Джек Стаббс
МОСКВА, 22 мая (Рейтер) - Российские киберпреступники похищали средства у клиентов местных банков, используя вредоносную программу, установленную на мобильные устройства Android, и до своего ареста планировали атаку на европейские банки, сообщили Рейтер следователи и источники, знакомые с ситуацией.
По меркам киберпреступного сообщества, хакеры выручили сравнительно небольшую сумму денег - свыше 50 миллионов рублей - однако за скромную месячную плату они также получили доступ к усовершенствованному вредоносному ПО, чтобы атаковать клиентов банков Франции и, вероятно, ряда других западных стран.
Отношение России к киберпреступности оказалось в центре внимания, после того как спецслужбы США обвинили российских хакеров во взломе серверов Демократической партии, чтобы обеспечить победу республиканца Дональда Трампа на президентских выборах.
Кремль неоднократно отрицал эти утверждения.
Члены задержанной хакерской группировки обманом заставляли клиентов российских банков скачивать вредоносное ПО с помощью фальшивых мобильных приложений банков, а также программ для просмотра порносайтов и электронной торговли, следует из доклада, подготовленного компанией Group-IB, которая занимается расследованием атаки совместно с МВД.
Хакеры, 16 из которых были арестованы сотрудниками российских органов правопорядка в ноябре 2016 года, заразили вредоносным ПО более миллиона смартфонов в России, в среднем взламывая 3.500 устройств в день, сообщила Group-IB.
Они сделали мишенью клиентов Сбербанка (MCX:SBER) и украли средства со счетов Альфа-банка и системы онлайн-платежей Qiwi (MCX:QIWIDR), обнаружив уязвимость сервисов передачи смс-сообщений, сказали два источника, напрямую знакомые с ситуацией.
Хотя до ареста хакеры работали только в России, они планировали атаки на крупные европейские банки, включая французские Credit Agricole (PA:CAGR), BNP Paribas (PA:BNPP) и Societe General, сообщила Group-IB.
Представитель BNP Paribas сказала, что банк не может подтвердить информацию, но "принял значительное количество мер для предотвращения кибератак на повседневной основе". Societe Generale (PA:SOGN) и Credit Agricole от комментариев отказались.
Члены группировки, называемой Cron в честь вредоносной программы, которую они использовали, не украли средства у клиентов трех французских банков. Однако они пользовались банковским сервисом в России, который позволяет пользователям переводить небольшие суммы на другие аккаунты с помощью смс-сообщений.
Преступники отправляли сообщения с зараженных телефонов, после которых банки переводили деньги на их аккаунты.
Полученные сведения говорят об опасности использования смс-сообщений для мобильного банкинга, метода, который предпочитают развивающиеся страны с менее развитой интернет-инфраструктурой, сказал Лукас Стефанко, занимающийся исследованием вредоносных программ из компании ESET в Словакии.
"Это становится популярным в развивающихся странах или за городом, где доступ к стандартному банкингу ограничен", - сказал он.
"Это быстро и легко, и не нужно идти в банк... Однако безопасность должна всегда быть выше удобства для клиентов".
КИБЕРПРЕСТУПНИКИ
МВД России сообщило о задержании нескольких человек, включая того, кого ведомство назвало главарем группировки. Это 30-летний житель Иваново, контролировавший оттуда команду из 20 человек, базировавшихся в шести различных регионах РФ.
Четыре человека остаются под стражей, остальные - под домашним арестом, сообщило МВД.
"На территории 6 регионов России проведено 20 обысков, в ходе которых изъята компьютерная техника, сотни банковских карт и сим-карт, оформленных на подставных лиц", - говорится в сообщении МВД.
Group-IB сообщила, что существование вредоносной программы Cron было впервые обнаружено в середине 2015 года и к моменту задержания хакеры использовали ее чуть меньше года.
Основные участники группировки были задержаны 22 ноября прошлого года в Иваново. На фотографиях, сделанных в ходе проведения операции и обнародованных Group-IB, видно, как один подозреваемый лежит в снегу вниз лицом, а полицейские надевают на него наручники.
Хакеры были задержаны до того, как успели совершить атаки за пределами России, однако соответствующие планы находились на продвинутой стадии, сказали следователи.
Group-IB сообщила, что в июне 2016 года члены группировки взяли в аренду вредоносную банковскую мобильную программу Tiny.z за $2.000 в месяц. Создатели Tiny.z адаптировали ее для атак на банки в Британии, Германии, Франции, США и Турции, а также в других странах.
Группировка Cron разработала ПО для атак на кредиторов, включая три французские группы, сообщила Group-IB, добавив, что уведомила эти и другие европейские банки, попавшие в зону риска.
Представитель Сбербанка сообщила, что не располагает информацией о группировке, однако сказала: "Против Сбербанка действуют несколько группировок киберпреступников. Число группировок и используемые ими методы атаки постоянно меняются".
"Не ясно, о какой именно группировке здесь идет речь, потому что мошенническая схема с использованием вирусов для операционной системы Android широко распространена в России и Сбербанк успешно борется с ней продолжительное время".
Альфа-банк не предоставил комментарий. Qiwi не ответила на просьбы о комментариях.
Google, производитель Android, в последние годы принимает меры для защиты пользователей от загрузки вредоносных программ и блокирует приложения, которые ненадежны, выдают себя за программы реальных компаний или используют обманные приемы.
Компания отказалась от комментариев, сообщив, что не видела отчета Group-IB.
ФАЛЬШИВЫЕ МОБИЛЬНЫЕ ПРИЛОЖЕНИЯ
Российские власти, столкнувшиеся с обвинениями в организации хакерских атак, стремятся показать, что РФ тоже нередко становится жертвой киберпреступлений и что они усиленно борются с этим. МВД и МЧС России , а также крупнейший российский госбанк Сбербанк сообщили, что подверглись глобальной кибератаке ранее в этом месяце.
С момента появления сообщений о хакерских атаках из России во время избирательной кампании в США всплыли новые свидетельства того, что некоторые западные чиновники называют симбиозом между киберпреступниками и российскими властями, который позволяет хакерам безнаказанно атаковать иностранные структуры в обмен на сотрудничество со службами безопасности РФ.
Успеху группы Cron способствовала популярность услуг SMS-банкинга в России, сказал глава отдела расследований Group-IB Дмитрий Волков.
Хакеры устанавливали вирус на устройства жертв с помощью приложений, имитирующих настоящие приложения банков. Пользователям во время поиска в интернете предлагались фальшивые приложения для скачивания. Хакеры также включали вредоносное ПО в фальшивые мобильные приложения для просмотра известных порнографических сайтов.
Заразив телефон вирусом, хакеры получали возможность отправлять текстовые сообщения банку о переводе средств в размере до $120 на один из 6.000 банковских счетов, открытых для получения мошеннических платежей.
Вирус затем перехватывал код подтверждения, отправленный банком, и блокировал отправку жертве сообщения о совершенной транзакции.
"Успех Cron обусловлен двумя основными факторами, - сказал Волков. - Во-первых, крупномасштабное использование партнерских программ для распространения вируса различными способами. Во-вторых, автоматизация многих (мобильных) функций, которые позволяли им (хакерам) осуществлять кражи без прямого участия".
($1 = 56,0418 рубля)
(При участии Майи Николаевой в Париже, Эрика Ошара во Франкфурте-на-Майне. Редакторы Кистиан Лоу и Дэвид Стамп. Перевели Ксения Орлова, Марина Боброва и Вера Сосенкова. Редактор перевода Дмитрий Антонов)