Цифровым преступникам удалось взломать систему межбанковских платежей SWIFT, чтобы скрыть следы незаконных транзакций. В зоне риска находятся более 2 тыс. кредитных организаций по всему миру, хотя представители SWIFT уверяют, что стандартные меры безопасности сводят вероятность ущерба к минимуму.
Хищение из банка Бангладеш
Хакеры смогли взломать систему финансовых транзакций SWIFT, которая используется в качестве стандарта для межбанковского взаимодействия. Об этом сообщили представители британской компании BAE Systems, занимающейся разработками в области информационной безопасности и оборонной промышленности. К указанному выводу специалисты пришли в ходе расследования хищений из центрального банка Бангладеш.
Хакеры пытались вывести из банка южно-азиатской страны $951 млн. Большая часть транзакций была заблокирована, однако $81 млн все уже удалось вывести на счета игорных заведений на Филиппинах, после чего следы этих денег были потеряны.
Первоначально сообщалось, что злоумышленники использовали украденные логины и пароли банковских сотрудников, однако теперь выяснилось, что хакеры также взломали программное обеспечение SWIFT, чтобы стереть записи о незаконных сделках.
SWIFT по праву считают «кровеносной системой» глобально финансового рынка, которая представляет собой защищенную межбанковскую платформу для обмена информацией и платежами. К системе подключено более 11 тыс. финансовых организаций в более чем 200 странах мира. Компрометация программного обеспечения, используемого SWIFT, может привести к беспрецедентным хищениям в истории киберпреступности.
Заметая следы
Специалисты BAE сообщили некоторые технические детали атаки, которые помогут пресечь подобные прецеденты в будущем. В частности, мошенники использовали сервера с египетскими IP-адресами для мониторинга работы сотрудников банка с системой SWIFT. Для того чтобы скрыть следы незаконных транзакций, хакеры внедрили вредоносную программу evtdiag.exe, которая «подчищала» базу данных SWIFT в банке Бангладеш. При этом остается неизвестным, каким образы хакеры заказывали денежные переводы.
Адриан Ниш (Adrian Nish), руководитель отдела аналитики угроз в BAE, отметил, что вредоносное программное обеспечение было разработано незадолго до атаки и содержало подробную информацию об операциях атакуемого банка. Загрузка зловредного приложения осуществлялась с территории Бангладеш.
Используемое вредоносное ПО вносит изменения в клиентскую программу Alliance Software, благодаря чему злоумышленники могут модифицировать базу данных, стирая информацию о незаконных исходящих операциях и перехватывая входящие сообщения с подтверждением нелегальных транзакций. Кроме того, утилита меняет показания баланса счетов. Таким образом, мошенники скрывают свою деятельность и получают достаточно времени, чтобы вывести и «отмыть» украденные средства.
Очевидные проблемы банка
Несмотря на то, что утилита была разработана под конкретное учреждение, технология атаки может быть применена к любому банку. В зоне риска находятся учреждения, которые используют интерфейс Alliance Software, позволяющий подключаться к системе SWIFT. На данный момент это более 2 тыс. организаций. Представители SWIFT пообещали выпустить обновление для Alliance Software в ближайшее будущее, но в то же время заверили, что ключевой функционал SWIFT находится вне угрозы.
По словам представителя SWIFT Наташи Детеран (Natasha Deteran), несмотря на постоянные обновления ПО производителями, «ключевой защитой против подобных атак является реализация соответствующих защитных мер на стороне банковских организаций». Так, в банке Бангладеш, где были произведены хищения, отсутствовали даже самые элементарные системы защиты, включая фаейрволлы.
Как избежать угрозы: отечественная альтернатива
В России к системе SWIFT подключены более 600 банков. В 2014 г. В связи с конфликтом на Украине в западных странах была выдвинута инициатива по отключению отечественных банков от SWIFT, однако эта угроза так и не была реализована. Тем не менее, в декабре 2014 г. Банк России предоставил кредитным организациям альтернативный сервис по передаче финансовых данных по внутрироссийским операциям, который использует свободный формат сообщений ED 501.
Проще всего свои грешки и косяки свалить на Бога, на Чёрта, на инопланетян и на хакеров.
Я не удивлюсь, когда узнаю, что это сами же банкиры и проворовались. А чтобы отвести от себя удар, всё свалили на каких-то мифических хакеров, которых в природе - не существует.
Да если бы хакеры реально бы существовали, и обладали хотя бы половиной тех понтов, что им приписывают, то давным-давно бы умерла вся банковская система, взорвались бы все атомные станции и на Земле погас бы свет.
> Да если бы хакеры реально бы существовали, и обладали хотя бы половиной тех понтов, что им приписывают, то давным-давно бы умерла вся банковская система, взорвались бы все атомные станции и на Земле погас бы свет. quoted1
Хакеры -- ушлые ребята. Но всё-таки системы управления имеют хоть какие-то защиты, поэтому хакать их дело не простое.
Со СВИФТом вообще всё удивительно -- ведь к этой системе допущены только банки. Не исключаю, что хакеры как раз и работали в одном из них в службе информационной безопасности, возможно в том же банке Бангладеш. Они атаковали СВИФТ, а потом подтёрли все следы в логах серверов.
Нечто похожее имело место у нас на работе. Нам только что Сбер перевыпустил зарплатные карты. И в этот же день у сотрудницы украли деньги с карты, она даже не успела воспользоваться этой картой. Самое прикольное, сказали, что денежки ушли на несуществующий № телефоа в Билайне. Такое воровство невозможно без участия работников Сбера (они слили инфу о реквизитах карты) и Билайна (они временно перекинули № телефона сотрудницы на др. симку и перевели деньги на реальную карту в сбере, привязанную к реальной симке, от которой потом сразу же отвязали № телефона, поэтому он стал несуществующим и, скорее всего, они подтёрли логи в Билайне).