ФинЦЕРТ (подразделение ЦБ, отвечающее за кибербезопасность) вновь предупредил участников рынка о рассылке с почтового сервера банка «Юнистрим» писем с вредоносным ПО. Хакеры атаковали банк 19 ноября, по крайней мере, тогда прошла первая рассылка вирусов партнерам «Юнистрима». К работе с инцидентом привлечена Group IB, но повторная рассылка заставила рынок усомниться в качестве расследования и задуматься о необходимости применения мер к банку со стороны ЦБ. В «Юнистрим» же уверяют, что на данный момент все под контролем — повторения не будет.
Партнеры банка «Юнистрим» второй раз за неделю получили с почтовых адресов банка письма, содержащие вредоносное вложение. Как сообщили “Ъ” в «Лаборатории Касперского», атака на банки началась в середине дня 21 ноября, в рассылаемом письме был загрузчик в виде DOC-файла, содержащего вредоносное программное обеспечение. В банках говорят, что в 16:30 они получили бюллетень ФинЦЕРТ (есть в распоряжении “Ъ”), где регулятор предупредил о рассылке с адреса a.burdonskiy@unistream.ru. В бюллетене ФинЦЕРТ отмечал, что указанная рассылка велась с помощью легального почтового адреса КБ «Юнистирим», причем именно с почтового сервера.
Схожее предупреждение ФинЦЕРТ уже направлял банкам 19 ноября, тогда также велась рассылка вредоносного вложения с почтового адреса банка (см. «Ъ-Онлайн» от 20 ноября). Как сообщили “Ъ” в «Лаборатории Касперского», вредонос, содержавшийся в рассылке от 21 ноября, был аналогичен тому, что использовался 19 ноября.
При этом 19 ноября предправления «Юнистрима» Кирилл Пальчун сообщал, что была лишь «попытка несанкционированного доступа к почтовому серверу, которая была своевременно предотвращена».
Господин Пальчун заверил “Ъ”, что инцидент расследует Group-IB — одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений.
У экспертов возникают вопросы к качеству расследования. «Обычно хватает одного дня, при взломе почтового сервера даже меньше,— отмечает заместитель генерального директора Zecurion Александр Ковалев.— Однако необходимо понимать, что при расследовании инцидента могут возникнуть проблемы согласования — например, когда топ-менеджмент заказчика не согласовывает отключение серверов или есть проблемы с выделением дополнительных средств». По мнению директора по маркетингу «Ростелеком-Solar» Валентина Крохина, при работе с инцидентом можно противодействовать каждому действию злоумышленника, но в этом случае хакер видит методы противодействия и может найти другие способы незаметно закрепиться в инфраструктуре. Есть и вторая стратегия, рассуждает он, локализовать все потенциально зараженные машины, выявить способ проникновения в инфраструктуру и т. д., а затем одним ударом очистить организацию от присутствия киберпреступников. В Group-IB от комментариев отказались.
Мнения участников рынка относительно необходимости вмешательства регулятора в ситуацию разделились. Многие специалисты по информационной безопасности банков в беседе с “Ъ” высказали мнение, что необходима «локализация» банка до того, пока он не решит своих проблем.
В «Юнистриме» уверяют, что на данный момент проблема решена. «Работы по реагированию на инцидент по информационной безопасности в Юнистрим-банке проводятся уже нескольких дней с участием как внешних провайдеров, специализирующихся на кибербезопасности, так и представителей регулятора (ФинЦЕРТ),— отмечает Кирилл Пальчун.— Все бизнес-процессы банка идут в стандартном режиме».
Вероника Горячева, Ксения Дементьева
SIA.RU: Главное
