Компания Group-IB утверждает, что в феврале 2015 года российские хакеры атаковали казанский Энергобанк. Взломав систему безопасности банка, киберпреступники смогли изменить курс рубля на биржевых торгах более чем на 15%.
Злоумышленники использовали вирус Corkow Trojan. Результатом действия вируса стало размещение банком приказов более чем на 500 миллионов долларов по нерыночному курсу, что вызвало на рынке большую волатильность, которая продолжалась шесть минут. Это позволило купить доллары по курсу 59,0560 и через 51 секунду продать их, но уже по курсу 62,3490.
Внедренный «троян» был способен открывать на компьютере канал удаленного управления (бэкдор) через легитимно выглядящие сайты или файлы, что позволяло управлять им злоумышленниками. Для того, чтобы антивирусные программы не заметили вирус, он постоянно обновлялся. Как выяснили в Group-IB, этим вирусом были заражены 250 тысяч компьютеров по всему миру, более 100 финансовых институтов оказались во власти киберпреступников. Как выяснили эксперты, вирусу Corkow-IB пока не страшна ни одна антивирусная защита. Все банки, в системе которых была обнаружена вредоносная программа, имели корректно работающий антивирус. Corkow-IB может находиться в сети незамеченным более полугода.
Таким образом, хакер (или группа хакеров) вызвал скачки курса доллара. В результате, добившись аномальной волатильности, злоумышленник смог купить доллар за 55 рублей, а продать по 62 рубля. До этого момента доллар торговался трейдерами в диапазоне 60-62 рубля.
Энергобанк сообщил, что за счет хакерских сделок тогда его потери составили 244 миллиона рублей. Однако доказательств того, что хакеры получили прибыль от проведенных сделок, пока нет. Между тем Московская биржа заявляет о том, что ее системы не были взломаны в результате хакерской атаки. Центробанк, проведя расследование этого инцидента, не установил манипуляций на валютном рынке, то есть, все операции были проведены самим Энергобанком.