Osoby atakujące Bangladesz Bank używały niestandardowego złośliwego oprogramowania, które porwało oprogramowanie SWIFT

Hakerzy, którzy ukradli 81 milionów dolarów z banku centralnego Bangladeszu, prawdopodobnie wykorzystali niestandardowe złośliwe oprogramowanie zaprojektowane w celu ingerowania w oprogramowanie transakcyjne SWIFT używane przez wiele instytucji finansowych.

Osoby atakujące próbował przelać 951 milionów dolarów z konta banku Bangladeszu w Banku Rezerw Federalnych w Nowym Jorku w lutym, ale większość transferów została zablokowana przed zakończeniem. Napastnicy zdołali wysłać 81 milionów dolarów na konta na Filipinach, a tych pieniędzy wciąż brakuje.

Badacze z BAE Systems natknęli się ostatnio na kilka szkodliwych składników, które według nich są częścią niestandardowego zestawu narzędzi do ataku, który prawdopodobnie był używany w Podsumowanie.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Próbki zostały przesłane do repozytoriów internetowych złośliwego oprogramowania przez kogoś w Bangladeszu i są przeznaczone do monitorowania, usuwania i modyfikowania rekordów transakcji w używanej bazie danych przez oprogramowanie klienta SWIFT

SWIFT z siedzibą w Brukseli lub Towarzystwo Światowej Międzybankowej Telekomunikacji Finansowej to spółdzielnia należąca do tysięcy instytucji finansowych prowadzących największą na świecie sieć bezpiecznych wiadomości finansowych.

Jeden ze szkodliwych programów komponenty pomijają sprawdzanie poprawności w bibliotece, która jest częścią pakietu oprogramowania SWIFT Alliance, który przechowuje rekordy transakcji w bazie danych Oracle, naukowcy BAE powiedzieli w blog post poniedziałek.

Rogue program następnie monitoruje komunikaty aplikacji finansowych SWIFT dla łańcuchów zdefiniowanych w zaszyfrowanym pliku konfiguracyjnym. Po wykryciu pasującego rejestru identyfikuje odpowiedni wpis bazy danych i usuwa go.

Szkodnik monitoruje również zdarzenia logowania i wylogowania w aplikacji i powiadamia serwery kontroli i polecenia, gdy zostaną wykryte.

Na koniec, program może manipulować komunikatami potwierdzającymi SWIFT, które są automatycznie drukowane na papierze przez systemy banku. Zmiana zapisów w bazie danych nie wystarczy, by ukryć nieuczciwe transakcje, ponieważ te wydrukowane komunikaty potwierdzające mogłyby odstraszyć, powiedzieli naukowcy BAE.

Istnieje wciąż wiele niewiadomych dotyczących dobrze zaplanowanego napadu na Bangladesz Bank, takiego jak kto za tym stoi, jak dotarli do sieci banku i w jaki sposób zainicjowali fałszywe przelewy. Jednakże istnienie tego niestandardowego zestawu narzędzi do wykrywania złośliwego oprogramowania powinno stanowić ostrzeżenie dla innych instytucji finansowych.

"To złośliwe oprogramowanie zostało napisane specjalnie dla atakowania konkretnej infrastruktury ofiary, ale ogólne narzędzia, techniki i procedury użyte w ataku mogą pozwolić na Gang znów uderzył - powiedzieli badacze BAE. "Wszystkie instytucje finansowe, które korzystają z SWIFT Alliance Access i podobnych systemów, powinny poważnie przeglądać swoje zabezpieczenia, aby upewnić się, że również one nie są narażone."

SWIFT wie o istnieniu szkodliwego oprogramowania. Jednak program nie ma wpływu na sieć SWIFT ani podstawowe usługi przesyłania wiadomości, organizacja podała w e-mailu oświadczenie.

"Rozumiemy, że złośliwe oprogramowanie zostało stworzone, aby ukryć ślady nieuczciwych płatności z lokalnych aplikacji bazodanowych klientów i może tylko być instalowane na lokalnych systemach użytkowników przez osoby atakujące, które z powodzeniem wykryły i wykorzystały słabe punkty w ich lokalnych zabezpieczeniach, "powiedział SWIFT.

" Opracowaliśmy narzędzie pomagające klientom w zwiększaniu ich bezpieczeństwa i wykrywaniu niespójności w ich lokalnych rekordach bazy danych - dodała organizacja. "Jednak kluczową obroną przed takimi scenariuszami ataków pozostaje wdrożenie odpowiednich środków bezpieczeństwa w ich lokalnych środowiskach w celu zabezpieczenia ich systemów - w szczególności tych używanych do uzyskania dostępu do SWIFT - przed takimi potencjalnymi zagrożeniami bezpieczeństwa."

Według badaczy czynnikiem, który przyczynił się do sukcesu ataku na bank centralny Bangladeszu, był brak prawidłowej segmentacji pomiędzy systemami SWIFT banku a resztą jego sieci. Komputery połączone z siecią SWIFT zostały połączone z siecią za pośrednictwem tanich przełączników bez funkcji zarządzania i bez zapory ogniowej, poinformowała Reuters w piątek.