Чистильщик - Наиль Эдуардович Выборнов

«Взлом банковской системы. Хакеры украли сотни миллионов рублей».

Не похоже на кликбейт, похоже, что реальная новость. Я кликнул по ней пальцем и принялся читать детали.

Ага. Сегодня ночью кто-то взломал «Солярис». Этот банк не входит даже в пятерку крупнейших в Новой Москве, и уж тем более не сравнится с тем же ВСБ. Но у них был свой прикол: они кичились именно что своей надежностью. Их система защиты была очень продвинутой, поэтому многие местные толстосумы доверяли свои бабки именно им.

И вот, судя по сообщению, кто-то сумел не только проломить систему защиты, но и обнулить баланс нескольких счетов, перенаправив бабки на зашифрованные криптокошельки. Интересно…

Говорили об убытках почти в миллиард рублей. Это огромная сумма, и я сомневаюсь, что оно действительно так, журналисты все-таки любят преувеличивать. Реальная сумма наверняка на порядок ниже.

Выдохнув, я отложил планшет. У меня даже некоторая зависть проснулась, потому что сам я эту систему взломать в одиночку точно не смог бы. Нет, если бы мне дали месяц на подготовку, подключить фишинг, социальную инженерии и закончить все непосредственным проникновением, сработать в поле… Сделал бы, без вариантов, но все-таки.

Интересные дела. Ответственность за взлом на себя никто не взял, естественно. Когда на кону стоят такие бабки, никто не станет вешать на себя мишень. Интересно все-таки, кто это сделал?

Я открыл браузер перед глазами и вошел в даркнет. И ничуть не удивился, когда увидел, что практически все обсуждали именно это. Но обычный треп меня не интересовал, я влез на узкоспециализированный хакерский форум, куда посторонним доступа не было. И нашел нужную тему.

И обнаружил там полный разбор атаки, которую сделал один из крутейших хакеров в Новой Москве — Андрон. Естественно, никто не знал, кто он на самом деле такой, и он работал исключительно один. Но в последнее время в атаках практически не участвовал, полностью сосредоточившись на том, чтобы разбирать чужие, выявлять слабые и сильные места подходов. Например, та история, в которую мы влипли с Брейном, тоже попала в спектр его внимания, и он разобрал ее достаточно подробно. Без указаний на конкретных людей, этику он соблюдал безупречно.

Не удивлюсь, если это был кто-то из белых хакеров, работающих на корпорации за зарплату. А это для него было хобби.

Я погрузился в чтение, и у меня чуть волосы дыбом не встали от прочитанного.

Атака готовилась заранее, хакеры как минимум месяц изучали инфраструктуру банка. Использовали пассивное сканирование сети, собирали отпечатки серверов, анализировали публичные API и тестировали поведение системы на нестандартные запросы.

Но самое интересное — «канарейка», которую они запустили. Это небольшая, на первый взгляд безобидная утечка данных, намеренно проведенная через старый архивный сервер банка. Логика была простая: если админы замечают проблему и начинают латать систему, значит, они бдят. Если игнорируют — значит, там можно копать дальше. Хакеры «Соляриса» ничего не заметили.

Основным щитом банка была изолированная транзакционная сеть, куда нельзя попасть снаружи. Стандартная схема: даже если взломаешь сайт или сервер клиентского кабинета, доступ к реальным деньгам получить невозможно. Но здесь атакующие использовали изящную уязвимость на грани аппаратного бага. Они нашли сбой в межсетевом шлюзе, который позволял отправлять скрытые команды на сервер обработки платежей. Этот баг был настолько редким, что его даже в базе уязвимостей не было — явно что-то из разряда атаки нулевого дня.

Таким образом они заставили шлюз считать, что пакеты с их команд приходят от легитимного банковского софта. А дальше — классика. Манипуляция логикой транзакций, подмена данных, обход двухфакторной аутентификации. Никаких вирусов, никаких троянов — просто чистый, вылизанный код. Они просто разговаривали с машинами на их языке.

Когда доступ был получен, они разбили сумму на сотни мелких переводов, часть из которых шла на счета подставных компаний, а часть — на старые неактивные счета, которые якобы «случайно» активировались. Он даже подсчитал, сколько было выведено. Сто сорок миллионов рублей. Да уж, годовой бюджет не самой бедной страны.

Но самое интересное — «цепь анонимизации». Они использовали алгоритмы, похожие на кольцевые подписи: деньги переходили через десятки транзакций, ломая цепочку отслеживания.

После успешного вывода злоумышленники замели следы на уровне логов и телеметрии. Оставили в логах кучу фейковых следов, имитирующих активности других пользователей. Полиция найдет сотни подозрительных адресов, десятки аккаунтов, из которых были переведены деньги, и все они будут связаны с обычными людьми, которые даже не догадываются, что стали частью этого хаоса.

Идеальная работа. Но дело не в этом: Андрон выложил еще и часть кода, который использовали хакеры. Исключительно в образовательных целях, естественно. Хрен знает, где он его достал, но выложил. Я зацепился за него, принялся читать, и логика очень быстро напомнила мне что-то, что я видел совсем недавно.

Это Брейн стоит за этой атакой что ли? Нет, бред. Он бы насрал издевательскими комментариями, да и в целом работал гораздо грязнее. Нет. Ему нравился хаос, он любил, когда системы ломались с треском, а админы начинали бегать с выпученными глазами.

А что если? Я влез во вчерашние логи с атаки на хакершу, выцепил несколько фрагментов ее кода, а потом запустил сличение. Анализ шел несколько секунд, а потом выдал совпадение логики и синтаксиса на девяносто шесть процентов.

Что, блин? А как это могла быть она? Атака произошла в пять часов утра, она в это время уже два часа как должна была сидеть в отделении с наручниками и без доступа к сети. Может быть, она ее готовила?

Что ж. Это интересно. Нужно проверить, как она была связана со взломщиками.

Зараза. Жаль, что я не успел скачать данные с ее сервера, иначе сейчас узнал бы. А сейчас там наверняка