Многие годы кибер-преступники фокусируют свое внимание на деньгах, в первую очередь, направляя свои усилия на финансовые системы. Более десяти лет они были главным образом ориентированы на самое слабое звено в этой цепочке – конечного потребителя, который использует онлайновые банковские сервисы. Такой подход несет ряд преимуществ для злоумышленников: достаточно низкий уровень безопасности у конечного пользователя, кража незначительной суммы денег, которая определенное время может остаться незамеченной, и т.д. Впрочем, тут есть и свои минусы: необходимо найти (заразить) жертвы, которые используют один из требуемых банков, использовать инструменты, позволяющие обходить антивирусные программы и пр.
Другими словами, преступники могут делать большие деньги, но одновременно с этим с их стороны необходимо прикладывать значительные усилия.
А где есть большие деньги? В самих финансовых организациях. И здесь нет других вариантов. Однако, достаточно сложно туда проникнуть, и еще сложнее понять, как работают их конкретные внутренние системы, чтобы полностью скомпрометировать их, забрать деньги и уйти, не оставив и следа. Все это требует больших инвестиций, чтобы собрать всю необходимую для такого рода ограбления информацию. Причем такую атаку очень сложно провести, а для ее тщательного планирования могут потребоваться даже не месяцы, а годы. Но в любом случае это того стоит, чтобы одномоментно украсть миллиард долларов.
Но это как раз то, что произошло в феврале с Центральным банком Бангладеш, где хакеры заразили систему банка с помощью вредоносной программы, специальным образом разработанную для проведения данной атаки. В результате чего попытались провести мошеннические переводы в общей сложности на 951 миллион долларов США. Эти деньги лежали на счете Центрального банка Бангладеш в Федеральном резервном банке Нью-Йорка. К счастью, большинство этих операций было заблокировано, так что похищен был «всего» 81 миллион долларов. Но это не единственный случай.
Tien Phong Bank из Вьетнама столкнулся с подобной атакой в последнем квартале 2015 года. Тогда кибер-преступники также пытались сделать переводы через SWIFT, хотя банк вовремя сумел распознать что-то неладное и остановить завершение уже выполняющегося перевода на 1 миллион долларов США.
А в январе 2015 года банк Banco del Austro (Эквадор) попал в очень похожую ситуацию, и тогда было украдено порядка 9 миллионов долларов США.
Что общего в этих трех случаях? Для выполнения атаки использовалось вредоносное ПО, а все деньги переводились с использованием сети SWIFT. SWIFT (Society for Worldwide Interbank Financial Telecommunication). Безопасный перевод денежных средств между банками – это один из предлагаемых сервисов, который обрабатывается сетью SWIFT.
Самое большое беспокойство вызывает тот факт, если сеть SWIFT, которая считается безопасной, будет скомпрометирована. Если произойдет именно это, то вся финансовая система может оказаться под угрозой. Но, похоже, что в данных случаях этого не произошло, и SWIFT опубликовала пресс-релиз, в котором ясно говорится следующее: «сеть SWIFT, основные сервисы обмена сообщениями и программное обеспечение не были скомпрометированы».
Впрочем, это зависит от того, под каким углом на все это посмотреть: кибер-преступники успешно использовали сеть SWIFT для совершения таких краж. И они использовали тот же подход, который и был описан в начале данной статьи: нацелиться на самое слабое звено в цепи.
SWIFT обеспечивает безопасные условия, но в конце каждого дня каждая финансовая организация осуществляет коммуникации с сетью SWIFT из своей собственной внутренней системы. Точно так же, как злоумышленники нацеливались на конечного пользователя с помощью банковских троянов, теперь вместо того, чтобы поражать саму сеть SWIFT, они нападают на банки, которые к ней подключены. Следовательно, хоть мы и можем говорить о том, что сеть SWIFT в целом пока безопасна, однако мы также можем утверждать, что в ней потенциально существуют тысячи слабых мест по числу подключенных к ней финансовых организаций.
Как же были выполнены эти атаки?
Пока еще многие моменты остаются непонятными, а по некоторым из них уже никогда не будет установлена истина. Преступники сумели хорошо замести свои следы. На самом деле, основной целью одной из вредоносных программ, используемых при ограблении, было как раз скрыть все следы. Но одно мы знаем точно: использовалось специально разработанное вредоносное ПО. Как оно проникло в системы? У нас есть два варианта: помощь со стороны сотрудника банка или внешняя атака через Интернет. Оба варианта выглядят вполне правдоподобными, тем более после того, как мы узнали, что инфраструктура безопасности в Центральном банке Бангладеш была явно не самого высокого уровня.
