Банковская троянская программа Corkow стала причиной того, что 27 февраля 2015 г. в ходе валютных торгов на Московской бирже (МБ) в течение нескольких минут котировки резко менялись в большом диапазоне 55,36-66,33 руб. Об этом ТАСС сообщил Дмитрий Волков руководитель отдела расследований и сервиса киберразведки Bot-Trek Intelligence, сооснователь Group-IB, которая занималась проверкой данного инцидента по заказу Энергобанка.
Энергобанк 11 марта 2015 г. заявил о том, что считает часть сделок по валютной паре доллар/рубль расчетами «сегодня» (USD/RUB_TOD) 27 февраля несанкционированной. Банк также обратился с соответствующими заявлениями и в правоохранительные органы.
«В случае с Энергобанком злоумышленники с помощью вредоносного ПО получили доступ не к банковским системам, связанным с обслуживанием физических и юридических лиц, а к торговому терминалу для осуществления операций на бирже. Они начали продавать и покупать валюту за счет банка, достаточно крупные суммы. Сделали всего примерно семь заявок: пять — на покупку валюты на несколько сотен миллионов долларов, а остальные — на ее продажу на порядка сотни миллионов долларов. В итоге это привело к сильным колебаниям курса рубля в течение 14 минут, пока длилась атака», — сообщил Волков.
По его словам, даже если хакеры и заработали на данной атаке, то незначительную сумму. «Скорее, это была акция, подтверждающая их возможности», — пояснил представитель Group-IB.
Волков отметил, что по команде злоумышленника программа могла предоставлять параллельный с оператором банка удаленный доступ к его системе.
Он не стал комментировать, кто именно стоит за атакой, сославшись конфиденциальность этих данных в рамках проведения расследования.
«Мы собрали необходимые доказательства и довели информацию до всех участников финансового рынка», — отметил Волков, добавив, что Энергобанк, по данным Group-IB, оказался не единственным российским банком, пострадавшим от действий трояна Corkow в 2015 г.
Эксперт напомнил, что в 2011-2014 гг. с помощью этой троянской программы осуществлялись нападения в основном на юридические лица с целью хищения денежных средств с их счетов, а с 2015 г. хакеры переключились на банки.