Укол на мільярд доларів: гірші кошмари банків



Багато років кібер-злочинці фокусують свою увагу на грошах, в першу чергу, спрямовуючи свої зусилля на фінансові системи. Більше десяти років вони були головним чином орієнтовані на найслабша ланка в цьому ланцюжку – кінцевого споживача, який використовує онлайнові банківські сервіси. Такий підхід має ряд переваг для зловмисників: досить низький рівень безпеки у кінцевого користувача, крадіжка незначної суми грошей, яка певний час може залишитися непоміченою, і т. д. Втім, тут є і свої мінуси: необхідно знайти (заразити) жертви, які використовують один з необхідних банків, використовувати інструменти, що дозволяють обходити антивірусні програми та ін

Іншими словами, злочинці можуть робити великі гроші, але одночасно з цим з їх боку необхідно прикладати значні зусилля.

А де є великі гроші? У самих фінансових організаціях. І тут немає інших варіантів. Однак, досить складно туди проникнути, і ще складніше зрозуміти, як працюють їхні конкретні внутрішні системи, щоб повністю скомпрометувати їх, забрати гроші і піти, не залишивши й сліду. Все це вимагає великих інвестицій, щоб зібрати всю необхідну для такого роду пограбування інформацію. Причому таку атаку дуже складно провести, а для її ретельного планування можуть знадобитися навіть не місяці, а роки. Але в будь-якому випадку це того варто, щоб одномоментно вкрасти мільярд доларів.

Але це як раз те, що сталося у лютому з Центральним банком Бангладеш, де хакери заразили систему банку з допомогою шкідливої програми, спеціально розроблену для проведення даної атаки. В результаті чого спробували провести шахрайські перекази в цілому на 951 мільйон доларів США. Ці гроші лежали на рахунку Центрального банку Бангладеш у Федеральному резервному банку Нью-Йорка. На щастя, більшість цих операцій було заблоковано, так що викрадений був «всього» 81 мільйон доларів. Але це не єдиний випадок.

Tien Phong Bank з В'єтнаму зіткнувся з подібною атакою в останньому кварталі 2015 року. Тоді кібер-злочинці також намагалися зробити перекази через SWIFT, хоча банк вчасно зумів розпізнати щось недобре і зупинити завершення вже виконується переведення на 1 мільйон доларів США.

А в січні 2015 року банк Banco del Austro (Еквадор) потрапив у дуже схожу ситуацію, і тоді було вкрадено близько 9 мільйонів доларів США.



Що спільного в цих трьох випадках? Для виконання атаки використовувалося шкідливе ПЗ, а всі гроші перекладалися з використанням мережі SWIFT. SWIFT (Society for Worldwide Interbank Financial Telecommunication). Безпечний переказ грошових коштів між банками – це один із запропонованих сервісів, який обробляється мережею SWIFT.

Найбільше занепокоєння викликає той факт, якщо мережа SWIFT, яка вважається безпечною, буде скомпрометована. Якщо станеться саме це, то вся фінансова система може опинитися під загрозою. Але, схоже, що в даних випадках цього не сталося, і SWIFT опублікувала пресс-релиз, в якому чітко говориться наступне: «мережа SWIFT, основні сервіси обміну повідомленнями та програмне забезпечення не були скомпрометовані».

Втім, це залежить від того, під яким кутом на все це подивитися: кібер-злочинці успішно використовували мережу SWIFT для вчинення таких крадіжок. І вони використовували той же підхід, який і був описаний на початку цієї статті: націлитися на найслабша ланка в ланцюзі.
SWIFT забезпечує безпечні умови, але в кінці кожного дня кожна фінансова організація здійснює комунікації з мережею SWIFT зі своєї власної внутрішньої системи. Точно так само, як зловмисники націлювалися на кінцевого користувача за допомогою банківських троянів, тепер замість того, щоб вражати саму мережу SWIFT, вони нападають на банки, які до неї підключені. Отже, хоч ми і можемо говорити про те, що мережа SWIFT в цілому поки безпечна, проте ми також можемо стверджувати, що в ній потенційно існують тисячі слабких місць за кількістю підключених до неї фінансових організацій.

Як же були виконані ці атаки?
Поки ще багато моментів залишаються незрозумілими, а за деякими з них вже ніколи не буде встановлена істина. Злочинці зуміли добре замести свої сліди. Насправді, основною метою однією з шкідливих програм, використовуваних при пограбуванні, було якраз приховати всі сліди. Але одне ми знаємо точно: використовувалося спеціально розроблене шкідливе ПО. Як воно проникло у системи? У нас є два варіанти: допомога з боку співробітника банку або зовнішня атака через Інтернет. Обидва варіанти виглядають цілком правдоподібними, тим більше після того, як ми дізналися, що інфраструктура безпеки в Центральному банку Бангладеш була явно не самого високого рівня.

