Хакеры взломали SWIFT. Украдены десятки миллионов долларов

Безопасность Бизнес ИТ в банках
мобильная версия
, Текст: Павел Лебедев

Цифровым преступникам удалось взломать систему межбанковских платежей SWIFT, чтобы скрыть следы незаконных транзакций. В зоне риска находятся более 2 тыс. кредитных организаций по всему миру, хотя представители SWIFT уверяют, что стандартные меры безопасности сводят вероятность ущерба к минимуму.


Хищение из банка Бангладеш

Хакеры смогли взломать систему финансовых транзакций SWIFT, которая используется в качестве стандарта для межбанковского взаимодействия. Об этом сообщили представители британской компании BAE Systems, занимающейся разработками в области информационной безопасности и оборонной промышленности. К указанному выводу специалисты пришли в ходе расследования хищений из центрального банка Бангладеш.

Хакеры пытались вывести из банка южно-азиатской страны $951 млн. Большая часть транзакций была заблокирована, однако $81 млн все уже удалось вывести на счета игорных заведений на Филиппинах, после чего следы этих денег были потеряны.

Первоначально сообщалось, что злоумышленники использовали украденные логины и пароли банковских сотрудников, однако теперь выяснилось, что хакеры также взломали программное обеспечение SWIFT, чтобы стереть записи о незаконных сделках.

SWIFT по праву считают «кровеносной системой» глобально финансового рынка, которая представляет собой защищенную межбанковскую платформу для обмена информацией и платежами. К системе подключено более 11 тыс. финансовых организаций в более чем 200 странах мира. Компрометация программного обеспечения, используемого SWIFT, может привести к беспрецедентным хищениям в истории киберпреступности.

Заметая следы

Специалисты BAE сообщили некоторые технические детали атаки, которые помогут пресечь подобные прецеденты в будущем. В частности, мошенники использовали сервера с египетскими IP-адресами для мониторинга работы сотрудников банка с системой SWIFT. Для того чтобы скрыть следы незаконных транзакций, хакеры внедрили вредоносную программу evtdiag.exe, которая «подчищала» базу данных SWIFT в банке Бангладеш. При этом остается неизвестным, каким образы хакеры заказывали денежные переводы.


Хакеры смогли взломать систему финансовых транзакций SWIFT

Адриан Ниш (Adrian Nish), руководитель отдела аналитики угроз в BAE, отметил, что вредоносное программное обеспечение было разработано незадолго до атаки и содержало подробную информацию об операциях атакуемого банка. Загрузка зловредного приложения осуществлялась с территории Бангладеш.

Используемое вредоносное ПО вносит изменения в клиентскую программу Alliance Software, благодаря чему злоумышленники могут модифицировать базу данных, стирая информацию о незаконных исходящих операциях и перехватывая входящие сообщения с подтверждением нелегальных транзакций. Кроме того, утилита меняет показания баланса счетов. Таким образом, мошенники скрывают свою деятельность и получают достаточно времени, чтобы вывести и «отмыть» украденные средства.

Очевидные проблемы банка

Несмотря на то, что утилита была разработана под конкретное учреждение, технология атаки может быть применена к любому банку. В зоне риска находятся учреждения, которые используют интерфейс Alliance Software, позволяющий подключаться к системе SWIFT. На данный момент это более 2 тыс. организаций. Представители SWIFT пообещали выпустить обновление для Alliance Software в ближайшее будущее, но в то же время заверили, что ключевой функционал SWIFT находится вне угрозы.

По словам представителя SWIFT Наташи Детеран (Natasha Deteran), несмотря на постоянные обновления ПО производителями, «ключевой защитой против подобных атак является реализация соответствующих защитных мер на стороне банковских организаций». Так, в банке Бангладеш, где были произведены хищения, отсутствовали даже самые элементарные системы защиты, включая фаейрволлы.

Как избежать угрозы: отечественная альтернатива

В России к системе SWIFT подключены более 600 банков. В 2014 г. В связи с конфликтом на Украине в западных странах была выдвинута инициатива по отключению отечественных банков от SWIFT, однако эта угроза так и не была реализована. Тем не менее, в декабре 2014 г. Банк России предоставил кредитным организациям альтернативный сервис по передаче финансовых данных по внутрироссийским операциям, который использует свободный формат сообщений ED 501.