Pegasus подкрался незаметно

Полный набор программного обеспечения, позволяющего хакеру организовать атаку на российский банк, оказался выложен в открытый доступ в интернете. Архив вредоносной программы Pegasus также содержит контакты специалистов по информационной безопасности нескольких крупных банков. По словам экспертов, и программы, и данные несколько устарели, но могут быть легко обновлены, что может привести к всплеску хищений у кредитных организаций.

Как сообщили “Ъ” участники рынка, в открытый доступ оказался выложен архив, являющийся фактически готовой инструкцией для хакерской атаки на банк. Архив вредоносного программного обеспечения (ВПО) Pegasus примерно неделю назад появился в даркнете (скрытой сети, соединение в которой устанавливается между отдельными лицами, используется, в частности, хакерами), а через несколько дней и в интернете, говорят источники “Ъ”.

По указанному экспертами адресу “Ъ” действительно обнаружил данный архив.
Выложенное ВПО, по словам собеседников “Ъ”, было ранее использовано группировкой Buhtrap при атаке на российские банки. Как ранее сообщала в своем отчете Group-IB, группировка похитила у российских банков порядка 1,8 млрд. руб. По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, сейчас доступ к архиву достаточно легок.

Программы Pegasus дают возможность вывести средства через автоматизированное рабочее место банка—клиента Банка России. Эксперты отмечают, что архив содержит не только необходимый для атаки комплект ВПО, но и подробнейшую инструкцию по его использованию. «Инструментарий, содержащийся в архиве, позволяет совершать атаки с выводом средств через платежную систему Банка России, это комплект образца 2015–2016 годов, то есть немного устаревший,— рассказывает “Ъ” собеседник из банка, входящего в топ-10.— В то же время с разумными усилиями любой прилежный хакер может апгрейдить инструментарий под сегодняшние реалии и совершить атаку». По словам главы управления информбезопасности ОТП-банка Сергея Чернокозинского, опасность зависит напрямую от таланта «вирусописателя»: «Если он доработает ВПО, то получится отличный троян, и вирус будет опасен для любого банка»,— отметил он.

Случаев, когда в открытый доступ выкладывались бы комплекты ВПО для атак на банки, опрошенные “Ъ” эксперты по кибербезопасности вспомнить не смогли.
Между тем доступность широкому кругу лиц даже отдельных компонентов ВПО приводит к хищениям. Господин Новиков приводит пример выкладывания в публичный доступ исходных кодов ВПО ZEUS, что привело к резкому росту хакерских атак, в том числе успешных, в 2011 году.

Кроме того, выложенный в сеть архив содержит данные о специалистах по информбезопасности нескольких крупных банков, их телефоны. По данным источников “Ъ”, эти сведения также относятся к 2015 году и потому многие из них не актуальны. Например, в базе есть контакты специалистов Сбербанка, в банке на запрос “Ъ” сообщили, что выложенная в сеть база «не содержит данных сотрудников банка». «Однако, как показывает практика OSINT (open source intelligence, разведка на основе открытых источников.— “Ъ”), эти данные не слишком сложно актуализировать и они могут быть использованы для подготовки фишинговых рассылок», — отметил Алексей Новиков.

В Банке России сообщили “Ъ”, что в курсе данной ситуации. По словам участников рынка, 13 июля ФинЦЕРТ (подразделение ЦБ, отвечающее за кибербезопасность) сделал рассылку, посвященную этой угрозе. В ЦБ подтвердили данную информацию, также сообщив, что на сегодняшний день содержащиеся в ней данные малоактуальны и что об угрозе ФинЦЕРТ предупреждал рынок еще в 2016 году.