Магистры ИТ-вуза в рамках практического проекта восстановили хронологию ограбления и объяснили, как преступником удалось проникнуть внутрь компьютерной системы финансовой организации.

«Киберпреступность и компьютерная криминалистика» — один из главных курсов магистратуры «Проектирование безопасных систем и систем» Университета Иннополис. По плану этого курса студенты выполняют проект, работая над практическим исследованием, решающее проблемы ИТ-индустрии. Проекты выполняются в команде из студентов и преподавателей.

В этом году проекты базировались на реальных компьютерных инцидентах, полученных в ходе сотрудничества Управления «К» МВД России и Университета Иннополис. Работая над одним из таких проектов команда Университета Иннополис, помогла правоохранительным органам раскрыть преступление.

Инцидент 

Атака произошла в начале лета на один из российских банков. В течение дня финансовая организация подверглась 3 нападениям. Заметив подозрительные события в системе, специалисты компании, предприняли меры по защите ресурсов, но злоумышленникам всё равно удалось похитить из банка 5 млн рублей.

«Традиционно, банковские автоматизированные системы — популярные мишени компьютерных злоумышленников, потому что открывают доступ к большим средствам при минимальных рисках», — говорит преподаватель программы Университета Иннополис Кирилл Салтанов, объясняя, что, максимальная компьютерная защита банков только подстегивает профессиональных киберпреступников к взлому таких компаний. — «Особая опасность — целевые атаки на банки, которым характерна адресность, скрытность, продолжительность, постоянное изменение вектора атаки, разнородные инструменты и методы, включая использование уязвимостей нулевого дня, а также единый центр управления, откуда координируются действия профессиональными ИТ-экспертами. Поэтому для противодействия хакерам необходима особая подготовка персонала», — заключил он.

Расследование 

Исследуя произошедшее, студенты Университета Иннополис, опираясь на знания, полученные во время учёбы, выработали стратегию расследования, определив 5 основных необходимых шагов для раскрытия дела: 
  

• Исследовать и оценить скомпрометированную системы, извлечь и декодировать данные для получения информации, относящейся к инциденту;
• Проанализировать компоненты системы, затронутые в ходе атаки. Найти вредоносное программного обеспечения и средства удаленного администрирования и управления компьютерной системы банка;
• Проанализировать вредоносное ПО, его функционал, сетевые взаимодействий и способы проникновения в систему;
• Систематизировать результаты, выстроить связи и соотнести события скомпрометированной системы, чтобы определить причины и хронологию нападения, оценить ущерб, определить источники проникновения; 
• Сформировать юридическую доказательную базу для дальнейшей процедуры расследования компьютерного преступления.

Результаты

Стратегия помогла команде SNE выяснить, что первую успешную атаку злоумышленники осуществили из-за уязвимостей, содержащихся в аутентификации банковской системы. Также студенты ИТ-вуза определили, что сотрудники банка неправильно определили источники доступа к конфиденциальной информации, поэтому предприняли недостаточное мер для защиты ресурсов и не смогли вовремя зафиксировать, среагировать и отразить атаку.

Восстанавливая хронологию события, студенты Университета Иннополис выяснили, что с помощью SMB протокола и ранее полученных данных аутентификации преступники обошли защиту банка, установили контроль над системой и удаленно загрузили вредоносное ПО, позволяющее совершать незаконные транзакции. После операции преступники удалили программу, но команда вуза нашла её следы и восстановила — она подменяла клиентское приложение и позволяла в определенное время соединяться с сервером управления банковской системы и отправлять команды на совершение транзакций. Для автоматизации действий и закрепления в банковской системе хакеры использовали самописные PowerShell (средство автоматизации с открытым исходным кодом) и bat скрипты для Windows. Для анонимности группа использовала заранее взломанные сервера подключенные к интернету.

Операция проводилась несколько месяцев, после получения контроля над системой, злоумышленники протестировали вредоносной программы и провели минимальную транзакцию. Транзакцию никто не заметил, поэтому через несколько дней группа перевела на свой счёт основную сумму. Одновременно хакеры отслеживали все события, происходящие в системе. На следующий день хакеры взломали уже новую банковскую защиту, повторно похитив деньги, суммарно украв 5 миллионов рублей.



В результате команда Университета Иннополис идентифицировала IP адреса, с которых атаковали банк и имена участников, определив, что преступление совершила группа, а не один человек. Группировка использовала чёткое распределение ролей — один человек изготовил вредоносное ПО, другой искал и использовал уязвимые системы, третий удаленно контролировал зараженную систему, четвертый и пятый снимали наличные.

Группа функционировала несколько лет, атакуя банки России, Беларуси и Казахстана, а также инфраструктуру ИТ компаний, производителей оборудования и ритейл. Суммарно преступники похитили из организаций 100 миллионов рублей.

Кирилл Салтанов, преподаватель по компьютерной безопасности Университета Иннополис: «Итогом успешного взаимодействия МВД по РТ отдела «К» и команды магистратуры SNE Университета Иннополис стал сбор и глубокий анализ цифровой доказательной базы, материалы которой использовались в суде. Киберпреступная группировка понесла заслуженное наказание, а дальнейшие атаки на предприятия Российской Федерации предотвращены».