Заявление для прессы: Альфа-Банк подтверждает, что он обратился за помощью в компетентные органы США и раскрыл информацию о новых кибератаках, связанных с недостоверной информацией о контактах с г-ном Трампом

17.03.2017

Альфа-Банк подтвердил, что он обратился в правоохранительные органы США за содействием в обнаружении лиц, стоящих за попытками кибератак на его серверы, вследствие которых возникло ложное впечатление о том, что Альфа-Банк взаимодействует с компанией Trump Organization. Банк в свою очередь предложил учреждениям США свое полное содействие в данном вопросе.

Альфа-Банк подтвердил информацию, опубликованную на Circa News, что в течение последних нескольких недель были совершены три новые попытки кибератак возрастающей интенсивности на его DNS-сервер (сервер доменных имен). В процессе этих атак неустановленные лица подавали многочисленные DNS-запросы на сервер компании Trump Organization, пользуясь в основном услугами серверных провайдеров США. Запросы DNS выглядели так, как будто они исходят от Альфа-Банка. В результате DNS-ответы от сервера Трампа ошибочно возвращались в Альфа-Банк и вызывали срабатывание автоматизированной системы безопасности Альфа-Банка 18 февраля, а также повторно 11 и 13 марта. Альфа-Банк привлек к расследованию этих атак фирму Stroz Friedberg, которая находится в США и специализируется на компьютерной криминалистике.

Альфа-Банк полагает, что эти злонамеренные атаки призваны создать ложное впечатление, что Альфа-Банк тайно поддерживает взаимоотношения с компанией Trump Organization. На самом деле таких взаимоотношений не существует и никогда не существовало.

Февраль 2017 г. Новая атака на сервер Альфа-Банка

18 февраля 2017 г. Альфа-Банк стал объектом подозрительной киберактивности неустановленных посторонних лиц, которые многократно посылали подозрительные DNS-запросы от серверов, находящихся в США, на сервер компании Trump Organization. Неустановленные лица создали видимость того, что эти запросы исходят из различных вариантов MOSCow.ALFAintRa.nET. В результате, DNS-ответы от сервера компании Trump Organization некорректно возвращались на сервер Альфа-Банка, и это вызывало срабатывание автоматизированной системы безопасности Альфа-Банка.

Альфа-Банк полагает, что за этой недавней атакой стоят некие лица, использующие неустановленного провайдера услуг на территории США, и что эти лица пытаются инициировать сигналы верификации между Альфа-Банком и сервером, связанным с компанией Trump Organization.

Альфа-Банк полагает, что некто или некая группа лиц осуществили этот обман посредством спуфинга или подделки запросов DNS, чтобы создать видимость взаимодействия Альфа-Банка с компанией Trump Organization. Однако серверы DNS Альфа-Банка не отправляли и не получали сообщения электронной почты. На самом деле, они реагировали на полученные ими нежелательные и незатребованные сообщения, отправляя сигналы верификации с ответным вопросом о том, что представляет из себя сервер, который обращается к Альфа-Банку.

По словам представителя Альфа-Банка, «эти кибератаки являются попыткой неизвестных лиц создать иллюзию контакта между серверами DNS Альфа-Банка и серверами Трампа».

Представитель Альфа-Банка отмечает: «Простая аналогия выглядит следующим образом: кто-то в США отправляет пустой конверт (в данном случае, сигнал DNS) в офис Трампа (сервер), конверт адресован Трампу, но на обороте конверта указан обратный адрес в России (Альфа-Банк) вместо его действительного адреса. Офис Трампа обнаруживает, что в пустом конверте нет ничего, достойного внимания, и возвращает этот конверт в качестве недоставленного почтового отправления в Россию вместо того, чтобы вернуть его отправителю в США. Таким образом, даже при поверхностном ознакомлении становится ясно, что Альфа-Банк получал ответы на запросы, которые он на самом деле никогда не отправлял. Мы обратились в Министерство юстиции США и предложили свое сотрудничество, чтобы до конца разобраться в этих обманных и мошеннических действиях».

Другие свидетельства человеческого вмешательства включают тот факт, что запросы, фигурирующие в этих журналах, содержат смесь прописных и строчных букв. Запросы DNS, как правило, представляют собой автоматизированные запросы (например, от браузеров или клиентов электронной почты), пересылаемые в виде строчных букв на серверы DNS.

Через несколько дней после атаки DNS 18 февраля средства массовой информации США, включая CNN, снова стали задавать Альфа-Банку вопросы относительно обвинений в киберсвязи с Дональдом Трампом. На самом деле никакой связи такого рода между Альфа-Банком и г-ном Трампом или его организацией не существует и никогда не существовало.

Анонимная группа в течение нескольких месяцев пыталась склонить средства массовой информации к публикации материалов о том, что вышеуказанная связь является реальной. Журналистов, вступающих в контакт с этой группой, Альфа-Банк просил предоставить информацию о трафике, чтобы с ее помощью понять, пытается ли кто-то создать ложное впечатление о том, что Альфа-Банк имеет коммерческие отношения или другие дела с г-ном Трампом.

Март 2017 г. Две новые подтвержденные атаки на сервер Альфа-Банка

11 и 13 марта Альфа-Банк подвергся двум новым DNS-атакам с использованием аналогичных методов. Эти атаки, по-видимому, координировались с нескольких серверов, расположенных, в основном, в США.

В период между 02:00 и 07:00 (московское время) 11 марта и в 21:00 13 марта Альфа-Банк стал объектом подозрительной киберактивности со стороны одного или нескольких неустановленных посторонних лиц, которые многократно отправляли необычные DNS-запросы на сервер Трампа, и ответы на эти запросы снова, в конечном итоге, вызывали срабатывание автоматизированной системы безопасности Альфа-Банка.

