Хакеры взломали SWIFT «на бис»

Безопасность Администратору Стратегия безопасности ИТ в банках
мобильная версия
, Текст: Сергей Попсулин

Представители системы SWIFT, которой пользуются свыше 11 тыс. банков и финансовых организаций в мире, сообщили о новом взломе и уже втором по счету с начала 2016 г. В первый раз из Центрального банка Бангладеш было похищено $81 млн. На этот раз атака была совершена на коммерческий банк. О краже средств не сообщается.


Второй взлом с начала года

На систему финансовых транзакций SWIFT совершена вторая хакерская с начала 2016 г. Первая атака была совершена в феврале 2016 г. В результате из Центрального банка Бангладеш было похищено около $81 млн.

Целью новой атаки был не государственный, а коммерческий банк, сообщила агентству Reuters представитель бельгийской SWIFT Наташа де Теран (Natasha de Teran). Название банка она не сообщила. Неизвестно, были ли в результате второй атаки похищены деньги, и если да — то какая сумма.

Глубокое понимание системы SWIFT

По словам представителей SWIFT, в ходе второй атаки хакеры продемонстрировали «глубокое и разностороннее понимание специфики управления операциями» в целевом банке и не исключено, что прибегли к помощи «внутреннего злоумышленника или кибератаки, или того и другого вместе».

Злоумышленники смогли преодолеть периметр безопасности банковской системы, заполучить аутентификационную информацию пользователя и отправить поддельные команды SWIFT на перевод денежных средств. Все происходило так же, как и в феврале 2016 г.

Звенья одной цепи

Эксперты по информационной безопасности, принимающие участие в расследовании нового инцидента, считают, что - с учетом новых обстоятельств - случай с Центральным банком Бангладеш был не единичным, а «одним из векторов более широкой кампании, нацеленной на банковскую сферу». 


SWIFT взломали второй раз с начала года

Но второй случай имеет небольшое отличие от первого. На этот раз злоумышленники воспользовались трояном, с помощью которого подделывали PDF-отчеты о переводе денежных средств. Таким образом они заметали следы. 

Глобальная система

SWIFT считают «кровеносной системой» глобально финансового рынка, которая представляет собой защищенную межбанковскую платформу для обмена информацией. К системе подключено около 11 тыс. банков и финансовых организаций в более чем 200 странах (включая около 600 в России). Компрометация программного обеспечения, используемого SWIFT, может привести к беспрецедентным хищениям в истории киберпреступности.

Первый взлом

Как стало известно, в феврале 2016 г. хакеры пытались похитить из Центрального банка Бангладеш $951 млн ($81 млн - это лишь то, что им удалось «унести»). Для слежения за сотрудниками банка, использующими систему SWIFT, злоумышленники пользовались египетскими IP-адресами. Незадолго до операции они разработали программное обеспечение для взлома системы, которое содержало подробную информацию об операциях атакуемого банка. Загрузка вредоносного софта осуществлялась с территории Бангладеш.

Используемое вредоносное ПО вносило изменения в клиентскую программу Alliance Software. После этого злоумышленники получали возможность модификации базы данных: стирать информацию о незаконных исходящих операциях и перехватывать входящие сообщения с подтверждением нелегальных транзакций. Кроме того, утилита позволяла менять показания баланса счетов. Таким образом, мошенники скрыли свою деятельность и получили достаточно времени, чтобы вывести и «отмыть» украденные средства.