Ряд кибератак использовали взлом протокола BGP для компрометации DNS-запросов к серверам американских финансовых организаций. Хакеры смогли перенаправить трафик процессинговых компаний на фишинговые ресурсы с целью перехвата банковских транзакций.
По мнению ИБ-экспертов, организаторы нападения находятся на территории Восточной Украины.
Первая попытка захвата финансового трафика была обнаружена 6 июля. Незадолго до полуночи индонезийский оператор связи Digital Wireless начал перенаправлять часть пакетов, адресованных серверам компаний Vantiv и Datawire, на сторонние сайты. Атака длилась около 30 минут, но затронула лишь небольшое количество запросов. Следующее нападение киберпреступники предприняли 10 июля. Мошенники расширили адресное пространство скомпрометированных префиксов и увеличили поверхность атаки с 3 до 48 пиров. В течение двух следующих дней злоумышленники продолжили попытки захвата трафика финансовых операторов, добавив в список целей процессинговую компанию Mercury Payment Systems. Периоды времени, на которые подменялись DNS-запросы, возрастали с каждым новым нападением и к 12 июля достигали трех часов.
Помимо индонезийского оператора, об аналогичных попытках перехвата заявил провайдер Extreme Broadband, расположенного на территории Малайзии. Фальшивые DNS-запросы вели на сайты, размещенные в Луганске. В двух случаях исследователям удалось проследить трафик до карибского острова Кюрасао, обладающего статусом автономии в составе Королевства Нидерландов.
Компании Vantiv и Mercury Payment ассоциированы с финансовой корпорацией WorldPay, которая обслуживает 31 млн платежных операций ежедневно. Datawire принадлежит американскому процессинговому сервису FirstData и занимается обслуживанием транзакций по кредитным картам.
Специалисты предполагают, что за новыми атаками стоят мошенники, причастные к апрельскому инциденту со взломом DNS-сервера облачного сервиса Route 53, принадлежащего Amazon. Тогда при помощи компрометации BGP злоумышленникам удалось похитить около $160 тыс. из Etherium-кошелька MyEtherWallet. Как и в случае с июльской кампанией, вывод средств осуществлялся через расположенный в Луганске транзитный сервер.
Киберпреступники не впервые пытаются похитить деньги при помощи подмены DNS. В январе неизвестные злоумышленники вывели около $400 тысяч в криптовалюте Lumen (XLM) из кошельков сервиса BlackWallet. Мошенники перенаправляли клиентов компании на подложный сайт и похищали все средства из аккаунтов, на которых хранилось более 20 монет.
.jpg)
.jpg)