Систему SWIFT ежедневно используют для осуществления переводов и расчетов на миллиарды долларов тысячи финансовых организаций по всему миру. В конце апреля 2016 года организация предупредила клиентов о растущем числе хакерских атак, в ходе которых злоумышленникам удавалось отправлять через систему зловредные сообщения.
Информационное агентство Reuters обсудило с экспертами возможные последствия подобных киберугроз, а мы представляем вашему вниманию основные моменты этой заметки.
Атака на ЦБ Бангладеш
Одно из самых громких киберпреступлений, связанных с серьезными хищениями денег, произошло в феврале этого года. Тогда хакеры сумели вывести из Центробанка Бангладеш $81 млн — четыре транша прошли через Федеральный резервный банк (ФРБ) Нью-Йорка на счета на Филиппинах и Шри-Ланке. Пятая попытка осуществления перевода была заблокирована заподозрившими неладное сотрудниками ФРБ.
По сообщениям СМИ, представители ЦБ Бангладеш считают, что часть ответствености за взлом несут ФРБ Нью-Йорка и сама система SWIFT, уязвимости в которой могли облегчить задачу киберпреступникам. Косвенно на то, что злоумышленники могли получить доступ к системе, говорит и тот факт, что траншы на переводы со счетов Центробанка Бангладеш были подтверждены в рамках системы SWIFT в соответствии со стандартными протоколами аутентификации.
В начале мая 2016 года представители SWIFT заявили о том, что уязвимости в системе не могли стать причиной кражи. Тем не менее, за пару недель до этого, клиенты системы получили оповещение, в котором говорилось об участившихся попытках кибератак на нее.
SWIFT обладает информацией о ряде недавних киберинцидентов, в ходе которых внешние взломщики или злонамеренные инсайдеры сумели отправлять SWIFT-сообщения, испольуя системы, компьютеры и рабочие станции финансовых организаций, подключенных к сети SWIFT с помощью локального интерфейса.
Кто еще в зоне риска
Предупреждение не содержало упоминаний имен жертв подобных кибератак и возможных финансовых потерь, к которым они могли привести. Одновременно с этим организация выпустила обновление безопасности для софта, который банки испольют для доступа к сети SWIFT — как считают некоторые ИБ-исследователи, именно уязвимость в этом программном обеспечении могла привести к краже денег ЦБ Бангладеш.
Такого мнения, к примеру, придерживаются сотрудники британской ИБ-компании BAE Systems, представители которых заявили Reuters, что хакеры могли манипулировать сервером доступа к системе сообщений SWIFT для заметания следов. Тем не менее, исследователи не смогли объяснить, как именно злоумышленникам удалось создать и отправить в систему поддельные сообщения.
Свет на возможный способ взлома частично проливает сообщение самой SWIFT. В нем говорится, что все зафиксированные кибератаки проходили по одному сценарию. Злоумышленникам удалось получить «валидные» данные доступа операторов, имеющих права на создание и одорбрение сообщений SWIFT. Затем поддельные сообщения отправлялись от имени этих сотрудников финансовых организаций.
По данным исследовательской компании FireEye, чье подразделение Mandiant было нанято для расследования атаки на ЦБ Бангладеш, та же группа хакеров возможно атаковала и другие финансовые организации.
К чему могут приводить атаки на финансовые организации
Взлом системы SWIFT может привести к беспрецедентным хищениям. В зоне риска не только банковские переводы, использующие SWIFT, но и подключенные к этой системе брокерские фирмы, инвестиционные фонды и биржи.
Кроме того, атаки на финансовые учреждения могут приводить не только к банальным кражам, но и открывают возможности по осуществлению различны манипуляций. К примеру, не так давно мы писали о банковском трояне Corkow, который атаковал системы одного из российских банков. В результате от его имени выставлялись нерыночные заявки на покупку валюты на Московской бирже — всего на сумму более $500 млн. В результате в течение 15 минут происходили резкие скачки курса рубля, а в конечном итоге банк потерял 244 млн рублей.
Перспективы
Независимый консультант по безопасности банковских систем Шейн Шук (Shane Shook), который расследует крупные финансовые преступления, полагает, что хакеры будут продолжать попытки взломать SWIFT и другие платформы обмена финансовыми данными. Главная причина, по мнению эксперта, заключается в том, что в ходе таких атак можно украсть сразу очень много денег — возможный куш куда выше, чем в случае атак на счета обычных граждан или небольших компаний.
С Шуком солидарен и директор фирмы Fidelis Cybersecurity Джастин Харви (Justin Harvey) — по мнению эксперта хакеры продолжат попытки устроить атаки, подобные краже из ЦБ Бангладеш.
Что делать
Эксперты FireEye настоятельно рекомендуют всем финансовым организациям, подключенным к SWIFT, обратить пристальное внимание на участившиеся попытки взлома и принять меры по усилению собственной защищенности — например, чаще проводить независимые аудиты безопасности.
Официальный представитель SWIFT Наташа Детеран (Natasha Deteran) солидарна с экспертами. По ее словам, несмотря на постоянные обновления системы SWIFT, «ключевой защитой против подобных атак является реализация соответствующих защитных мер на стороне организаций-пользователей».
Финансовые компании разрабатывают различные средства защиты и самостоятельно — прием они могут быть направлены не только на борьбу с последствиями взломов, но и обычных ошибок ИТ-систем. К примеру, ошибки в работе биржевых систем могут приводить в том числе и к некорректному отображению торговых данных или неверному расчету гарантийного обеспечения для удержания позиции (ошибка может привести даже к преждевременному закрытию сделки)
Для того, чтобы минимизировать возможный ущерб брокерские компании разрабатывают различные системы защиты клиентов. О том, как реализована подобная защита в торговой системе ITinvest MatriX можно прочитать по ссылке.
Поделиться с друзьями
nmk2002
Как раз недавно делал проект по строгой аутентификации для доступа к платформе SWIFT. Насколько я знаю, SWIFT начал требовать от сервис-бюро наличие двухфакторной аутентификации пользователей (пункт 7 в этом документе, полная версия с оглавлением). Однако, многие финансовые организации продолжают пользоваться простыми паролями по старинке.