Многие годы кибер-преступники фокусируют свое внимание на деньгах, в первую очередь, направляя свои усилия на финансовые системы. Более десяти лет они были главным образом ориентированы на самое слабое звено в этой цепочке – конечного потребителя, который использует онлайновые банковские сервисы. Такой подход несет ряд преимуществ для злоумышленников: достаточно низкий уровень безопасности у конечного пользователя, кража незначительной суммы денег, которая определенное время может остаться незамеченной, и т.д. Впрочем, тут есть и свои минусы: необходимо найти (заразить) жертвы, которые используют один из требуемых банков, использовать инструменты, позволяющие обходить антивирусные программы и пр.

Другими словами, преступники могут делать большие деньги, но одновременно с этим с их стороны необходимо прикладывать значительные усилия.

А где есть большие деньги? В самих финансовых организациях. И здесь нет других вариантов. Однако, достаточно сложно туда проникнуть, и еще сложнее понять, как работают их конкретные внутренние системы, чтобы полностью скомпрометировать их, забрать деньги и уйти, не оставив и следа. Все это требует больших инвестиций, чтобы собрать всю необходимую для такого рода ограбления информацию. Причем такую атаку очень сложно провести, а для ее тщательного планирования могут потребоваться даже не месяцы, а годы. Но в любом случае это того стоит, чтобы одномоментно украсть миллиард долларов.

Но это как раз то, что произошло в феврале с Центральным банком Бангладеш, где хакеры заразили систему банка с помощью вредоносной программы, специальным образом разработанную для проведения данной атаки. В результате чего попытались провести мошеннические переводы в общей сложности на 951 миллион долларов США. Эти деньги лежали на счете Центрального банка Бангладеш в Федеральном резервном банке Нью-Йорка. К счастью, большинство этих операций было заблокировано, так что похищен был «всего» 81 миллион долларов. Но это не единственный случай.

Tien Phong Bank из Вьетнама столкнулся с подобной атакой в последнем квартале 2015 года. Тогда кибер-преступники также пытались сделать переводы через SWIFT, хотя банк вовремя сумел распознать что-то неладное и остановить завершение уже выполняющегося перевода на 1 миллион долларов США.

А в январе 2015 года банк Banco del Austro (Эквадор) попал в очень похожую ситуацию, и тогда было украдено порядка 9 миллионов долларов США.



Что общего в этих трех случаях? Для выполнения атаки использовалось вредоносное ПО, а все деньги переводились с использованием сети SWIFT. SWIFT (Society for Worldwide Interbank Financial Telecommunication). Безопасный перевод денежных средств между банками – это один из предлагаемых сервисов, который обрабатывается сетью SWIFT.

Самое большое беспокойство вызывает тот факт, если сеть SWIFT, которая считается безопасной, будет скомпрометирована. Если произойдет именно это, то вся финансовая система может оказаться под угрозой. Но, похоже, что в данных случаях этого не произошло, и SWIFT опубликовала пресс-релиз, в котором ясно говорится следующее: «сеть SWIFT, основные сервисы обмена сообщениями и программное обеспечение не были скомпрометированы».

Впрочем, это зависит от того, под каким углом на все это посмотреть: кибер-преступники успешно использовали сеть SWIFT для совершения таких краж. И они использовали тот же подход, который и был описан в начале данной статьи: нацелиться на самое слабое звено в цепи.
SWIFT обеспечивает безопасные условия, но в конце каждого дня каждая финансовая организация осуществляет коммуникации с сетью SWIFT из своей собственной внутренней системы. Точно так же, как злоумышленники нацеливались на конечного пользователя с помощью банковских троянов, теперь вместо того, чтобы поражать саму сеть SWIFT, они нападают на банки, которые к ней подключены. Следовательно, хоть мы и можем говорить о том, что сеть SWIFT в целом пока безопасна, однако мы также можем утверждать, что в ней потенциально существуют тысячи слабых мест по числу подключенных к ней финансовых организаций.

Как же были выполнены эти атаки?

