ISACA попереджає про загрозу для банків

 | 08.00

Нещодавно представники Київського відділення ISACA були залучені до розслідування, стримування та вичистки інциденту, пов’язаного з крадіжкою значної суми з українського банку через систему SWIFT.

ink pen on a credit card

Після ретельного вивчення інциденту вирішено попередити банківське товариство про наступне:

  • Міжнародні злочинні угруповання Carbanak/Akunak та Buhtrap створили та розмістили у відкритому доступі набір інструментів для проникнення в банки та інші фінансові установи.
  • Нажаль, традиційні засоби захисту – міжмережеві екрани та антивіруси – недостатні для ефективної протидії.
  • Після проникнення в банк хакери кілька місяців вивчають його роботу та внутрішні процеси.
  • Після ретельного вивчення роботи банку зловмисники використовують повноваження легітимних користувачів для створення платежів через міжнародну міжбанківську систему платежів SWIFT та систему електронних платежів СЕП, і також атакують банкомати та картковий процесинг.
  • На даний момент скомпрометовано десятки банків (в основному в Україні та в Росії), з яких вкрадено сотні мільйонів доларів.

В ISACA вважають, що зловмисники проникли в більшість українських банків і в даний момент проводять вивчення бізнес-процесів та готуються до проведення шахрайських операцій.

Типовий алгоритм дій зловмисників:

  1. Встановлення на ПК співробітника банку злочинного ПЗ через інфікований лист або посилання. Традиційні антивірусні програми можуть бути недієвими, якщо злочинне ПЗ було щойно скомпільоване (атака класу APT або ZERO-DAY), запаковане/закриптоване спеціальною програмою-пакером тощо.
  2. Злочинне ПЗ ініціює підключення до контрольного центру з ПК користувача. Оскільки підключення ініціюється зсередини банку, більшість банків не блокують такі підключення.
  3. Далі з комп’ютера користувача проводиться вивчення внутрішньої інфраструктури банку, та проводяться атаки на інші ПК та сервери.
  4. За допомогою спеціалізованих засобів, таких як Mimikatz, перехоплюються паролі адміністраторів домену та захоплюється контроль всіх ПК, підключених в домен.
  5. Злочинці досліджують роботу банку та виявляють найбільш цінні робочі місця і сервери. На них встановлюються програми, які перехоплюють та передають зловмисникам копії екрану. Цей процес триває кілька місяців.
  6. Зловмисники очікують оптимального часу для атаки (наприклад, коли на кореспондентських рахунках найбільше грошей) та виводять кошти, використовуючи легітимні облікові записи користувачів банку, і виконують зачистку своїх слідів.

Що робити? Нижче надано невичерпний перелік кроків, які необхідно запровадити:

