Как стать автором
Обновить

Комментарии 37

тоже что ли в хакеры податься :))
А как же. Все проблемы, они от злых хакеров и жадных пиратов.
НЛО прилетело и опубликовало эту надпись здесь
//sarcasm=on
А атаковали они через рутрекер.
Срочно приказом нужно выделить ХХХХХХ руб. роскомнадзору на решение этой проблемы и создать новое ведомство в помощь отделу К. Дать этому отделу возможность что-нибудь еще закрывать/запрещать в интернете, ведь атака же была через интернет.
//sarcasm=off
>>Изменение курса рубля на 15% в феврале 2015 года — работа хакеров

Казанский «Энергобанк» 27 февраля в ходе торгов на валютном рынке Московской биржи потерял 243 млн руб. Средства были потеряны из-за хакерской атаки его трейдинговой системы, сообщал банк

Примерно в 12.30 27 февраля спокойный ход торгов в валютной секции Московской биржи был нарушен: курс доллара рухнул с 61 почти до 55 руб. (см. график), через несколько минут стоил больше 66 руб., а затем вернулся к 61 руб. Объяснение этой аномалии нашлось в иске (есть у «Ведомостей») казанского Энергобанка к брокерскому дому «Открытие», БКС и «Финаму».

27 февраля — 60,71
3 марта — 62,22
И где тут 15% между атакой?
и еще — дата статьи
http://www.vestifinance.ru/articles/56454/print
23.04.2015 12:10
«Энергобанк», чьи сделки на бирже привели к аномальным скачкам курса доллара в феврале, действительно подвергся хакерской атаке, передают «Ведомости» со ссылкой на руководителя по развитию продуктов компании Group–IB Павла Крылова.

Председатель правления «Энергобанка» Дмитрий Вагизов в интервью татарстанской газете «Бизнес Online» рассказал, что атака случилась во время обеденного перерыва в «Энергобанке». Трейдер банка увидел на экране монитора странные сделки по валютным торгам. После того как были совершены сделки на рынке, была запущена очистка жесткого диска компьютера.

По словам главы «Энергобанка», еще несколько месяцев назад в систему банка было внедрено вредоносное программное обеспечение. Вирус все это время собирал информацию о системе, мог смотреть данные о переписке сотрудников. Злоумышленники должны были хорошо изучить распорядок дня сотрудников банка. По его мнению, смысл атаки на «Энергобанк» был в том, чтобы захватить контроль над торговым терминалом и подать заявки на покупку и продажу валюты.
Ссылка на «Вести» дана в абзаце материала, где и говорится о том, что эта публикация от прошлого года, вроде бы нигде не утверждается, что «Вести» только-только все это напечатали.

Но сейчас появился отчет с полным анализом ситуации. А представители компании, которая проводила исследование, дали интервью РБК и Блумбергу, рассказав новые подробности. Вот материал на РБК и Блумберге — как раз новинка.
Дата указывает что и тогда большие детали были известны.

Ну надо же Group-IB о себе напомнить.

Написано не очень.

Про работу антивирусов, про мероприятий по предотвращению этого в отчете очень мало.
НЛО прилетело и опубликовало эту надпись здесь
Данные по торгам на ММВБ за 27/02/2015, взятые с сайта export.rbc.ru:

TICKER | __DATE__| |_OPEN_| |HIGH_| |LOW | |CLOSE| |VOL_______| |WAPRICE|
USD000 |2015-02-27| |_61.088| |66.33 | |55.36| |61.877_| |2117554000| |61.1887|

Для сравнения возьмите данные за любой другой день февраля. выводы можете сделать сами.
Что говорится в заголовке
«Изменение курса рубля на 15% в феврале 2015 года — работа хакеров»

Не говорится что изменение курса на 10 минут, а фраза больше подразумевает на изменение курса за февраль.
Курс рубля устанавливает ЦБ РФ, а менялся «курс рубля на бирже»

p.s.
31 января 2015 — 68,93
3 марта 2015 62,22
«В феврале» — то есть событие произошло в феврале, а не за февраль курс изменился на 15%. Далее в статье приводится информация, что все произошло в течение 15 минут, а не в течение месяца.
Но согласен, что заголовок является двусмысленным.
Просто тут далее в тексте идет «В ходе атаки банк разместил в феврале 2015 года приказы более, чем на $500 млн, причем по нерыночному курсу» — не указано когда, может в течении нескольких дней, размещались приказы. И только потом про 15 минут непонятного в статье дня, и приходится читать другие статьи.
Официальной курс рубля который «устанавливается» ЦБ РФ как раз с этой самой биржи и берется. ЦБ лишь констатирует фактически сложившееся положение вещей по итогам торгов и утверждает его как официальный курс, чтобы его потом можно было использовать для различных государственных нужд как «эталон» для соответствующего дня.

А вот насчет сроков это да, курс тогда эта история с банком расшатала сильно, но глобально на горизонте хотя бы в несколько недель особого влияния не оказала, т.к. сколько куплено было столько и продано. Разница только в том что кто-то (допустим хакеры или внедренная крыса-сотрудник) на этом отлично заработал воспользовавшись специально созданной за чужой счет ситуацией (а так же часть спекулянтов, вовремя сообразивших и не упустивших момент), а банк чьи средства использовались для «пробития» рынка крупно потерял.
>>Официальной курс рубля который «устанавливается» ЦБ РФ как раз с этой самой биржи и берется

Берется, но вот берется на основании курса в определенное время. А эта операция была позднее чтобы говорить о значительном влиянии на курс.
А про что иски к брокерским домам? и чем закончились разбирательства по ним?
Интересно, а можно ли с помощью этого вируса вернуть курс гривны 1993-го года? А то жить с сегодняшним курсом как-то не комильфо…
Можно, но только на 15 минут.
Вот этой?