Пока еще многие моменты остаются непонятными, а по некоторым из них уже никогда не будет установлена истина. Преступники сумели хорошо замести свои следы. На самом деле, основной целью одной из вредоносных программ, используемых при ограблении, было как раз скрыть все следы. Но одно мы знаем точно: использовалось специально разработанное вредоносное ПО. Как оно проникло в системы? У нас есть два варианта: помощь со стороны сотрудника банка или внешняя атака через Интернет. Оба варианта выглядят вполне правдоподобными, тем более после того, как мы узнали, что инфраструктура безопасности в Центральном банке Бангладеш была явно не самого высокого уровня.

Если заглянуть поглубже в инцидент с Бангладеш, то можно отметить очень сложный характер атаки на Центральный банк страны. При этом то, каким образом структурировано вредоносное ПО (с использованием внешнего конфигурационного файла, который не требуется, если данную атаку планируется осуществить только один раз), подсказывает нам, что мы еще столкнемся с новыми жертвами. Эти хакеры могут затем пойти в другие банки, которые имеют недостатки / слабые места в своих моделях безопасности, такие как отсутствие глубокого мониторинга за запуском программного обеспечения в их сетях. Та информация, которую мы имеем по другим атакам, пока что только подтверждает данную гипотезу.

В коммуникациях со своими пользователями SWIFT говорит всем банкам, что их приоритетной задачей должно быть внедрение и использование всех инструментов и мер по обнаружению и предотвращению атак, для обеспечения безопасности своего окружения.

Как это возможно обеспечить? Есть ли что-то такое, что позволит полностью предотвратить любые новые ограбления?
Преступники продолжат свои попытки, которые иногда могут быть успешными. В любом случае мы знаем, что им нужно (деньги) и на какие компьютеры они захотят направить свои усилия (те, что подключены к сети SWIFT). Доступ к сети SWIFT очень ограничен, и он может быть выполнен только с определенных компьютеров, и только определенным пользователям разрешен доступ к ним. Таким образом, эти компьютеры должны быть очень хорошо защищены, причем, не только своевременно обновляемым ПО и антивредоносным решением.

  • На таких компьютерах должны запускаться только те программы, которые предварительно были тщательно проверены и разрешены.
  • Все исполняемые процессы должны тщательно отслеживаться в режиме реального времени, при этом все, что происходит на них, должно записываться в логи, чтобы их анализ мог помочь в поисках аномального поведения. При этом не важно, выполнена ли атака через Интернет или с помощью инсайдера.
  • На таких терминалах не может быть разрешен запуск любого неавторизованного программного обеспечения, а те, что разрешены для запуска, должны быть защищены с помощью анти-эксплойтных технологий и контролируемы в реальном времени в том случае, если будет наблюдаться любое аномальное поведение.


Конечно, если какой-то человек имеет физический доступ к такому компьютеру, в какой-то момент он может отключить любое решение безопасности, но это не является проблемой как таковой, если Вы можете получить уведомление об этом в консоли, которая используется сотрудниками службы безопасности. Есть ли еще какой-либо лучший индикатор компрометации, чем человек, делающий манипуляции с программными решениями безопасности, установленными на критической системе?

Как избежать таких кибер-атак

Одна из наиболее расстраивающих вещей, с которыми сталкиваются жертвы, — это недостаток знания о том, как произошел инцидент. Как это случилось? Когда это все началось? Как долго это все продолжалось? Что хакеры сделали, пока компьютеры были скомпрометированы? Была ли утечка конфиденциальной информации? Как, например, в случае с Центральным банком Бангладеш, когда три части вредоносного ПО могли быть восстановлены после инцидента, но это только то, что там осталось. Хакеры могли использовать множество других инструментов, которые после выполнения атаки были удалены, и жертва НИЧЕГО о них не знает.

Существует всего несколько решений, которые способны предоставить такой уровень сервиса, и среди них Panda Adaptive Defense – решение, которое создано для подобного рода случаев. Среди наших клиентов уже есть крупные финансовые организации, правительства разных стран мира и крупные корпорации из различных секторов экономики (здравоохранение, сети гостиниц, страхование, коммунальные услуги и пр.).

Все эти организации сталкиваются не только с регулярными кибер-атаками, но также и с целенаправленными атаками на свои активы. В свое время мы лишь упомянули некоторые из них: сеть люксовых отелей, о которой мы писали несколько недель назад, и атаку на нефтяные танкеры.