В субботу, в течение пяти часов, и в понедельник Альфа-Банк получил свыше 1 340 DNS-ответов, содержащих mail.trump-email.com.moscow.alfaintra.net.

Эти злонамеренные и, по-видимому, скоординированные DNS-атаки исходят от неустановленных пользователей, использующих разнообразные серверы, находящиеся преимущественно на территории США, включая веб-сервисы Google и Amazon. Эти провайдеры IP-сервиса непреднамеренно позволили использовать свою инфраструктуру для атаки на Альфа-Банк.

Альфа-Банк подозревает, что неустановленные лица пытаются замести свои следы, используя облачные сервисы, предоставляемые вышеуказанными провайдерами.

Исходя из частоты этих атак, а также разнообразия провайдеров сервиса Интернет, используемых в этих атаках, рабочая гипотеза Альфа-Банка заключается в том, что эти атаки инициированы из ботнета.

Март 2017 г. Возможная третья новая атака

В настоящее время Альфа-Банк приступил к мониторингу всех всходящих сообщений на свои серверы, в которых содержится слово «trump». В процессе этого мониторинга было обнаружено, что Альфа-Банк, помимо прочего, получает электронные письма с адреса «marketing@trumphotels.com». Этот входящий спам в виде маркетинговых рассылок также инициирует срабатывание системы безопасности Альфа-Банка, которая автоматически отправляет многочисленные запросы верификации DNS обратно на исходный сервер, в данном случае сервер Трампа, чтобы удостовериться в идентичности отправителя.

Альфа-Банку неизвестно, являются ли эти маркетинговые электронные письма легитимными, или какое-либо постороннее лицо организует кампанию, снова пытаясь создать ложное впечатление о наличии ненадлежащих связей между Альфа-Банком и компанией Trump Organization.

В ответ на вопросы средств массовой информации, поступающие в Альфа-Банк начиная с сентября прошлого года, Альфа-Банк обратился в компанию Mandiant, которая является одним из ведущих мировых экспертов в этой области, с просьбой расследовать обвинения в связи между Альфа-Банком и г-ном Трампом, выдвинутые анонимной кибергруппой на основе неверифицированных журналов DNS.

Компания Mandiant провела свое независимое расследование в конце прошлого года. По результатам проверки системы Альфа-Банка в дистанционном режиме и на месте, в Москве, а также проверки неверифицированных данных DNS, предоставленных средствам массовой информации анонимной кибергруппой, компания Mandiant пришла к заключению об отсутствии доказательств существенного контакта, например, сообщений электронной почты или финансовых связей между Альфа-Банком и предвыборной кампанией Трампа или компанией Trump Organization.

Компания Mandiant исследовала (1) данные DNS, которые были предоставлены средствам массовой информации и которые журналисты предоставили независимым экспертам в сфере DNS, и (2) серверы Альфа-Банка на предмет доказательства связей.

Компания Mandiant пришла к следующему заключению:

Данные DNS. Отсутствует информация, указывающая на источник списка (полученного журналистами). Этот список содержит примерно 2 800 запросов имени домена за период 90 дней. Эта информация является неубедительной и не является доказательством существенного контакта, а также непосредственных сообщений электронной почты или финансовой связи между Альфа-Банком и предвыборной кампанией Трампа или компанией Trump Organization.

Серверы Альфа-Банка. Ничто, чем мы располагаем, и никакие обнаруженные нами результаты не изменяют наше вышеуказанное заключение о том, что отсутствуют доказательства существенного контакта, а также непосредственных сообщений электронной почты или финансовой связи между Альфа-Банком и предвыборной кампанией Трампа или компанией Trump Organization.

Рабочая гипотеза компании Mandiant заключается в том, что активность, о которой в конце прошлого года утверждали источники журналистов, была вызвана кампанией маркетинга/спама посредством электронной почты, которая, возможно, была ориентирована маркетинговым сервером на сотрудников Альфа-Банка и вызвала срабатывание программного обеспечения системы безопасности.

Ранее в этом году Альфа-Банк инициировал другое расследование, чтобы определить, кто стоял или возможно до сих пор стоит за этим изощренным обманом.

Доступ к чужим DNS является весьма привилегированным и его независимый анализ, как правило, осуществляется для научных целей или для целей исследования кибербезопасности. Поэтому, если анализ данных DNS и совместный доступ к этим данным осуществляют лица, участвующие в такой мошеннической деятельности, возникает вопрос о законности получения этих данных, а также об этичности злоупотребления привилегированным доступом для намеренного обмана.

Рабочая гипотеза Альфа-Банка заключается в том, что некое лицо, возможно, хорошо известное в кругах исследователей сети Интернет, могло передать некоторые DNS-данные анонимной кибергруппе специально для того, чтобы она пришла к определенному (и ошибочному) заключению. С другой стороны, кибергруппа также может быть замешана в обмане. В самых недавних случаях неизвестные лица явно пытались ввести в компьютерные системы Альфа-Банка фальсифицированные записи, предназначенные для создания аналогичного впечатления.

По словам представителя Альфа-Банка, «анонимная кибергруппа, руководителями которой, согласно новостным сообщениям являются Tea Leaves, не смогла предоставить доказательств связи, поскольку ее никогда не было. Альфа-Банк намерен активно сотрудничать с компетентными органами США, чтобы определить, кто стоит за этими злонамеренными атаками и ложными версиями».