1. О работе Центра мониторинга и реагирования на компьютерные атаки в
кредитно-финансовой сфере Главного управления безопасности и
защиты информации Банка России
2. Основная цель ФинЦЕРТ:
2
• Организация и координация обмена
информацией между ФинЦЕРТ
и правоохранительными органами,
кредитными и некредитными
финансовыми организациями
• Анализ данных о компьютерных атаках в
кредитных и некредитных финансовых
организациях и подготовка аналитических
материалов
• Проведение компьютерных
исследований (форензика)
• Повышение осведомленности
населения Российской Федерации в
части информационной безопасности
и кибергигиены
создание центра компетенции в рамках информационного взаимодействия между
Банком России, разработчиками антивирусного ПО, операторами связи, банками и
другими организациями
• Информирование кредитных
организаций и реагирование на
инциденты
3. 270 276 278 275 282 287 292
316
336 348 358 359
383 396
418
0
50
100
150
200
250
300
350
400
450
06.16 07.16 08.16 09.16 10.16 11.16 12.16 01.17 02.17 03.17 04.17 05.17 06.17 07.17 08.17
Взаимодействие и реагирование
3
Заметный рост количества участников – кредитных организаций наблюдался в январе –
феврале 2017 г., после серии рассылок злоумышленниками загрузчиков Cobalt Strike в адрес
кредитных организаций.
6. Взаимодействие и реагирование
6
53 факта атак типа «Отказ в
обслуживании» (DDoS)
71 целевая атака (были
обнаружены признаки,
позволяющие объединить
несколько фишинговых кампаний
в рамках одной выделенной
целевой атаки или предположить,
что атака организована одной
группой)
407 нецелевых атак (массовая
рассылка ВПО или ссылок на
загрузку ВПО; признаки,
позволяющие классифицировать
атаку как целевую, отсутствовали
Динамика основных типов атак
19
36
68
60
74
106
44
6 4 4 4
10
29
14
4 2 5
20
8
12
2
0
20
40
60
80
100
120
I кв. 2016 II кв. 2016 III кв. 2016 IV кв. 2016 I кв. 2017 II кв. 2017 III кв. 2017
Нецелевые атаки (рассылка ВПО, без объединения по общему признаку)
Целевые атаки (рассылка ВПО, имеются общие признаки либо четко выраженная цель атаки)
DDoS-атаки
7. Взаимодействие и реагирование
7
ФинЦЕРТ как уполномоченная организация уведомляет регистраторов доменных имен о доменах, с которых
рассылается вредоносный код и осуществляются мошеннические действия, связанные с использованием
платежных карт.
44
23
3 1
28
2
24
19
29
7
16
1
84
2
45
39
0
10
20
30
40
50
60
70
80
90
2017 год
8. 8
В течение рабочего дня осуществляют мониторинг СМИ, блогов, социальных сетей и аналогичных
ресурсов сети Интернет на наличие публикаций, способствующих информационным атакам
направленных на репутацию Банка России и организаций кредитно-финансовой сферы, а также
утечки методик раскрытия преступлений в кредитно-финансовой сфере.
В настоящее время ФинЦЕРТ набирает информационную базу с целью
создания классификации информационных атак.
Мониторинг сети Интернет и социальных сетей
9. Технический анализ
9
исследований электронных носителей информации
исследования аппаратных средств, предназначенных для
скрытного хищения платежной информации
судебных экспертиз электронных носителей информации,
мобильных устройств и поддельных платежных карт
(порядка 350 шт.)
ФинЦЕРТ провел по запросу правоохранительных органов:
6
3
6
10. 10
Подготовил и опубликовал на
официальном сайте Банка России
«Обзор о несанкционированных
переводах денежных средств за 2016
год»
Участвует в разработке вики-каталога
«Осторожно, мошенники»
Совместно с Департаментом по связям с
общественностью разработал регламент, в
соответствии с которым ФинЦЕРТ готовит и
публикует информационные материалы о
кибератках на официальном сайте Банка
России
Участвует в проекте по разработке
обучающих семинаров для людей
пенсионного возраста (совместно с
другими подразделениями Банка России
и компанией «Баба-деда»)
Участвует в разработке учебных программ для
студентов ВУЗов, школьников
Разработал материалы семинаров для
сотрудников правоохранительных органов
В рамках направления «Финансовое просвещение» ФинЦЕРТ:
Работает с обращениями граждан
граждан.
За отчетный период в
ФинЦЕРТ из
Общероссийского центра
Банка России по
обработке обращений
поступило на
рассмотрение 97
обращений
11. 11
Cobalt Strike
Cпециализированное коммерческое
ПО для проведения тестирований на
проникновение («пентестов»), которое
расширяет возможности известного
программного обеспечения Metasploit
и позволяет скачивать бесплатную
полнофункциональную демо-версию
без дополнительных проверок
личностей и предполагаемых целей
скачивающего.
Хорошая организованность
атакующих
Выверенная социальная
инженерия
Легко превратить демо- в
полнофункциональную
версию
В некоторых случаях
эффективность
«пробива» - 100%
13. 13
Cobalt Strike
ЛВС без доступа в Интернет
«Ведомый» узел
(зараженная АРМ)
Сегмент ЛВС с доступом до АТМ
«Ведомый» узел
(зараженная АРМ)
Зараженная АРМ с выходом в
Интернет
«Ведущий» узел («Beacon»)
Организация
Удаленный доступ к устройствам самообслуживания
Командный сервер
Cobalt Strike
HTTPS (TCP:443)
SMB (pipe)
SMB(pipe)
ЛВС без доступа в Интернет
«Ведомый» узел
(зараженная АРМ)
«Ведомый» узел
(зараженная АРМ)
Зараженная АРМ с выходом в
Интернет
«Ведущий» узел («Beacon»)
Организация
Командный сервер
Cobalt Strike
HTTPS (TCP:443)
SMB (pipe)
SMB(pipe)
Сегмент ЛВС с доступом
к серверу процессинга
Обналичивание денежных
средств с использованием
банкоматов разных КО
Контроль «своих» карт
1. Заявки на выдачу карт
дропам;
2. Исправление лимитов и
балансов «своих» карт после
их выдачи
Схема атаки на банкоматыСхема атаки на процессинг
14. 14
Cobalt Strike: схема атаки на кредитную организацию
Обналичивание
денежных средств
Фишинговое письмо
в организацию
Заражение АРМ, на которой
было открыто письмо (АРМ
должна иметь доступ в
Интернет) («ведущий» узел)
Поиск злоумышленниками
сервера AD И хищение
учетных записей
администратора
Сегмент ЛВС с прямым доступом в сеть Интернет Сегмент ЛВС без прямымого доступа в сеть Интернет
Выстраивание сети из
«ведомых» узлов, не
имеющих прямого доступа в
Интернет
Исследование
злоумышленниками
инфраструктуры организации,
определение целей атаки
Получение доступа к
интересующему серверу
15. Динамика несанкционированных операций
15
Цель Банка России –
удержать показатели
доли
несанкционированных
операций ниже уровня
0,0050%
Доля несанкционированных
операций в общем объеме
операций
Доля несанкционированных
операций в общем количестве
операций
Доля несанкционированных операций с
использованием платежных карт в разрезе их
объема и количества
2015 2016
0,0020%
0,0028%
0,0021%
0,0016%