МОСКВА, 15 дек — РИА Новости. Хакеры впервые за три года успешно атаковали корреспондентский счет банка в ЦБ, на какую именно кредитную организацию была совершена атака, не уточняется, неизвестно и о сумме ущерба, сообщает газета «Ведомости» со ссылкой на данные отчета компании Group-IB.
Операцию осуществили в системе межбанковских переводов АРМ КБР (автоматизированное рабочее место клиента Банка России).
«Мошенникам удалось подделать часть файлов, когда банк отправлял платежи в ЦБ, в результате средства с корсчета <…> осели на счетах злоумышленников», — пишет газета со ссылкой на отчет аналитиков за второе полугодие 2020 года — первое полугодие 2021 года.
Представитель регулятора подтвердил, что там знают об инциденте и по итогам разбора его причин до других участников системы «доведен соответствующий информационный бюллетень ФинЦЕРТ».
Сумма хищения не раскрывается. При этом в Group-IB газете заявили, что она была самой большой для операций такого рода за последние годы.
Эксперты пришли к выводу, что атаку организовала русскоязычная хакерская группировка MoneyTaker, участников которой раскрыть не удалось. Первые шаги они предприняли в июне 2020-го, затем мошенники смогли получить доступ к системе межбанковских переводов АРМ КБР и в январе 2021 перешли к финальной фазе: зарегистрировали доменные имена, схожие с названием банка, в феврале похитили цифровые ключи, а позже использовали их для подписания платежей, проходящих через ЦБ. После этого, как пишет газета, хакеры вручную скопировали поддельные подписанные платежи в специальную папку в системе и удалили в итоге почти все следы своего присутствия.