7 сентября, 2016, BIS Journal №3(22)/2016

Анатомия атаки на систему SWIFT


Щербаков Юрий

эксперт информационной безопасности

Получилось с ЦБ Бангладеш, может получиться и с другими...

В начале февраля 2016 года неизвестные злоумышленники проникли в информационную систему Центрального банка Бангладеш и попытались осуществить перевод почти миллиарда долларов США с его корреспондентского счета в Федеральном резервном банке Нью-Йорка в банки на Филиппинах, в Шри Ланке и других странах. Несмотря на то, что Центральный банк Бангладеш возвратил большую часть денежных средств, тем не менее 81 млн. долларов были похищены.
 
ПЛАНИРОВАЛИ ВЗЯТЬ МИЛЛИАРД
 
Информация о том, каким образом удалось совершить одно из крупнейших компьютерных преступлений, стала появляться в зарубежных СМИ с середины марта этого года. Информационное агентство Reuters сообщило о том, что злоумышленники, по всей вероятности, воспользовались уязвимостью клиентского программного обеспечения межбанковской электронной системы передачи информации и совершения платежей SWIFT, пользователями которой являются более 10500 различных банковских организаций и других финансовых институтов из 200 стран мира.

В общей сложности из Центрального банка Бангладеш в Нью-Йорк было направлено 35 мошеннических платежных поручений на общую сумму 951 млн. долларов. Первые четыре транзакции по переводу денежных средств на Филиппины на общую сумму 81 млн. долларов были успешно осуществлены. Как сообщает информационное агентство Bloomberg, указанная сумма была перечислена на счета филиппинской Rizal Commercial Banking Corp., а затем переведена на счета нескольких местных казино и сразу же выведена из страны.
 
ПОДВЕЛО ЗНАНИЕ ОРФОГРАФИИ
 
По информации издания The Guardian, пятая транзакция по переводу денежных средств на сумму 20 млн. долларов в Шри-Ланку была приостановлена из-за того, что злоумышленники сделали орфографическую ошибку в названии ланкийской некоммерческой организации Shalika Foundation: вместо слова Foundation они набрали Fandation. Неправильное написание слова заметили эксперты Deutsche Bank, в который обратилась ланкийская Pan Asia Banking Corp. c целью проверки транзакции по переводу в Шри-Ланку необычно большой суммы денежных средств. «Транзакция была слишком крупной для такой страны, как наша», - цитирует The Guardian сотрудника Pan Asia Banking Corp. Из Deutsche Bank сообщили, что данная транзакция вызывает подозрение, и обратились за разъяснениями в Центральный банк Бангладеш, который приостановил все дальнейшие транзакции по переводу денежных средств, инициированные злоумышленниками, после чего вернул 20 млн. долларов, уже переведенных в Шри-Ланку.
 
А БЫЛ ЛИ ИНСАЙДЕР?
 
Согласно сообщению Wall Street Journal, у ФБР имеются доказательства того, что, по крайней мере, один из сотрудников Центрального банка Бангладеш был соучастником преступления. Официальные лица Бангладеш предполагают, что часть вины может также лежать на сотрудниках Федерального резервного банка Нью-Йорка, через который осуществлялись мошеннические транзакции.

Указанный инцидент в Центральном банке Бангладеш продемонстрировал удивительно высокий уровень понимания злоумышленниками принципов и особенностей функционирования внутренней структуры банка. Они смогли незаметно проникнуть в информационную систему банка, получить и использовать подлинные коды, необходимые для авторизации транзакций.

Детальная техническая информация о том, каким образом злоумышленникам удалось произвести хищение денежных средств со счета Центрального банка Бангладеш, на момент подготовки данного материала не была обнародована.
 
ВРЕДОНОСНОЕ ПО

Для проведения расследования Центральный банк Бангладеш обратился к американским компаниям FireEye Inc. и World Informatix. Кроме того, для выяснения конкретных деталей инцидента были привлечены эксперты британской корпорации BAE Systems. Им удалось идентифицировать вредоносное программное обеспечение, которым, по всей вероятности, пользовались злоумышленники при проведении атаки. По мнению экспертов, в результате работы указанного ПО была осуществлена «модификация» клиентского программного обеспечения SWIFT Alliance Access в информационной системе Центрального банка Бангладеш, которое используется для взаимодействия с базой данных Oracle, содержащей информацию о транзакциях.

