По данным доклада, группировка русскоязычных хакеров, возможно, в сговоре с неназванными брокерскими фирмами использовала компьютерный вирус-троян под названием Corkow (также известный как «Метель») для хищения денег из торговой системы. Вирус постоянно запускал процедуру собственного обновления, чтобы оставаться незаметным для антивирусных программ, и позволял злоумышленникам удаленно проникать в торговую систему.
Как рассказали в Group-IB агентству Bloomberg, торговая система принадлежит казанскому «Энергобанку». При этом в компании не назвали хакеров, заявив, что внезапная волатильность на российском FOREX заставила Центральный банк России начать проверку в связи с возможными манипуляциями на финансовом рынке.
Также Bloomberg со ссылкой на представителей Московской биржи передает, что она не подвергалась атаке в ходе инцидента в феврале 2015 года. Российский Центробанк в свою очередь по итогам еще одного расследования не выявил признаков манипуляции финансовым рынком и предположил, что странные колебания курсов могли быть следствием ошибок трейдеров.
Используя Corkow, злоумышленники покупали доллары за рубли якобы в интересах банка. Компьютерная атака продолжалась всего 14 минут, после чего один из хакеров дал вирусу «приказ» удалиться из системы вместе со всеми следами своей деятельности.
В докладе Group-IB делается вывод, что для трейдерских операций киберпреступникам было необходимо 22 миллиона долларов. В связи с этим высказывается мнение, что они были в сговоре с клиентами крупных брокеров, чтобы иметь такие деньги для покупки и продажи валюты на рынке FOREX.
Эксперты Group-IB говорят, что произошедшее было проверкой способности «трояна» влиять на рыночные курсы и зарабатывать на этом. Они утверждают, что волатильностью, вызванной кибератакой, с выгодой воспользовались многие трейдеры, но при этом сами киберпреступники будто бы ушли с пустыми руками.
В Group-IB добавляют, что, по их мнению, к компьютерной атаке спецслужбы не причастны.
В августе 2015 года Group-IB установила, что то же самое вредоносное программное обеспечение (ПО) использовалось для незаконного проникновения в системы расчетов банковскими картами через 250 банкоматов. Тогда через банкоматы преступники похитили сотни миллионов рублей.
К началу 2015 года группировка кибермошенников контролировала во всем мире более 250 тысяч зараженных устройств, которые представляли собой так называемую сеть ботнетов (ботнет — это совокупность компьютеров, зараженных вредоносным кодом и управляемых централизованно). В сеть в том числе были вовлечены компьютерные устройства более чем ста финансовых учреждений.
В Group-IB отмечают, что большинство зараженных компьютеров имели популярные антивирусные программы и были соединены с «надежно защищенными» внутренними информационными системами.
По данным Group-IB, киберпреступники демонстрируют все более активный интерес к электронным брокерским и торговым системам, о чем свидетельствует применяемое ими особое вредоносное ПО. На сегодняшний день их основной мишенью становились компании в России и других постсоветских странах, в то же время число компьютерных атак на разные структуры в США с 2011 года возросло в пять раз.