В нашем блоге на Хабре мы пишем о различных аспектах, связанных с работой на бирже. И вопросы информационной безопасности являются наиболее актуальными из них. Недобросовестные трейдеры и работники финансовых компаний часто не могут устоять перед соблазном использования инсайдерской информации себе во благо — иногда для ее передачи применяются оригинальные инструменты вроде игровых чатов.
Однако большие деньги, которые «живут» на финансовых рынках привлекают не только неподготовленных злоумышленников, но и целые хакерские преступные группировки, использующие высокотехнологичные средства нападения. Сегодня мы поговорим о том, к каким последствиям могут приводить их действия, и как защититься простым участникам биржевых торгов.
Троян Corkow: скачок курса рубля и 244 млн убытка
В конце февраля прошлого года хакеры устроили панику на Московской бирже. В течение пятнадцати минут курс доллара «скакал» в очень большом для обычного хода торгов диапазоне. Неизвестный трейдер сначала продавал доллары по 55 рублей, а затем покупал, но уже по 65. Внезапно возникшая волатильность позволила, к примеру, совершить сделку на покупку долларов по курсу 59,0560 и через 51 секунду продать их по курсу 62,3490.
Виновником произошедшего был изначально назван казанский «Энергобанк», от чьего имени и выставлялись нерыночные заявки — всего на сумму более $500 млн. Всего за 15 минут ущерб для банка составил 244 млн рублей. Изначально участники торгов и представители регуляторов выдвигали различные версии, никак не связанные с действиями хакеров. К примеру, первый зампред Центробанка Сергей Швецов обвинил казанский банк в сознательном манипулировании валютой. Некоторые финансисты решили, что так представители «Энергобанка» выводят деньги.
Когда в банке потребовали отменить все сделки и вернуть средства, участники этих транзакций признали сделки легальными — в результате банк подал в суд на брокеров, чьи клиенты стали контрагентами совершенных хакеров разорительны нерыночных сделок.
В дальнейшем МВД обратилось в компанию Group-IB, которая занимается киберраследованиями. Именно ее специалисты опубликовали отчет, в котором рассказали, что произошедшими финансовыми манипуляциями стоит группа хакеров.
Фактически, они использовали известный с начала 2010-х годов «троян» Corkow, которым заразили терминал удалённого управления сделками банка. Что интересно, по данным СМИ, в конце марта 2015 года комитет по валютному рынку Московской биржи рекомендовал правлению биржи исключить финансовое учреждение из состава участников торгов валютного рынка из-за недостаточной защищенности системы информационной безопасности.
Троян, использовавшийся для атаки, может открывать на зараженном компьютере канал удаленного управления через легитимно выглядящие сайты или файлы. В результате хакеры получают возможность удаленного управления. Corkow постоянно обновляется для обхода антивирусных программ. По словам ИБ-экспертов, троян заразил уже 250 тысяч компьютеров во всем мире, а также проник в системы более ста финансовых компаний. Во всех банках, где была зафиксирована эта вредоносная программа, был установлен и корректно работал антивирус, что не помешало Corkow в некоторых случаях оставаться незамеченным более шести месяцев.
На данный момент неизвестно, удалось ли хакерам действительно украсть деньги в ходе несанкционированных сделок. Кто точно сумел заработать — так это обычные биржевые трейдеры, которые вовремя сориентировались и смогли купить или продать валюту по крайне выгодному для себя и невыгодному для банка курсу. Единственный способ вернуть эти деньги обратно — взыскать их с тех, кто внедрил вредоносное ПО в систему банка. Есть версия, что способствовать хакерам мог бывший сотрудник банка, решивший отомстить за свое увольнение.
Тем не менее, до сих пор нет никаких окончательных выводов, расследование продолжается, конечный получатель 250 миллионов по-прежнему не найден.
