Rok temu kurs rubla na rosyjskim rynku międzybankowym w ciągu kilkunastu minut skoczył o 15 proc. Niecodzienny ruch był wynikiem zleceń opiewających łącznie na kwotę 500 mln dolarów złożonych przez mieszczący się w Kazaniu Energobank. Transakcje nie były jednak wynikiem pomyłki – stał za nimi mało znany koń trojański o nazwie Corkow.
Niecodzienne zdarzenie miało miejsce rok temu, ale dopiero w ostatnich tygodniach na światło dzienne wyszły szczegóły nietypowego ataku, którego ofiarą padł rosyjski Energobank. Zbadaniem incydentu zajęła się moskiewska firma Group-IB oraz dostawca rozwiązań antywirusowych ESET, a dochodzenie w sprawie manipulacji kursem rubla wszczął także rosyjski bank centralny.
Jak donosi ESET, złośliwe oprogramowanie dostało się do systemów banku już we wrześniu 2014 r. Przestępcom udało się zainfekować jeden z komputerów instytucji i przechwycić dane do logowania do platformy handlu na rynku walutowym. Dzięki temu oszuści byli w stanie przejąć kontrolę nad systemem transakcyjnym i skorzystali z tej możliwości 27 lutego 2015 r.
Feralnego dnia za pośrednictwem Energobanku złożono serię zleceń kupna i sprzedaży dolarów amerykańskich. Nie wszystkie transakcje zostały wykonane w całości – do skutku doszła sprzedaż 90 mln dolarów i zakup 160 mln jednostek amerykańskiej waluty. Działania przestępców zachwiały rynkiem – w ciągu 14 minut kurs rubla wahał się pomiędzy 55,36 RUB/USD a 66,33 RUB/USD. Zaraz po ataku złośliwe oprogramowanie otrzymało od swoich stwórców polecenie usunięcia się z systemu banku i zatarcia śladów włamania.
Do dziś nie jest jasne, dlaczego przestępcy zdecydowali się na taki ruch. Prawdopodobnie nie byli w stanie wykorzystać zwiększonej zmienności na rynku walutowym, aby osiągnąć zysk. Dochodzenie Centralnego Banku Rosji podsumowano stwierdzeniem, że nie udało się wskazać podmiotów, które mogłyby skorzystać na kilkunastominutowym zamieszaniu. Niewykluczone, że atak był tylko testem możliwości konia trojańskiego Corkow obliczonym na sprawdzenie, czy ingerencja z zewnątrz może być wystarczająca, by znacząco wpłynąć na ceny na rynku walutowym.
Przeczytaj także
Analiza złośliwego oprogramowania przygotowana przez ESET wskazuje, że Corkow zawiera m.in. moduł przygotowany z myślą o infiltrowaniu oprogramowania używanego przez rosyjskie banki i korporacyjnych klientów bankowości elektronicznej, w tym osobne narzędzie nakierowane na przechwytywanie danych aplikacji Sberbanku, jednej z największych rosyjskich instytucji finansowych. Na jego celowniku znajdują się także portfele bitcoinowe oraz deweloperskie konta w sklepie z aplikacjami Google Play.
Corkow po raz pierwszy został wykryty „na wolności” w 2011 roku. Przez dłuższy czas koń trojański pozostawał jednak w uśpieniu, a dopiero w 2015 r. odnotowano nagły wzrost liczby zarażeń tym szkodnikiem. Program celuje przede wszystkim w użytkowników z Rosji i Ukrainy (odpowiednio 73 proc. i 13 proc. odkrytych przypadków infekcji).
Przypadek z lutego zeszłego roku może być zapowiedzią nowego typu zagrożeń dla rynku finansowego. Odpowiednio zaplanowany atak może na krótko zdestabilizować wybrany segment rynku i dać okazję do szybkiego zarobku grupom przestępczym, a przy okazji narazić instytucję, która stała się narzędziem w ręku przestępców na poważne straty finansowe. Energobank na zeszłorocznej „przygodzie” z koniem trojańskim stracił stosunkowo niewiele – ok. 3,2 mln dolarów.