Или этой?

Потому что гривна с Владимиром Великим поступила в обращение только в 1996 году.
Капец. Вредные продукты, вредный интернет. Теперь «волатильность» хакеры обеспечили. Все беды из-за интернета. Хороший повод запретить интернет, в котором то эти хакеры водятся.
Предлагаю скинуться на хакеров всей страной и вернуть курс в 33 рубля.
Достаточно скинутся долларами. По сотне с каждого жителя и продавать их по 10р за штуку. Курс тут же рухнет.
Хакеры виноваты. Как удобно.
Хабр не доверяет! Рашка не может страдать по внешним причинам, это всё выдумки, про этих ваших хакеров и зарубежных спекулянтов, а все проблемы рубля только от внутренней ущербности и сиволапости.
Можно список банков, которые признали, что их поимели хакеры?
Мне кажется, что никакой банк находясь в здравом уме не признает такое.
НЛО прилетело и опубликовало эту надпись здесь
Аномальные торги произошли по инструменту USDRUB_TOD (расчёты сегодняшним днём), объемы торгов по которому в среднем в 2-3 раза ниже, чем по USDRUB_TOM (расчёты завтрашним днём). Обычно, говоря о биржевом курсе имеют в виду именно курс TOM, курс ЦБ устанавливается по нему же.
На графике USDRUB_TOD 27.02.2015 видны аномалии в 12:38, 12:40 — 12:42, 12:45 минуты. Курс в эти минуты отклонился от достаточно плоской полки 61,03 — 61,07 довольно существенно: min — 55,36; max — 66,33. Только объемы торгов в эти «аномальные» минуты составляет не 500, а 268,091 млн. долларов. Эти объёмы не являются чем-то выдающимся. Примерно через час (около 13:30) на просадке на 20 коп. видно всплеск объемов примерно до тех же уровней.
График USDRUB_TOD

На торгах основным инструментом USDRUB_TOM практически не видно следов аномальной активности ни по объёмам, ни по котировкам. Просадка в пределах 5 копеек на очень низких объемах.
График USDRUB_TOM

По аналогии, если бы на заправке какой-нибудь крупной сети бензин 95-СуперПуперУльтра продавался бы по 20 руб. вместо привычных 35. Владелец заправки понёс бы убытки. Но причём тут покупатели «халявы»? Заправка продала, они купили. Если на заправке вирус, то это исключительно проблемы заправки.

P.S. Всё-таки я не согласен с формулировкой заголовка. В первую очередь потому, что USDRUB_TOD не является «курсом рубля».
Не проще было просто перевести $500 млн на свой счёт, чем выдумывать всю эту схему с манипуляцией курсом?
НЛО прилетело и опубликовало эту надпись здесь
Что за фиерический бред? Троян какой-то… Если такого трояна реально делать, то надо знать топологию сети и вести атаку на один (подчеркиваю именно один) хост. На этом хосте надо точно знать какая именно клиентская система стоит (а она естественно самописная). Далее как именно к ней подсоединиться (т.е. не-программистов данного конкретного банка исключаем сразу). Ну и т.д. Есть еще вариант с подключением напрямую к бирже. Тогда надо знать оочень много конфиденциальной инфы начиная от секретных ключей и заканчивая спецдевайсами.

Наиболее вероятных вариантов два — целенаправленое манипулирование рынком самим банком (но тут регуляторы по шапке сразу надают) или глюк торгового робота (ну или UAT в PROD полезло :) ). В итогеоба варианта прекрасно маскируются «вирусом в сети и злобными хакерами».
НЛО прилетело и опубликовало эту надпись здесь
Но тогда это еще больший бардак! Как можно не использовать как минимум для одноразовые пароли доступа? Вон тот-же Блумберг использует одноразовые генерилки (девайсики такие с экранчиком) с доступом к самой генерилке по отпечатку пальца ну или собственно физический терминал с ридером отпечатков на клаве. Код новый генерируется каждые несколько секунд. Другие используют клавиатуры с смарткард-ридерами или RSA-токены (USB ключи).

Внутренние коммуникации в банке по идее должны как минимум быть защищены по зонам файерволами с защитой самого канала NSSPI с SSL/TLS. Ну как при такой защите влезть? Так еще и на файерволах белые списки IP… Так оно выглядело во всех банках, где я работал по крайней мере.

Использовать терминал у которого можно условно говоря куки украсть… далеко за гранью добра :) Я не говорю что их нет, я просто оооочень удивлен что они, похоже, есть (хотя я таких не видел) :)

"Транзак" вы имеете ввиду EMV шлюз? Я лет 12 назад реализовывал сам EMV протокол для эквайеров (тот что от карты к терминалу и дальше). Это конечно не шлюз, но зная мастеркардовцев там наверняка требуется физический шифровальный гроб для доступа к сети. Для банков точно должен требоваться. А туда влезть вообще нельзя. Остается только участок от софта до этого гроба. Из внешней сети вообще никак даже утащив вообще всю банковскую сеть :)
НЛО прилетело и опубликовало эту надпись здесь
Тут то взломали не клиента-физика, а сам банк — предположительно рабочее место одного из сотрудников-трейдеров банка.
НЛО прилетело и опубликовало эту надпись здесь
Это был не квик.
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории