Хакеры пытались взломать Райффайзенбанк с помощью новой уязвимости Log4Shell

Банк атаку отразил, уверяет его представитель
Евгений Разумный / Ведомости
Евгений Разумный / Ведомости

Хакеры атаковали информационную систему российского системно значимого банка – Райффайзенбанка. Об этом «Ведомостям» рассказал собеседник из службы безопасности крупного банка: злоумышленники воспользовались новой уязвимостью Log4Shell. Банк зафиксировал попытку взлома и остановил ее, говорит руководитель отдела информационной безопасности Райффайзенбанка Илья Зуев: банк использует «передовые методики защиты, такие как EDR и Deception Platform (система ловушек)». Сохранность клиентских данных не пострадала, отметил он.

Уязвимость Log4Shell обнаружили несколько дней назад, а эксперты в сфере кибербезопасности уже называют ее наиболее критической для компаний за последние несколько лет. Уязвимость связана с библиотекой Log4j – инструмента, который используется практически в каждом приложении Java. Log4Shell позволяет удаленно управлять серверами, давая злоумышленнику возможность импортировать на них вредоносное программное обеспечение.

Уязвимость в Log4j в системах Райффайзенбанка была вовремя закрыта, отметил Зуев: банк не зафиксировал успешных атак на информационные системы. Как только поступила информация об уязвимости, Райффайзенбанк оперативно принял все необходимые меры защиты: обновил потенциально уязвимые приложения до безопасной версии, продолжает непрерывное сканирование периметра и ведет усиленный мониторинг.

С помощью Log4Shell хакеры могут попасть в IT-инфраструктуру компаний и, например, украсть данные, зашифровать все файлы, остановить бизнес-процессы, сообщал Сбербанк. Для проведения атаки хакерам не нужны специфические познания, говорится в сообщении банка: достаточно лишь обладать общим представлением о языке программирования Java и его паттернах использования.

На фоне обнаружения уязвимости Log4Shell дочерняя компания Сбербанка в сфере кибербезопасности BI.ZONE выложила в открытый доступ инструмент для борьбы с этой угрозой. В банке отмечают, что среди возможных жертв новой угрозы – продукты технологических гигантов вроде Google, Amazon, Apple и Cloudflare, внутренние разработки организаций, от систем управления производством до диагностических утилит.

Банк России не комментирует конкретные банки, напомнил представитель регулятора, но с известной уязвимостью log4j находится под контролем ФинЦЕРТа (подразделение Банка России в сфере кибербезопасности. – «Ведомости»). Участникам информационного обмена ЦБ направил информационный бюллетень с рекомендациями по выявлению меток компрометации и необходимыми действиями по предотвращению инцидентов, добавил он.

Уязвимость log4shell совершенно точно есть во всех системах банков из топ-100, потому что уязвимая библиотека протоколирования log4j широко используется повсеместно, сообщил собеседник из одной из крупнейших компаний по кибербезопасности. Главный вопрос: успели ли банки прикрыть ее до того, как хакеры успели закрепиться во внутренних системах. Такого же мнения придерживаются еще три специалиста по информационной безопасности.

По словам двух собеседников в службах информационной безопасности банков из топ-20, банки узнали об уязвимости незадолго до ее официального опубликования в базе 10 декабря, после чего приняли меры по устранению угрозы. Но масштаб организаций и широкое использование библиотеки могли стать причиной инцидентов, потому что на установку обновлений и аудит требуется время.

Хакеры атакуют банки с помощью вредоносного программного обеспечения (ВПО) – различных типов вирусов, а также пробуют вызвать отказ в обслуживании с помощью множественных запросов из бот-сетей. В 2020 г. финансовые организации отправили в ФинЦЕРТ ЦБ 968 сообщений о фактах распространения ВПО. В 2019 г. количество таких сообщений в ЦБ было 1723. Также банки сообщили о 221 DoS-атаке (атака с целью вызвать отказ в обслуживании) в течение 2019-2020 гг. При этом в 2020 г. число успешных атак хакеров на банки выросло более чем в два раза – до 130 случаев, а объем похищенного – на 38% до 32 млн руб., следует из апрельского обзора ЦБ.

На этой неделе специалисты компании в области кибербезопасности Group-IB сообщили об успешной атаке на систему межбанковских переводов АРМ КБР (автоматизированное рабочее место клиента Банка России) в одном из банков вне первой сотни по активам, писали «Ведомости». Позднее стало известно, что сумма ущерба может достигать полумиллиарда рублей. Group-IB приписывает атаку русскоязычной хакерской группировке MoneyTaker, участники которой до сих пор неизвестны.