Студенты Университета Иннополис помогли поймать хакеров, похитивших 100 миллионов рублей

Магистры ИТ-вуза в рамках практического проекта восстановили хронологию ограбления и объяснили, как преступником удалось проникнуть внутрь компьютерной системы финансовой организации.

Студенты Университета Иннополис помогли поймать хакеров, похитивших 100 миллионов рублей
«Киберпреступность и компьютерная криминалистика» — один из главных курсов магистратуры «Проектирование безопасных систем и систем» Университета Иннополис. По плану этого курса студенты выполняют проект, работая над практическим исследованием, решающее проблемы ИТ-индустрии. Проекты выполняются в команде из студентов и преподавателей.

В этом году проекты базировались на реальных компьютерных инцидентах, полученных в ходе сотрудничества Управления «К» МВД России и Университета Иннополис. Работая над одним из таких проектов команда Университета Иннополис, помогла правоохранительным органам раскрыть преступление.

Инцидент 

Атака произошла в начале лета на один из российских банков. В течение дня финансовая организация подверглась 3 нападениям. Заметив подозрительные события в системе, специалисты компании, предприняли меры по защите ресурсов, но злоумышленникам всё равно удалось похитить из банка 5 млн рублей.

«Традиционно, банковские автоматизированные системы — популярные мишени компьютерных злоумышленников, потому что открывают доступ к большим средствам при минимальных рисках», — говорит преподаватель программы Университета Иннополис Кирилл Салтанов, объясняя, что, максимальная компьютерная защита банков только подстегивает профессиональных киберпреступников к взлому таких компаний. — «Особая опасность — целевые атаки на банки, которым характерна адресность, скрытность, продолжительность, постоянное изменение вектора атаки, разнородные инструменты и методы, включая использование уязвимостей нулевого дня, а также единый центр управления, откуда координируются действия профессиональными ИТ-экспертами. Поэтому для противодействия хакерам необходима особая подготовка персонала», — заключил он.

Расследование 

Исследуя произошедшее, студенты Университета Иннополис, опираясь на знания, полученные во время учёбы, выработали стратегию расследования, определив 5 основных необходимых шагов для раскрытия дела: 
  
  • Исследовать и оценить скомпрометированную системы, извлечь и декодировать данные для получения информации, относящейся к инциденту;
  • Проанализировать компоненты системы, затронутые в ходе атаки. Найти вредоносное программного обеспечения и средства удаленного администрирования и управления компьютерной системы банка;
  • Проанализировать вредоносное ПО, его функционал, сетевые взаимодействий и способы проникновения в систему;
  • Систематизировать результаты, выстроить связи и соотнести события скомпрометированной системы, чтобы определить причины и хронологию нападения, оценить ущерб, определить источники проникновения; 
  • Сформировать юридическую доказательную базу для дальнейшей процедуры расследования компьютерного преступления.

Результаты

Стратегия помогла команде SNE выяснить, что первую успешную атаку злоумышленники осуществили из-за уязвимостей, содержащихся в аутентификации банковской системы. Также студенты ИТ-вуза определили, что сотрудники банка неправильно определили источники доступа к конфиденциальной информации, поэтому предприняли недостаточное мер для защиты ресурсов и не смогли вовремя зафиксировать, среагировать и отразить атаку.

Восстанавливая хронологию события, студенты Университета Иннополис выяснили, что с помощью SMB протокола и ранее полученных данных аутентификации преступники обошли защиту банка, установили контроль над системой и удаленно загрузили вредоносное ПО, позволяющее совершать незаконные транзакции. После операции преступники удалили программу, но команда вуза нашла её следы и восстановила — она подменяла клиентское приложение и позволяла в определенное время соединяться с сервером управления банковской системы и отправлять команды на совершение транзакций. Для автоматизации действий и закрепления в банковской системе хакеры использовали самописные PowerShell (средство автоматизации с открытым исходным кодом) и bat скрипты для Windows. Для анонимности группа использовала заранее взломанные сервера подключенные к интернету.

Операция проводилась несколько месяцев, после получения контроля над системой, злоумышленники протестировали вредоносной программы и провели минимальную транзакцию. Транзакцию никто не заметил, поэтому через несколько дней группа перевела на свой счёт основную сумму. Одновременно хакеры отслеживали все события, происходящие в системе. На следующий день хакеры взломали уже новую банковскую защиту, повторно похитив деньги, суммарно украв 5 миллионов рублей.

diplom.jpg

В результате команда Университета Иннополис идентифицировала IP адреса, с которых атаковали банк и имена участников, определив, что преступление совершила группа, а не один человек. Группировка использовала чёткое распределение ролей — один человек изготовил вредоносное ПО, другой искал и использовал уязвимые системы, третий удаленно контролировал зараженную систему, четвертый и пятый снимали наличные.

Группа функционировала несколько лет, атакуя банки России, Беларуси и Казахстана, а также инфраструктуру ИТ компаний, производителей оборудования и ритейл. Суммарно преступники похитили из организаций 100 миллионов рублей.

Кирилл Салтанов, преподаватель по компьютерной безопасности Университета Иннополис: «Итогом успешного взаимодействия МВД по РТ отдела «К» и команды магистратуры SNE Университета Иннополис стал сбор и глубокий анализ цифровой доказательной базы, материалы которой использовались в суде. Киберпреступная группировка понесла заслуженное наказание, а дальнейшие атаки на предприятия Российской Федерации предотвращены».

В центре внимания

Блог на habrahabr

20 Ноября 2019
Выпускница Университета Иннополис об учёбе в Гренобльском университете, ИИ, английском у французов и сыре с клопами

Алиса Газизуллина, победительница хакатона Лаборатории Касперского Secur’IT Cup 2018, закончила программу бака...

10 Июня 2019
Серия лекций по робототехнике профессора Грегора Шёнера, директора Института нейроинформатики (INI) Бохум, Германия

Открытые лекции спикера пройдут в рамках Международной объединённой летней школы «Роботы: сознание, очувствление...

6 Марта 2019
[recovery mode] Опрос: Облачные технологии в ГИС и сервисах на основе геоданных

Время прохождения: 7—10 минут Google Форма с опросом Читать дальше →...

20 Февраля 2019
Университет Иннополис проведёт первую в России международную проектную школу по автономным транспортным средствам

Мероприятие рассчитано на бакалавров, магистров, аспирантов и молодых исследователей. Авторы лучших заявок пол...

Новости по теме

Популярные новости

Сайт находится в технической разработке