После изучения таких атак мы считаем, что если бы пострадавшие банки имели подобное решение безопасности на своих терминалах, подключенных к SWIFT, то эти ограбления можно было бы вовремя остановить.
Поделиться с друзьями
-->

Комментарии (7)


  1. ilyaplot
    03.06.2016 15:16
    +12

    Всегда в таких постах хочется видеть больше технической информации и меньше рекламной. А пока читается как

    У одного человека украли %money%, потому что он недостаточно следил за %security%, а %another_product% не справился с задачей, но у тебя не украдут ничего, если ты купишь %product%.

    Мы хотим экшена, мы хотим знать, что центральный банк был взломан с помощью микроволновки с wi-fi или еще что-то. Наверняка, у вас полно таких историй в запасе :)


    1. seventh
      04.06.2016 23:51

      Скорее всего они не располагают большей информацией, налили воды наполовину очевидной, наполовину прочитанной где-то на эту тему только потому, что тут хоть как-то можно приплести свои продукты.


  1. Stas911
    03.06.2016 20:46

    А ломали прямо сам терминал, или какую-то систему, подключенную через шлюз?


    1. Frankenstine
      05.06.2016 11:06

      Насколько я понял отсюда, злоумышленник смог получить SWIFT-доступ одного из банковских работников (хотя вроде бы эта сеть не должна быть доступна из банковской сети), и воспользовавшись доступом отредактировал отклонённые или отменённые транзакции, поменяв назначение и сумму, и отослал их в обработку. При этом несмотря на большие суммы и то, что платежи были отправлены в необычное время (вне штатных часов работы), прошло больше недели прежде чем банк обнаружил, что у него украли деньги.


  1. Frankenstine
    05.06.2016 10:22
    +2

    После изучения таких атак мы считаем, что если бы пострадавшие банки имели подобное решение безопасности на своих терминалах, подключенных к SWIFT, то эти ограбления можно было бы вовремя остановить.

    А ваше это «решение безопасности» разрешено к применению на этих терминалах? :) Насколько я понял, терминал это программно-аппаратный комплекс, который производят всего несколько производителей и ставить туда левый софт запрещено. Не говоря уже о том, что даже если поставить ваш софт туда, всё равно этот софт не отличит нормальную транзакцию от подставной, если хакер просто взломал узел перед терминалом (а про взлом самих SWIFT терминалов вроде как никто и не говорил).


    1. PSecurity
      06.06.2016 11:02

      По поводу терминалов, подключенных к системе SWIFT. На самом деле, это одна из проблем, с которой SWIFT должна столкнуться. Насколько нам известно, они лишь дают определенные рекомендации по таким терминалам, подключенным к этой системе. Конечно, было бы намного лучше, если бы SWIFT выставлял крайне жесткие требования к ним или предоставлял их, чтобы можно было обеспечить максимально возможные меры безопасности. Например, как это делают Mastercard или Visa. Поэтому на таких терминалах может быть установлен Panda Adaptive Defense.

      Конечно, лучше, чтобы Panda Adaptive Defense (или другой аналогичный продукт, доступный на рынке) был установлен на всех машинах банка. Это помогло бы предотвратить различные инциденты на более ранних стадиях и более эффективно. В этом случае хакеры не смогли бы скомпрометировать те машины, которые стоят до терминала SWIFT.

      Кстати, в некоторых случаях вредоносные программы изменяют легитимный dll, используемый на самом терминале SWIFT, а это означает, что для полноценного проведения ограбления им требовалось запустить вредоносное ПО на самом терминале. Конечно, без другой скомпрометированной машины в банке это вряд ли удалось бы сделать, но и без запуска определенного зловреда на самом терминале им было не обойтись.
      Т.е. в идеале Panda Adaptive Defense должен стоять на всех машинах в банке (он может работать параллельно текущему корпоративному антивирусу), включая и сам терминал.


  1. Tiendil
    06.06.2016 09:52

    с использованием внешнего конфигурационного файла, который не требуется, если данную атаку планируется осуществить только один раз

    С чего это не требуется? Внешняя конфигурация даёт гибкость вредоносного кода, поведение которого можно изменять на лету.