  • Організаційна підготовка. Створити плани реагування на інциденти, пов’язані з платіжними системами (відповідальні; кризова команда; комунікації – внутрішні, з платіжними системами та контрагентами; відключення, та ін.). Провести аудит безпеки та розробити і впровадити план швидких змін, а також архітектуру і програму забезпечення безпеки.
  • Моніторинг та аналіз інцидентів та подій безпеки. Запровадити повноцінний процес моніторингу подій безпеки та аналізу ризиків. Запровадити інструменти для виявлення вторгнень, консолідації та кореляції подій з усіх систем. Запровадити додатковий контроль інформації, що відправляється до банку та з нього. Проводити реверс-інжиніринг злочинного ПЗ, виявляти контрольні центри, та шукати сліди злочинного ПЗ в системах банку.
  • Стримування злочинців в разі інциденту. Відключити можливість доступу в Інтернет із внутрішніх сегментів мережі банку, і особливо з критичних робочих місць. Розробити план стримування для виключення подальших інцидентів і створення максимальної кількості перешкод зловмисникам, які проникли в банк. Посилити захист найбільш критичних платіжних сервісів – SWIFT, СЕП, процесинг, інтернет-банкінг, банкомати, системи грошових переказів тощо. Запровадити для цих сервісів сегментацію на мережевому рівні, виведення із загального домену, запровадження додаткових лімітів та контролів на рівні бізнес-процесів, впровадження алгоритмів моніторингу аномальної платіжної активності та відключення платіжних систем в разі виявлення підозрілих операцій. Провести перегенерацію ключів та паролів користувачів, щоденно міняти паролі адміністраторів. Зняти образи з скомпрометованих комп’ютерів та дослідити зразки злочинного коду, забезпечити зберігання цифрових доказів. Посилити безпеку домену та розпочати вичистку. Потрібно бути готовим до того, що екстрені процедурі із стримування злочинців можуть привести до простоїв в бізнес-процесах, оскільки зміни потрібно впроваджувати настільки терміново, що не завжди є можливість проводити ретельне тестування.
  • Вичищення систем. Викорінення злочинців з ІТ-систем банку є складною задачею, оскільки в банках використовуються тисячі комп’ютерів та серверів, і пошук слідів злочинного ПЗ та вичистка чи переінсталяція інфікованих пристроїв може зайняти тривалий час (від кількох місяців до року). Протягом цього часу банк вимушений буде працювати в режимі посилених операційних контролів (посилений моніторинг транзакцій, подвійна верифікація транзакцій, додаткова автентифікація тощо), виконання яких вимагає додаткових зусиль від персоналу. На цьому етапі пошук злочинного ПЗ має охопити всі комп’ютери та сервери банку (причому це має бути постійний процес, інтегрований з процесом моніторингу та аналізу інцидентів безпеки). Як правило, необхідно впровадити новий ліс Active Directory, який має бути безпечно налаштований, і переводити перевірені, вичищені або переустановлені комп’ютери в цей новий ліс. Дуже важливо запровадити безпечну архітектуру та налаштування домену. Наприклад, вивести адміністраторів в окремий домен, розділити ролі адміністраторів робочих станцій, серверів та домену і створити для них окремі облікові записи. Звести до мінімуму роботу з правами адміністратора домену та їх кількість, забезпечити аутентифікацію виключно використовуючи NTLMv2, обмежити WMI та запровадити інші налаштування безпеки. Співробітники, відповідальні за дизайн безпечної архітектури домену мають пройти відповідне навчання. На цьому етапі також необхідно визначити цільову архітектуру безпеки, придбати та впровадити засоби захисту, яких не вистачає, та провести необхідні організаційні зміни, доукомплектувати функції та провести навчання персоналу.
  • Відновлення нормальної роботи. Тільки після повного вичищення систем банку, запровадження архітектури безпеки і вирішення кадрових питань, банк може повертатися до нормального функціонування та прийняти рішення щодо зменшення кількості додаткових ручних контролів, що були запроваджені після інциденту.

Які класи рішень потрібні?

Рекомендовано впровадити такі класи рішень, як security sandbox, endpoint protection, intrusion detection, anomaly detection, process whitelisting, security mail gateway, security proxy, SIEM. Серед рішень, що розповсюджуються безкоштовно, банки можуть швидко впровадити SNORT intrusion detection system та використовувати інструмент YARA для пошуку злочинного ПЗ.

Організаційні виклики:

  • Робота в авральному режимі після інциденту сильно виснажує персонал банку. Успіх в боротьбі із злочинцями вимагає сильного командного духу, лідерських навичок у керівників, високого рівня мотивації персоналу.
  • Безумовно, в банку необхідна ефективна функція управління ризиками, яка має охоплювати ризики кібербезпеки, розуміти як ці ризики впливають на роботу банку та допомагати вибудовувати відповідні контролі.

Що робити на рівні держави?

В ISACA вважають, що для ефективної протидії атакам на банківський сектор України вкрай необхідно якомога скоріше організувати обмін інформацією про атаки за загрози між учасниками банківського ринку. Для цього в Україні учасники ринку повинні створити Центр Обміну Інформацією про атаки (Security Analysis and Information Exchange Centre), а також налагодити обмін такою інформацією з подібними центрами за кордоном.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *