Это был важный для понимания урок по кибербезопасности - попытка грабежа центрального банка Бангладеш на $ 1 млрд в феврале 2016 года, говорит эксперт по киберугрозам.
Пять шагов которыми пользовались злоумышленники, в случае успеха, могли привести их к 951 млн долларов, сказал на конференции по безопасности связи Адриан Ниш (Adrian Nish), глава подразделения по киберугрозам BAE Systems.
Первый шаг состоялся в мае 2015 года, когда злоумышленники создали банковские счета на Филиппинах и в Шри-Ланке, чтобы облегчить денежные переводы.
Вторым шагом было проникновение в сеть центрального банка Бангладеш в 2015 году, для размещения ряда вредоносные программ для грабежа. "До 4 февраля 2016 они ждали наступления основного события ", сказал Ниш.
Они выбрали эту дату, поскольку 4 февраля это четверг - конец рабочей недели в Бангладеш, предполагая, что мошенничество за выходные не заметят.
Они держали в голове, что скоро выходные будут и в США, где центральный банк Бангладеш размещал свои резервы, а в понедельник на Филиппинах был банковский праздник. (Видимо выбор удачной даты был третим шагом злоумышленников - прим. ред.)
"Это означает, что у нападавших теоретически было окно в четыре дня, в котором они надеялись, что смогут завершить мошеннические банковские переводы, прежде чем кто-нибудь заметит," сказал Ниш.
Четвертым этапом они должны были отправить 35 запросов перевода средств со счета центрального банка Бангладеш в Нью-Йоркской Федеральной резервной системе.
И пятый этап включал взлом систем трансферов в центральном банке Бангладеш, для скрытия следов нападавших.
"Для этого злоумышленники создали вредоносные программы, которые были внедрены в сеть банка, они были очень похожи на счета, на которых не осталось денег," сказал Ниш.
«Их целью была система Swift Alliance Access, которой пользуются банки для подключения к глобальной системе финансовых сообщений, Swift, для отправки запросов на трансферы. Вредоносная программа была написана для манипуляций с системой путем изменения кода таким же образом, как и установка обновления программного обеспечения, "сказал он.
Анализ вредоносных программ, используемых нападавшими показал, что они работали под учетной записью администратора, что означало, что они имели root-доступ к системам банка, и у них была возможность программировать на том же языке, что используется для создания приложения обмена сообщениями.
"Из различных SQL запросов, мы увидели, что нападавшие также могли мониторить системы банка для изучения схемы доступа и поведения законопослушных пользователей, таким образом они знали, как именно и когда посылать свои мошеннические запросы на переводы," сказал Ниш.
"Мы также увидели, что взломщики смогли отправить обновление в режиме реального времени от Swift системы на их сервер для управления и контроля, что показало нам, что связанная с важной информацией система с доступом к миллиардам долларов имела доступ к Интернету," сказал он.
После того, как вредоносные программы были проанализированы, BAE Systems обнаружил целиком или частично другие примеры кода, используемого для других атак в других частях мира, как до, так и после грабежа центрального банка Бангладеш, в том числе нападения на Sony Pictures в ноябре 2014 г.
К счастью, орфографическая ошибка насторожила банковских работников, и все, кроме одного из запросов были заблокированы, а это означало, что злоумышленники забрали всего лишь $ 81m.
Тем не менее, Ниш выделил какие ключевые уроки можно вынести при анализе этой атаки для всех организаций, которые сталкиваются с кибер-вторжениями:
1. Ограничить аккаунты с правами администратора и постоянно следить за их использованием и потенциальным злоупотреблением.
