У российского банка украли полмиллиарда рублей прямо со счета в Центробанке. И это уже не первый такой случай

Система межбанковских платежей в России включает в себя, кроме прочего, корреспондентские счета в Центробанке РФ. Через эти счета банки принимают и отправляют платежи в другие кредитные организации, а также ведут оборот с самим Центробанком. Но, как оказалось, даже деньги на корсчете в ЦБ не защищены от хищения.

В Group-IB выпустили отчет об угрозах безопасности финансового сектора «Большой куш: угрозы для финансовых организаций)», в котором рассказали о хакерской атаке на российский банки именно через корсчет в ЦБ.

По данным компании, все происходило так:

1. хакерская группа MoneyTaker начала атаку в июне 2020 года, скомпрометировав компанию, связанную с банком. Скорее всего, хакеры взломали физическое устройство, расположенное в связанной с банком сети;
2. через него хакеры получили доступ к сети банка, на что ушло около месяца, затем еще полгода исследовали сеть с помощью специального ПО;
3. в январе 2021 года хакеры приступили к финальной стадии атаки на банк – они получили доступ к системе межбанковских переводов, которые идут через автоматизированное рабочее место клиента Банка России (АРМ КБР). Также хакеры смогли украсть цифровые ключи для подписания платежей, идущих через Центробанк. Затем они сформировали поддельные платежные поручения на отправку денег с корсчета на свои счета, подписали их украденными ключами, и скопировали в соответствующую папку в системе АРМ КБР.

Соответственно, когда система увидела платежные поручения, они были проведены. По неофициальным данным (от источника РБК, близкого к Центробанку), хакерам удалось украсть более 500 миллионов рублей. Название банка не разглашается – но по некоторым данным, это небольшой банк за пределами первой сотни крупнейших в банковской системе России.

В Центробанке знал об этом инциденте, и еще в апреле разослали по банкам информационный бюллетень ФинЦЕРТ (департамент, который отвечает за информационную безопасность).

Это уже не первый подобный случай – летом 2018 года та же хакерская группировка MoneyTaker смогла украсть более 58 миллионов рублей у ПИР Банка (который через несколько месяцев лишился лицензии). Тогда хакеры смогли попасть в систему, заразив сеть вирусом из фишингового письма. Из-за атаки банку пришлось остановить работу на два дня, и в целом кража могла повлечь его дальнейшую несостоятельность.