Как можно было предотвратить атаку на ПИР Банк, закончившуюся потерей 58 млн рублей?

3 июля 2018 года жертвой злоумышленников MoneyTaker стал банк ПИР, у которого удалось похитить по меньшей мере 58 миллионов рублей с корреспондентского счета в Центробанке РФ.

MoneyTaker — известная с 2016 года хакерская русскоязычная группировка, совершившая 20 успешных атак на банки, адвокатские конторы, разработчиков программного обеспечения и другие компании в России, США и Великобритании, при этом, оставаясь незамеченной до 2017 года.

Подготовку атаки на ПИР банк злоумышленники начали еще в мае 2018 года. Предполагаемой точкой проникновения стал скомпрометированный маршрутизатор, расположенный в одном из подразделений банка. На нем были настроены туннели, через которые MoneyTaker удалось получить доступ к локальной сети банка. Исследователи компании Group-IB сообщают, что после проникновения в основную сеть банка, MoneyTaker удалось получить доступ к АРМ КБР — автоматизированному рабочему месту клиента Банка России. По сообщению банка, известно, что деньги были выведены веерной рассылкой на подготовленные счета, и большая часть была обналичена в ту же ночь.

Эксперты технического консалтинга Axoft отмечают, что данного инцидента можно было избежать, если бы на объекте использовались решения MaxPatrol SIEM или MicroFocus ArcSight.

«В случае, если у заказчика установлена SIEM-система, c настроенным мониторингом всех внешних подключений через этот маршрутизатор, — отмечают в Axoft, — она может увидеть пробравшегося в систему злоумышленника или аномалию, на которую может своевременно среагировать. SIEM-система помогает обнаружить аномалию как на раннем этапе, в момент подключения к коммутатору с незнакомого адреса, так и впоследствии, когда злоумышленник начинает исследовать сеть и совершать различные действия на критических активах».

Max Patrol SIEM— система управления событиями безопасности, в основе которой лежит сбор и анализ информации обо всех активах и событиях защищаемой системы. Решение оперирует не только событиями ИБ, но и состояниями активов в любой момент времени.

MicroFocus ArcSight является лидером рынка SIEM-систем, поддерживает интеграцию с большим количеством прикладных решений, обеспечивает взаимосвязанную инфраструктуру, способную определить каждое событие, поместив его в рамки контекста того, кем или чем оно вызвано, где, когда и почему произошло, а также, каково его влияние на бизнес-риски.

Остались вопросы по поводу защиты от нацеленных атак? Свяжитесь с экспертами Axoft: https://axoft.ru/feedback/ .

11.09.2018 10:44:20

Хотите быть в курсе последних событий?