Если заглянуть поглубже в инцидент с Бангладеш, то можно отметить очень сложный характер атаки на Центральный банк страны. При этом то, каким образом структурировано вредоносное ПО (с использованием внешнего конфигурационного файла, который не требуется, если данную атаку планируется осуществить только один раз), подсказывает нам, что мы еще столкнемся с новыми жертвами. Эти хакеры могут затем пойти в другие банки, которые имеют недостатки / слабые места в своих моделях безопасности, такие как отсутствие глубокого мониторинга за запуском программного обеспечения в их сетях. Та информация, которую мы имеем по другим атакам, пока что только подтверждает данную гипотезу.
В коммуникациях со своими пользователями SWIFT говорит всем банкам, что их приоритетной задачей должно быть внедрение и использование всех инструментов и мер по обнаружению и предотвращению атак, для обеспечения безопасности своего окружения.
Как это возможно обеспечить? Есть ли что-то такое, что позволит полностью предотвратить любые новые ограбления?
Преступники продолжат свои попытки, которые иногда могут быть успешными. В любом случае мы знаем, что им нужно (деньги) и на какие компьютеры они захотят направить свои усилия (те, что подключены к сети SWIFT). Доступ к сети SWIFT очень ограничен, и он может быть выполнен только с определенных компьютеров, и только определенным пользователям разрешен доступ к ним. Таким образом, эти компьютеры должны быть очень хорошо защищены, причем, не только своевременно обновляемым ПО и антивредоносным решением.
- На таких компьютерах должны запускаться только те программы, которые предварительно были тщательно проверены и разрешены.
- Все исполняемые процессы должны тщательно отслеживаться в режиме реального времени, при этом все, что происходит на них, должно записываться в логи, чтобы их анализ мог помочь в поисках аномального поведения. При этом не важно, выполнена ли атака через Интернет или с помощью инсайдера.
- На таких терминалах не может быть разрешен запуск любого неавторизованного программного обеспечения, а те, что разрешены для запуска, должны быть защищены с помощью анти-эксплойтных технологий и контролируемы в реальном времени в том случае, если будет наблюдаться любое аномальное поведение.
Конечно, если какой-то человек имеет физический доступ к такому компьютеру, в какой-то момент он может отключить любое решение безопасности, но это не является проблемой как таковой, если Вы можете получить уведомление об этом в консоли, которая используется сотрудниками службы безопасности. Есть ли еще какой-либо лучший индикатор компрометации, чем человек, делающий манипуляции с программными решениями безопасности, установленными на критической системе?
Как избежать таких кибер-атак
Одна из наиболее расстраивающих вещей, с которыми сталкиваются жертвы, — это недостаток знания о том, как произошел инцидент. Как это случилось? Когда это все началось? Как долго это все продолжалось? Что хакеры сделали, пока компьютеры были скомпрометированы? Была ли утечка конфиденциальной информации? Как, например, в случае с Центральным банком Бангладеш, когда три части вредоносного ПО могли быть восстановлены после инцидента, но это только то, что там осталось. Хакеры могли использовать множество других инструментов, которые после выполнения атаки были удалены, и жертва НИЧЕГО о них не знает.
Существует всего несколько решений, которые способны предоставить такой уровень сервиса, и среди них Panda Adaptive Defense – решение, которое создано для подобного рода случаев. Среди наших клиентов уже есть крупные финансовые организации, правительства разных стран мира и крупные корпорации из различных секторов экономики (здравоохранение, сети гостиниц, страхование, коммунальные услуги и пр.).
Все эти организации сталкиваются не только с регулярными кибер-атаками, но также и с целенаправленными атаками на свои активы. В свое время мы лишь упомянули некоторые из них: сеть люксовых отелей, о которой мы писали несколько недель назад, и атаку на нефтяные танкеры.
После изучения таких атак мы считаем, что если бы пострадавшие банки имели подобное решение безопасности на своих терминалах, подключенных к SWIFT, то эти ограбления можно было бы вовремя остановить.
Автор: Panda Security в России