Вредоносное ПО, которым воспользовались злоумышленники, являлось только частью более обширного программного арсенала, который применялся ими для направления мошеннических платежных поручений и сокрытия следов своих действий, что и помешало банку-жертве своевременно обнаружить атаку и предпринять необходимые меры.
 
ВОССТАНОВЛЕН ПЛАН АТАКИ
 
Как полагают эксперты BAE Systems, атака против Центрального банка Бангладеш развивалась следующим образом. Вначале злоумышленники получили доступ к серверу с программным обеспечением SWIFT Alliance Access и установили на нем вредоносное ПО. После запуска указанное ПО производит расшифрование своего конфигурационного файла, содержащего список ключевых слов, необходимых для поиска и извлечения необходимой информации из сообщений SWIFT. Вредоносное ПО способно считывать в сообщениях поля, содержащие информацию о транзакциях в системе SWIFT, и  взаимодействовать с базой данных. Полученные данные были использованы вредоносной программой для удаления записей о конкретных транзакциях или для внесения в них изменений. В результате злоумышленники имели возможность генерировать и направлять мошеннические платежные поручения, составленные на основе полученных данных.

Кроме того, указанное вредоносное ПО способно производить «модификацию» одного из модулей, входящих в состав программного пакета SWIFT Alliance Access. В результате работы указанного ПО происходит замена двух байтов в оперативной памяти, соответствующих команде условного перехода, на два байта, содержащие команду, не производящую никаких действий. Существенным моментом является то, что указанные байты следуют после проведения некоторой важной процедуры проверки, например, валидности ключа или результата авторизации. Проведенная вредоносным ПО замена байтов приводит к тому, что работа прикладной программы всегда будет завершаться с результатом, соответствующим успешному прохождению проверки, который подменяет истинный результат.

Однако для сокрытия мошеннических транзакций, осуществленных злоумышленниками, манипуляций с базой данных или с сообщениями SWIFT недостаточно. Система SWIFT вырабатывает также подтверждающие сообщения, которые направляются на принтер. В случае распечатки подтверждений мошеннических транзакций сотрудники банка могли бы заметить аномальную активность и соответственно среагировать, чтобы не допустить проведения подозрительных транзакций. Примененное злоумышленниками вредоносное ПО обладает способностью производить перехват подтверждающих сообщений SWIFT, изменять их и направлять на печать уже «модифицированные» версии этих сообщений, позволяющие скрыть совершение мошеннических транзакций.
 
SWIFT ПОД ПРИЦЕЛОМ
 
После этого инцидента для клиентов, работающих с программным обеспечением SWIFT Alliance Access, было выпущено специальное программное обновление. Представитель SWIFT Наташа Детеран (Natasha Deteran) в интервью СМИ сообщила: «Мы обязываем наших клиентов установить указанное обновление. Это должно помочь им выявлять инциденты, при которых злоумышленники пытаются уничтожить свои «следы», независимо то того, как это происходит - в автоматизированном режиме с помощью вредоносного ПО или вручную».

Как полагают эксперты, указанный инцидент в Центральном банке Бангладеш не является единичным случаем. Как стало известно Reuters в середине мая 2016 г., аналогичная атака с использованием вредоносного ПО была проведена также против вьетнамского банка Tien Phong Bank (TPBank). В своем ответе на запрос Reuters TPBank сообщил, что в конце прошлого года была предпринята попытка осуществить подозрительные транзакции через систему SWIFT на общую сумму более 1 млн. евро (1,13 млн. долларов США). Указанные транзакции были приостановлена самим банком.
 
Вредоносное ПО, о котором рассказано в этом материале, было создано, по предварительной оценке экспертов, для использования в компьютерной инфраструктуре Центрального банка Бангладеш. Тем не менее, использованные в ходе атаки программные средства, технологии и процедуры могут предоставить злоумышленникам возможность проводить аналогичные атаки против банковских систем и в других странах. Финансовым организациям, использующим в работе программный пакет SWIFT Alliance Access или аналогичный ему, следует провести проверку своих компьютерных систем с тем, чтобы убедиться, что они обладают достаточным уровнем защиты от подобных атак.

 

Смотрите также

Подпишись на новости!
Подписаться