Lazarus: Хто стоїть за атаками на систему банківських переказів SWIFT



Міжбанківська система SWIFT відчуває не найкращі часи. У лютому 2016 року, через недосконалість SWIFT, хакерам вдалося вивести з Центробанку Бангладеш $81 млн — ми писали про цю історію. Згодом з'ясувалося, що це не єдиний випадок злому SWIFT. Жертвою зловмисників ще в січні 2015 року став також еквадорський банк Banco del Austro в Еквадорі. Крім того, оприлюднений факт про невдалу атаці на в'єтнамський Tien Phong Bank з В'єтнаму, про яку раніше не повідомлялося.

Експерти антивірусної компанії Symantec розслідували почастішали випадки злому, щоб зрозуміти, хто міг стояти за цими злочинами і викраданнями мільйонів доларів у фінансових організацій зі всього світу.

Атака на Banco del Austro в Еквадорі

Напад на банк в Еквадорі стався в січні 2015 року. В результаті кібератаки було викрадено $9 млн. Злочинна схема аналогічна тій, якою скористалися злочинці раніше при атаці на ЦП Бангладешу. Передбачається, що зловмисники скористалися програмою, здатної читати файли на комп'ютерах банків, що використовують систему SWIFT, в обхід локальних заходів безпеки. Хакери користувалися отриманим доступом до банку протягом 10 днів. За цей час програма розсилала через SWIFT фальшиві запити в банк Wells Fargo в Сан-Франциско і ініціювала перекази грошових коштів на рахунку в Гонконзі, Дубаї, Нью-Йорку та Лос-Анжелесі.

Факт злому тримався в секреті. Його оприлюднили тільки в травні 2016 року, коли потерпілий банк подав заяву в Нью-Йоркський федеральний суд. У позовній заяві, що подав Banco del Austro проти Wells Fargo, представлені вимоги повернути всю суму, яка була вкрадена.

Керівництво SWIFT виступило з офіційною заявою, про те, що мережі, програмне забезпечення та основні сервіси обміну повідомленнями системи не були скомпрометовані, але проводили атаку хакери дуже добре розуміли специфіку контролю над операціями в постраждалому банку.

Група Lazarus

За даними фахівців Symantec, за описаними вище атаками може стояти хакерське угруповання Lazarus. Це спільнота існує вже багато років, вперше хакери виявили активність у 2007-2009 роках.

Графіки їх активності говорять про те, що члени групи проживають в поясі GMT+8 або GMT+9. Крім того, їх робочий день становить не менше 15-16 годин на добу. «Ймовірно, Lazarus Group — найпрацьовитіша APT-угрупування з усіх вивчених нами (а таких за останні роки було чимало)», повідомляють співробітники «Лабораторії Касперського».

За минулий час зловмисники створили більше 45 сімейств шкідливих програм, які успішно використовувалася у сфері кібершпіонажу, а також в атаках, спрямованих на знищення даних і виведення з ладу різних систем. За даними фахівців, саме група Lazarus несе відповідальність за руйнівну атаку на кінокомпанії Sony Pictures Entertainment в 2014 році.

Експерти з технологічної компанії Symantec виявили докази ідентичність кібератак на Sony Pictures, ЦБ Бангладеш, банки у В'єтнамі та на Філіппінах. Північнокорейські хакери использовали у всіх зламах один і той же специфічний код. Крім того, на причетність до всіх цих інцидентів угруповання Lazarus вказують особливі методи стирання слідів присутності в заражених системах, а також техніки, з допомогою яких вони уникали детектування антивірусними програмами. В результаті десятки різних цифрових атак, організатори яких донедавна були невідомі, зводяться до одного джерела — Lazarus.

Представники компанії Symantec заявляють, що якщо підтвердиться інформація про те, що атаки були організовані КНДР, то це стане першим випадком в світовій історії, коли крадіжкою за допомогою хакерства займається держава.

