Хакеры осуществили успешную атаку на один из российских банков через автоматизированное рабочее место клиента Банка России (АРМ КБР). Об этом говорится в отчете Group-IB «Большой куш. Угрозы для финансовых организаций».

«В феврале 2021 специалисты лаборатории компьютерной криминалистики Group-IB были привлечены к реагированию на инцидент в одном из российских банков, в ходе которого атакующие смогли получить доступ к системе межбанковских переводов АРМ КБР», — пишет Group-IB.

Атака, за которой, по мнению экспертов, может стоять группа MoneyTaker, началась в июне прошлого года через компрометацию аффилированной с банком компании. В течение месяца хакеры получили доступ к сети банка, а в последующие полгода исследовали ее.

В январе текущего года мошенники зарегистрировали поддельные доменные имена, схожие с названием банка, используя .org и .com вместо оригинального .ru. В феврале 2021 года были похищены цифровые ключи. Позже их использовали для подписания платежей, проходящих через транспортный шлюз Банка России. После этого хакеры вручную скопировали поддельные подписанные платежи в специальную папку в системе АРМ КБР.

По словам источника РБК, близкого к ЦБ, хакеры таким образом смогли украсть более полумиллиарда рублей. Другой источник на рынке кибербезопасности отметил, что пострадал действующий «не очень крупный банк». Еще один собеседник знает, что это был маленький банк не из первой сотни.