От русских хакеров страдают и иностранные финансисты
В докладе Комиссии по ценным бумагам США, опубликованном в феврале прошлого года, сообщалось, что 88% брокеров, так или иначе, сталкиваются в своей работе с хакерскими атаками. По статистике, попытки проникновения в сеть крупнейших банков Америки происходят каждые 34 секунды. Часто за этими кибератаками стоят иностранные хакеры — часто русские.
Так группа предположительно российских хакеров в октябре прошлого года успешно атаковала серверы компании-поставщика финансовых данных и издателя профильных СМИ Dow Jones, похитив информацию, которую можно было продать участникам биржевых торгов. Ещё за неделю до этого случая из компании похитили контакты около 3500 клиентов. ФБР так и не удалось выяснить, связаны ли между собой эти атаки на Dow Jones.
В октябре 2010 года хакеры (вновь русские) совершили дерзкую кибератаку на биржу Nasdaq. ФБР получили сигнал тревоги с биржи о том, что в системе вирус. Притом после его изучения в бюро пришли к выводу, что вредоносное ПО внедрили не простые хакеры, а вражеские спецслужбы. Журналисты множества западных изданий пытались выяснить, какие последствия имела эта атака, но ни один из экспертов так и не ответил на вопрос. Но именно этот случай показал американским спецслужбам, да и всему миру, насколько уязвимы для кибератак биржи, банки, а также объекты инфраструктуры.
Атаки на Dow Jones и Nasdaq — далеко не единственный попыток русскоговорящих хакеров завладеть финансовой информацией. В августе 2015 года власти США провели аресты русскоязычных хакеров, которые взломали системы новостных терминалов PRNewswire, Marketwired и Businesswire с целью получения инсайдерских сведений для торгов на бирже. Как утверждается, преступная группа за несколько лет своего существования смогла заработать таким образом более $100 млн долларов.
Арест одного из обвиняемых Виталия Корчевского
Однако финансовые компании и биржи атакуют далеко не только хакеры из нашей страны. Так в июле прошлого года было совершено нападение на Нью-Йоркскую биржу, в результате которого ее работа остановилась на несколько часов. Несмотря на то, что представители биржи заявили о «технических неполадках», многие комментаторы не поверили в эту версию — причиной тому стал подозрительный твит в Twitter-аккаунте группировки Anonymous, опубликованный за 12 часов до сбоя.
Интересно, случится ли завтра что-то плохое для Уолл-стрит…можно только на это надеяться.
Кроме того, создатель антивируса McAfee Джон Макафи в своей колонке для британского издания IBTimes заявил о том, что причиной сбоя биржи могли стать действия хакеров «вроде Anonymous». Якобы, Макафи изучил диалоги хакеров в теневой части интернета (dark web), в которых они поздравляли друг-друга с «успешной работой на Уолл-стрит». Журналисты предположили, что причиной возможной атаки могло стать широкое освещение в прессе фондового кризиса в Китае.
Как защититься
На современных биржах действуют правила, которые позволяют свести к минимуму последствия внезапных и сильных движений цены. Обычно, перед началом торгов устанавливается коридор, в рамках которого цена может меняться в ходе торговой сессии. При выходе за его пределы торги останавливаются — это позволяет предотвратить ситуации, когда при возникновении паники на рынке цена каких-либо финансовых инструментов может упасть на десятки процентов за день.
Кроме того, сбои могут происходить и по причинам, не связанным с деятельностью киберпреступников. В любом случае, остановка торгов — это далеко не единственная возможная проблема. Ошибки в работе биржевых системы могут приводить в том числе и к некорректному отображению торговых данных или неверному расчету гарантийного обеспечения для удержания позиции (ошибка может привести даже к преждевременному закрытию сделки)
Для того, чтобы минимизировать возможный ущерб брокерские компании разрабатывают различные системы защиты клиентов. О том, как реализована подобная защита в торговой системе ITinvest MatriX можно прочитать по ссылке.
