазвичай, як додаток до цього електронного листа, надсилався файл MS Word (насправді – RTF), що містив експлойти «всередині» (CVE-2010-3333, CVE-2012-0158). Під час відкриття файлу відбувалась експлуатація вразливості в програмному забезпеченні MS Word (якщо встановлена версія не була оновленою), а комп’ютер уражався шкідливою програмою («банківським трояном»). Як було з’ясовано пізніше, всі уражені в подібний спосіб комп’ютери автоматично «долучалися» до складу бот-мережі, призначенням якої було – організація викрадення грошових коштів з систем дистанційного банківського обслуговування за посередництва шкідливої програми.

 

Результати досліджень цього інциденту надали CERT-UA змогу у середині квітня 2014 року ідентифікувати фактичне місцезнаходження серверу управління бот-мережею та на деякий час припинити її діяльність. Було з’ясовано, що за період з січня по квітень 2014 року ідентифікована бот-мережа налічувала 46234 уражених шкідливими програмами комп’ютерів (ботів), а в базі даних серверу управління бот-мережею було близько 40 000 000 одиниць скомпрометованих даних (сертифікатів, логінів/паролів, зображень з екрану). Також було з’ясовано, що, здебільшого, жертвами цієї «злочинної кампанії» були переважно громадяни України, адже більше 86 % уражених комп’ютерів знаходились в межах Українського Інтернету та належали бухгалтерам/керівникам українських підприємств (мал. 1).

 

 

11

Мал. 1

 

Зважаючи на те, що загроза стосувалася безпосередньо фінансового сектору, CERT-UA спільно з Українською міжбанківською Асоціацією членів платіжних систем ЄMA (далі – ЄМА або Асоціація) розпочато спільний проект щодо ідентифікації скомпрометованих засобів обчислювальної техніки (комп’ютерів) та інформування відповідних кредитно-фінансових установ з метою подальшого вжиття необхідних заходів. Зважаючи на те, що такий формат взаємодії державного та приватного (банківського) секторів було запроваджено вперше, для відпрацювання механізму співпраці та обміну інформацією було обрано 9 банків.

 

Якщо коротко, то зазначена взаємодія полягала в передаванні, за координації ЄМА, початкової інформації щодо скомпрометованих комп’ютерів до відповідальних фахівців банків (переважно, служб безпеки), які, в свою чергу, визначали клієнтів, чиї комп’ютери були уражені шкідливими програмами, та проводили профілактично-превентивну роботу.

 

Для підрахунку можливих фінансових ризиків використовувались показники абсолютних або усереднених значень залишків грошових коштів на рахунках клієнтів на момент їхньої ідентифікації представниками служб безпеки банків. Як видно з малюнку 2, орієнтовна сума грошових коштів, які могли б бути викрадені з рахунків 1 657 «скомпрометованих» клієнтів склала приблизно 43 567 000 грн. Якщо взяти до уваги, що загальна кількість скомпрометованих комп’ютерів складає не менше 40 000 (!), то розмір сукупного потенційного фінансового ризику можна, за бажанням, з легкістю запроксимувати.

 

2

Мал. 2

 

Зазначений формат взаємодії державного та приватного секторів позитивно вплинув на зменшення рівня можливого шахрайства в системах дистанційного банківського обслуговування. Між Державним центром захисту інформаційно-телекомунікаційних систем Держспецзв’язку, на базі якого функціонує CERT-UA, та Українською міжбанківською Асоціацією членів платіжних систем ЄMA було підписано Меморандум про співпрацю, який, серед іншого, дозволить формалізувати взаємодію, спрямовану на протидію викраденню грошових коштів з рахунків фізичних та юридичних осіб України, організованого з використанням банківських троянських програм.

 

Як епілог, хотілося б сказати, що ураження шкідливими програмами відбувається шляхом надсилання зловмисником на електронну пошту жертви (бухгалтера або керівника) листа, який складається таким чином, щоб отримувач без вагань відкрив його (тобто, застосовуються методи соціальної інженерії), а також містить або посилання на шкідливу програму, або додаток зі шкідливою програмою. Після проведеного аналізу інциденту фахівцями CERT-UA було встановлено, що реалізації загрози також сприяє те, що, в першу чергу – керівники підприємств, а в другу чергу – відповідальні співробітники, нехтують елементарними правилами інформаційної безпеки, а саме:

 

- використовують неліцензійне програмне забезпечення (як операційні системи, так і, наприклад, офісні програми);

- не перевіряють джерела надходження інформації (наприклад, шляхом дзвінка відправнику та перевірки факту відправки ним електронного листа);

- не коректно використовують носії ключової інформації (наприклад, замість підключення USB-токена тільки для здійснення транзакції, підключають його до комп’ютера на весь робочий день);

- застосовують комп’ютери, на яких встановлені системи клієнт-банк, для ігор, доступу до Інтернету, перегляду новин, користування соціальними мережами тощо (натомість, такий комп’ютер має бути якомога більше ізольованою автоматизованою системою).

 
 

Закликаємо відповідальних керівників/співробітників підприємств, установ і організацій України, у разі отримання підозрілого електронного листа та/або виявлення ознак нештатного поводження комп’ютера інформувати CERT-UA та банк, послугами котрого ви користуєтесь.

 

Також рекомендуємо розглядати електронну пошту як основне джерело загроз інформаційні безпеці, та вжити всіх необхідних заходів (наприклад, змінити email адресу на нову та поширювати її лише довіреним колегам/контрагентам; у разі отримання електронного листа, перевіряти факт його надходження за допомогою відправника та ін.).

 

З точки зору реагування на загрозу CERT-UA зацікавлена в отриманні:

- підозрілих електронних листів (в т.ч. вихідного коду електронного листа);

- додатків до підозрілих електронних листів (їх слід додавати до архіву з паролем та надсилати до CERT-UA).