Студенты Университета Иннополис в Татарстане помогли поймать хакеров, похитивших 100 миллионов рублей. Об этом сообщается на сайте вуза.
«Киберпреступность и компьютерная криминалистика» — один из главных курсов магистратуры «Проектирование безопасных систем и систем» Университета Иннополис. По плану этого курса студенты выполняют проект, работая над практическим исследованием, решающее проблемы ИТ-индустрии. Проекты выполняются в команде из студентов и преподавателей.
В этом году проекты базировались на реальных компьютерных инцидентах, полученных в ходе сотрудничества Управления «К» МВД России и Университета Иннополис. Работая над одним из таких проектов команда Университета Иннополис, помогла правоохранительным органам раскрыть преступление.
Атака произошла в начале лета на один из российских банков. В течение дня финансовая организация подверглась 3 нападениям. Заметив подозрительные события в системе, специалисты компании, предприняли меры по защите ресурсов, но злоумышленникам все равно удалось похитить из банка 5 млн рублей.
Исследуя произошедшее, студенты Университета Иннополис, опираясь на знания, полученные во время учебы, выработали стратегию расследования. Восстанавливая хронологию события, студенты Университета Иннополис выяснили, что с помощью SMB-протокола и ранее полученных данных аутентификации преступники обошли защиту банка, установили контроль над системой и удаленно загрузили вредоносное ПО, позволяющее совершать незаконные транзакции. После операции преступники удалили программу, но команда вуза нашла её следы и восстановила — она подменяла клиентское приложение и позволяла в определенное время соединяться с сервером управления банковской системы и отправлять команды на совершение транзакций. Для автоматизации действий и закрепления в банковской системе хакеры использовали самописные PowerShell (средство автоматизации с открытым исходным кодом) и bat-скрипты для Windows. Для анонимности группа использовала заранее взломанные сервера, подключенные к интернету.
Операция проводилась несколько месяцев, после получения контроля над системой злоумышленники протестировали работу вредоносной программы и провели минимальную транзакцию. Транзакцию никто не заметил, поэтому через несколько дней группа перевела на свой счет основную сумму. Одновременно хакеры отслеживали все события, происходящие в системе. На следующий день хакеры взломали уже новую банковскую защиту, повторно похитив деньги и украв в общей сложности 5 миллионов рублей.
В результате команда Университета Иннополис идентифицировала IP-адреса, с которых атаковали банк, и имена участников, определив, что преступление совершила группа, а не один человек. Группировка использовала четкое распределение ролей — один человек изготовил вредоносное ПО, другой искал и использовал уязвимые системы, третий удаленно контролировал зараженную систему, четвертый и пятый снимали наличные.
Группа функционировала несколько лет, атакуя банки России, Беларуси и Казахстана, а также инфраструктуру ИТ компаний, производителей оборудования и ритейл. Суммарно преступники похитили из организаций 100 миллионов рублей.
«Итогом успешного взаимодействия МВД по РТ отдела «К» и команды магистратуры SNE Университета Иннополис стал сбор и глубокий анализ цифровой доказательной базы, материалы которой использовались в суде. Киберпреступная группировка понесла заслуженное наказание, а дальнейшие атаки на предприятия Российской Федерации предотвращены», — отмечает Кирилл Салтанов, преподаватель по компьютерной безопасности Университета Иннополис.
«Лаборатория Касперского» выпустила инструмент, который позволяет анализировать сходства во вредоносном коде и дает техническое подтверждение авторства хакерских атак
Компания Mail.Ru Group хорошо известна своей заботой о приватности пользователей, и поэтому принадлежащие ей соцсети «ВКонтакте» и «Одноклассники» не удаляют удаленные фотографии, а почта не удаляет контакты