Якщо заглянути глибше в інцидент з Бангладеш, то можна відзначити дуже складний характер атаки на Центральний банк країни. При цьому те, яким чином структуроване зловмисне програмне забезпечення (з використанням зовнішнього конфігураційного файлу, , який не вимагається, якщо дану атаку планується здійснити лише один раз), підказує нам, що ми ще зіткнемося з новими жертвами. Ці хакери можуть піти в інші банки, які мають вади / слабкі місця в своїх моделях безпеки, такі як відсутність глибокого моніторингу за запуском програмного забезпечення в їх мережах. Та інформація, яку ми маємо за інших атак, поки що тільки підтверджує дану гіпотезу.

В комунікаціях зі своїми користувачами SWIFT каже всім банкам, що їх пріоритетним завданням має бути впровадження і використання всіх інструментів і заходів з виявлення та запобігання атак, для забезпечення безпеки свого оточення.

Як це можливо забезпечити? Чи є щось таке, що дозволить повністю запобігти будь-які нові пограбування?
Злочинці продовжать свої спроби, які іноді можуть бути успішними. У будь-якому випадку ми знаємо, що їм потрібно (гроші) і на які комп'ютери вони захочуть спрямувати свої зусилля (ті, що підключені до мережі SWIFT). Доступ до мережі SWIFT дуже обмежений, і він може бути виконаний лише за певних комп'ютерів, і тільки певним користувачам дозволений доступ до них. Таким чином, ці комп'ютери повинні бути дуже добре захищені, причому, не тільки своєчасно оновлюється ЗА і антивредоносным рішенням.

  • На таких комп'ютерах повинні запускатися тільки ті програми, які попередньо були ретельно перевірені і можна.
  • Всі виконувані процеси повинні ретельно відстежуватися в режимі реального часу, при цьому все, що відбувається на них, має записуватися в логи, щоб їх аналіз міг допомогти в пошуках аномального поведінки. При цьому не важливо, чи виконано атака через Інтернет або за допомогою інсайдера.
  • На таких терміналах не може бути дозволений запуск будь-якого несанкціонованого програмного забезпечення, а ті, що дозволені для запуску, повинні бути захищені за допомогою анти-эксплойтных технологій і контрольовані в реальному часі в тому випадку, якщо буде спостерігатися будь аномальну поведінку.


Звичайно, якщо якась людина має фізичний доступ до такого комп'ютера, в якийсь момент він може відключити будь-яке рішення безпеки, але це не є проблемою як такою, якщо Ви можете отримати повідомлення про це в консолі, яка використовується співробітниками служби безпеки. Чи є ще якийсь кращий індикатор компрометації, ніж людина, що робить маніпуляції з програмними рішеннями безпеки, встановленими на критичній системі?

Як уникнути таких кібер-атак
Одна з найбільш расстраивающих речей, з якими стикаються жертви, — це брак знання про те, як стався інцидент. Як це сталося? Коли це все почалося? Як довго це все тривало? Що хакери зробили, поки комп'ютери були скомпрометовані? Була витік конфіденційної інформації? Як, наприклад, у випадку з Центральним банком Бангладеш, коли три частини шкідливого ПЗ могли бути відновлені після інциденту, але це тільки те, що там залишилося. Хакери могли використовувати безліч інших інструментів, які після виконання атаки були видалені, і жертва НІЧОГО про них не знає.

Існує всього декілька рішень, які здатні надати такий рівень сервісу, і серед них Panda Adaptive Defense – рішення, яке створене для подібного роду випадків. Серед наших клієнтів вже є великі фінансові організації, уряди різних країн світу і великі корпорації з різних секторів економіки (охорона здоров'я, мережі готелів, страхування, комунальні послуги тощо).

Всі ці організації стикаються не тільки з регулярними кібер-атаками, але також і з цілеспрямованими атаками на свої активи. У свій час ми згадали лише деякі з них: мережа люксових готелів, про яку ми писали кілька тижнів назад, і атаку на нафтові танкери.

Після вивчення таких атак ми вважаємо, що якби постраждалі банки мали подібне рішення безпеки на своїх терміналах, підключених до SWIFT, то ці пограбування можна було б вчасно зупинити.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.