Навіщо це КНДР

Північна Корея гостро потребує грошей. Економіка країни страждає від санкцій і браку продовольства. Пхеньян не публікує економічні дані, але за деякими оцінками, ВВП Північної Кореї коливається між $12 млрд і $40 млрд. Не виключено, що для поповнення бюджету уряд КНДР вдається до злочинним заходам.

Наприклад, країна стала місцем виробництва фальшивих грошей — урядовці США вже не раз звинувачували Північну Корею в підробці стодоларових купюр, які були відомі як superdollars або supernotes, тому що фальшивки були майже не відрізняються від оригіналу.

Ерік Чиен, фахівець з безпеки компанії Symantec, не виключає, що КНДР здійснює кібер атаки для отримання грошей. «При зломі рахунки ЦБ Бангладеш хакери намагалися вкрасти $1 млрд, що становить майже 10 відсотків від очікуваного ВВП КНДР за 2014 рік, так що ця ідея цілком правдоподібна» — заявляє він.

Як захистити SWIFT

Щоб ізолювати загрозу, яка може виходити від Північної Кореї, банківську систему цієї країни можуть відключити від світової — ця міра обговорюється в якості санкцій. Крім цього, російська «Лабораторія Касперського», американські Novetta, AlienVault і Symantec ще взимку 2016 року оголосили про проведення масштабної спільної операції «Блокбастер». Заявлена мета операції – зупинити групу хакерів Lazarus.

Однак адміністрація системи SWIFT не покладається виключно на зусилля експертів з антивірусних компаній. Незважаючи на те, що офіційно система фінансових переказів не бере на себе відповідальність за сталися інциденти, організація все ж виробила 5 заходів, з допомогою яких сподівається сприяти поліпшенню ситуації в області кібербезпеки.

  1. SWIFT має намір істотно поліпшити обмін інформацією між учасниками світового фінансового співтовариства. За словами генерального директора SWIFT Готтфрида Лейббрандта (Gottfried Leibbrandt), фінансові інститути, боячись дискредитувати свою діяльність, рідко повідомляють випадках хакерських атак. Таке замовчування тільки погіршує ситуацію і не дозволяє попередити подальші напади на банківський сектор.
  2. Крім того, планується посилити правила безпеки для використовуваного банками програмного забезпечення.
  3. SWIFT розробить і запропонує своїм клієнтам спеціальну «програму контролю порядку здійснення платежів». З її допомогою можна буде на ранньому етапі виявити підозрілу активність.
  4. Також система збирається покращити свої рекомендації та розробити безпечну систему для проведення аудиту в банках для своїх клієнтів
  5. Крім того, планується ввести вимоги для сторонніх постачальників.
Впровадження запропонованих заходів обійдеться фінансовим корпораціям в круглу суму. Однак, тільки спільними зусиллями всіх представників індустрії вдасться досягти результатів.

«SWIFT не всесильна, ми не регулятор, ми не поліцейський. Успіх залежить від участі всіх зацікавлених сторін всередині і навколо галузі», — заявляє Лейббрандт.

Колишній генеральний директор SWIFT Леонард Шранк (Leonard Schrank) вважає, що помилки, звичайно, будуть виправлені. Однак, відображати хакерські атаки з кожним разом все важче, оскільки фінансові установи залучають зломщиків високого рівня.

Фінансові компанії розробляють різні засоби захисту і самостійно — прийом вони можуть бути спрямовані не тільки на боротьбу з наслідками зломів, але і звичайних помилок ІТ-систем. Наприклад, помилки в роботі біржових систем можуть приводити до некоректного відображення торгових даних або невірного розрахунку гарантійного забезпечення для утримання позиції (помилка може призвести навіть до передчасного закриття угоди)

Для того, щоб мінімізувати можливий збиток брокерські компанії розробляють різні системи захисту клієнтів. Про те, як реалізована подібна захист в торговельній системі ITinvest MatriX можна прочитати за посилання.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.