Какие уроки можно извлечь из попытки ограбить банк на 1 млрд $
Блог Никсейл
Январь 2017
Какие уроки можно извлечь из попытки ограбить банк на 1 млрд $
data-management-19-fotolia.jpg

Это был важный для понимания урок по кибербезопасности - попытка грабежа центрального банка Бангладеш на $ 1 млрд в феврале 2016 года, говорит эксперт по киберугрозам.

Пять шагов которыми пользовались злоумышленники, в случае успеха, могли привести их к 951 млн долларов, сказал на конференции по безопасности связи Адриан Ниш (Adrian Nish), глава подразделения по киберугрозам BAE Systems.

5 шагов к успеху

Первый шаг состоялся в мае 2015 года, когда злоумышленники создали банковские счета на Филиппинах и в Шри-Ланке, чтобы облегчить денежные переводы.

Вторым шагом было проникновение в сеть центрального банка Бангладеш в 2015 году, для размещения ряда вредоносные программ для грабежа. "До 4 февраля 2016 они ждали наступления основного события ", сказал Ниш.

Они выбрали эту дату, поскольку 4 февраля это четверг - конец рабочей недели в Бангладеш, предполагая, что мошенничество за выходные не заметят.

Они держали в голове, что скоро выходные будут и в США, где центральный банк Бангладеш размещал свои резервы, а в понедельник на Филиппинах был банковский праздник. (Видимо выбор удачной даты был третим шагом злоумышленников - прим. ред.)

"Это означает, что у нападавших теоретически было окно в четыре дня, в котором они надеялись, что смогут завершить мошеннические банковские переводы, прежде чем кто-нибудь заметит," сказал Ниш.

Четвертым этапом они должны были отправить 35 запросов перевода средств со счета центрального банка Бангладеш в Нью-Йоркской Федеральной резервной системе.

И пятый этап включал взлом систем трансферов в центральном банке Бангладеш, для скрытия следов нападавших.

"Для этого злоумышленники создали вредоносные программы, которые были внедрены в сеть банка, они были очень похожи на счета, на которых не осталось денег," сказал Ниш.

«Их целью была система Swift Alliance Access, которой пользуются банки для подключения к глобальной системе финансовых сообщений, Swift, для отправки запросов на трансферы. Вредоносная программа была написана для манипуляций с системой путем изменения кода таким же образом, как и установка обновления программного обеспечения, "сказал он.

Злоумышленники имитировали поведение пользователей


64d6d84346347fdd97b360b6cf5061ab.jpg


Анализ вредоносных программ, используемых нападавшими показал, что они работали под учетной записью администратора, что означало, что они имели root-доступ к системам банка, и у них была возможность программировать на том же языке, что используется для создания приложения обмена сообщениями.

"Из различных SQL запросов, мы увидели, что нападавшие также могли мониторить системы банка для изучения схемы доступа и поведения законопослушных пользователей, таким образом они знали, как именно и когда посылать свои мошеннические запросы на переводы," сказал Ниш.

"Мы также увидели, что взломщики смогли отправить обновление в режиме реального времени от Swift системы на их сервер для управления и контроля, что показало нам, что связанная с важной информацией система с доступом к миллиардам долларов имела доступ к Интернету," сказал он.

Уроки безопасности

После того, как вредоносные программы были проанализированы, BAE Systems обнаружил целиком или частично другие примеры кода, используемого для других атак в других частях мира, как до, так и после грабежа центрального банка Бангладеш, в том числе нападения на Sony Pictures в ноябре 2014 г.

К счастью, орфографическая ошибка насторожила банковских работников, и все, кроме одного из запросов были заблокированы, а это означало, что злоумышленники забрали всего лишь $ 81m.

Тем не менее, Ниш выделил какие ключевые уроки можно вынести при анализе этой атаки для всех организаций, которые сталкиваются с кибер-вторжениями:

1. Ограничить аккаунты с правами администратора и постоянно следить за их использованием и потенциальным злоупотреблением.

2. Отключить внутренние сети от доступа к интернету, если это не является необходимостью.

3. Выполнять регулярное тестирование на проникновение с помощью инструментов которыми пользовались реальные злоумышленники, чтобы проверить устойчивость, и найти дыры.

4. Ожидать нападение на системы отчетности компании и использовать внеполосный доступ.

5. Подстраховать себя командой людей обученных для противостояния профессиональной подготовки противников.

6. Убедитесь, что организация имеет возможность обнаруживать и реагировать на нарушения быстро.

7. Баланс технической подготовки вместе с обучением и информированием о возможных угрозах всех вовлеченных в процесс отделов.

Перевод: Елена Грабарь

  • Facebook
  • Вконтакте