Взлом банковской системы SWIFT в 2015–2016 гг.

Серия краж денег через Интернет

В 2015 и 2016 годах сообщалось о серии кибератак с использованием банковской сети SWIFT , в результате которых были успешно похищены миллионы долларов. ^{[1] [2]} Атаки были совершены хакерской группой, известной как APT 38 ^[3], чья тактика, методы и процедуры пересекаются с печально известной группой Lazarus Group , которая, как полагают, стоит за атаками Sony . Эксперты сходятся во мнении, что APT 38 была сформирована после санкций в марте 2013 года, а первые известные операции, связанные с этой группой, произошли в феврале 2014 года. Если приписывание Северной Корее верно, это будет первый известный инцидент, когда государственный субъект использовал кибератаки для кражи средств.

Атаки использовали уязвимости в системах банков-участников, что позволило злоумышленникам получить контроль над законными учетными данными SWIFT банков. Затем воры использовали эти учетные данные для отправки запросов на перевод средств SWIFT в другие банки, которые, доверяя сообщениям, были законными, затем отправляли средства на счета, контролируемые злоумышленниками. ^[1]

Первые отчеты

Первые публичные сообщения об этих атаках поступили от случаев краж из центрального банка Бангладеш и банка во Вьетнаме.

Кража $101 млн из центрального банка Бангладеш через его счет в Федеральном резервном банке Нью-Йорка была отслежена киберпреступниками, использовавшими уязвимости программного обеспечения Alliance Access SWIFT , согласно отчету New York Times . Это была не первая подобная попытка, признало общество, и безопасность системы переводов подвергается новой проверке соответственно. ^{[4] [5]}

Вскоре после сообщений о краже из центрального банка Бангладеш поступили сообщения о второй, по-видимому, связанной с первой атаке на коммерческий банк во Вьетнаме. ^[1]

Обе атаки включали вредоносное ПО, написанное как для отправки несанкционированных сообщений SWIFT, так и для сокрытия факта отправки сообщений. После того, как вредоносное ПО отправило сообщения SWIFT, которые украли средства, оно удалило запись базы данных о переводах, а затем предприняло дальнейшие шаги, чтобы сообщения с подтверждением не раскрыли кражу. В случае Бангладеш сообщения с подтверждением должны были появиться в бумажном отчете; вредоносное ПО изменило бумажные отчеты, когда они были отправлены на принтер. Во втором случае банк использовал отчет в формате PDF; вредоносное ПО изменило средство просмотра PDF, чтобы скрыть переводы. ^[1]

Кроме того, информационное агентство Reuters сообщило 20 мая 2016 года, что аналогичный случай уже имел место в Эквадоре в начале 2015 года, когда средства Banco del Austro были переведены на банковские счета в Гонконге . Ни Banco del Austro, ни Wells Fargo , которым было поручено провести транзакции, изначально не сообщали о перемещениях в SWIFT как о подозрительных; предположения о том, что эти действия на самом деле были кражей, появились только во время иска BDA, поданного против Wells Fargo. ^[2]

Расширение масштабов и подозрений в отношении Северной Кореи

После первых двух отчетов две компании по безопасности сообщили, что атаки были связаны с вредоносным ПО, аналогичным тому, которое использовалось при взломе Sony Pictures Entertainment в 2014 году , и затронули 12 банков в Юго-Восточной Азии. ^{[6] [7]} Обе атаки приписываются хакерской группе, которую исследователи называют Lazarus Group . Symantec связала группу с Северной Кореей . ^[8] Если причастность Северной Кореи верна, это будет первый известный случай использования государственным субъектом кибератак для кражи средств. ^{[9] [10]}

Последствия

Международные отношения

Если атака действительно произошла в Северной Корее, кражи имели бы серьезные последствия для международных отношений. Это был бы первый известный случай использования государственным субъектом кибератак для кражи средств. ^[10]

Кражи также могут иметь последствия для режима международных санкций, направленных на изоляцию экономики Северной Кореи. Кража может составлять значительную долю текущего ВВП Северной Кореи. ^[10]

система СВИФТ

Доверие к системе SWIFT было важным элементом в международном банковском деле на протяжении десятилетий. Банки считают сообщения SWIFT заслуживающими доверия и, таким образом, могут немедленно следовать переданным инструкциям. Кроме того, сами кражи могут угрожать платежеспособности банков-участников. ^[6] «Это большое дело, и оно затрагивает суть банковского дела», — сказал генеральный директор SWIFT Готфрид Лейббрандт, добавив: «Банки, которые скомпрометированы таким образом, могут быть выведены из бизнеса». ^[6]

После атак SWIFT объявила о новом режиме обязательного контроля, требуемого от всех банков, использующих систему. ^[11] SWIFT будет проверять банки-участники на предмет соответствия требованиям и информировать регулирующие органы и другие банки о несоблюдении.

Представители SWIFT неоднократно заявляли, что атаки на систему, как ожидается, продолжатся. ^{[5] [11]} В сентябре 2016 года SWIFT объявила, что атакованы еще три банка. В двух случаях хакерам удалось отправить мошеннические поручения SWIFT, но банки-получатели сочли их подозрительными и обнаружили мошенничество. По словам представителей SWIFT, в третьем случае исправление программного обеспечения SWIFT позволило атакованному банку обнаружить хакеров до отправки сообщений. ^[11]

Смотрите также

• Банковский портал

• Незаконная деятельность Северной Кореи

Ссылки

1. Коркери, Майкл (12 мая 2016 г.). «Опять воры проникают в финансовую сеть Swift и крадут». New York Times . Получено 13 мая 2016 г.
2. Бергин, Том; Лейн, Натан (20 мая 2016 г.). "Специальный отчет: Киберворы эксплуатируют доверие банков к сети переводов SWIFT". Reuters . Получено 24 мая 2016 г.
3. Fireye. "APT 38: Un-Usual Suspects". Fireeye.com . Получено 25.02.2019 .
4. Коркери, Майкл (30 апреля 2016 г.). «Хакеры совершили скрытую атаку на мировую банковскую систему стоимостью 81 миллион долларов». The New York Times . Получено 1 мая 2016 г.
5. Mullen, Charles Riley и Jethro (2016-08-31). «SWIFT сообщает о взломе большего количества банков». CNNMoney . Получено 2017-01-02 .
6. Райли, Майкл; Кац, Алан (26 мая 2016 г.). «Swift Hack Probe распространяется на дюжину банков за пределами Бангладеш». Bloomberg . Получено 28 мая 2016 г. .
7. Брайт, Питер (27.05.2016). «Еще 12 банков сейчас находятся под следствием по делу о краже SWIFT в Бангладеш». Ars Technica . Получено 28 мая 2016 г.
8. Pagliery, Jose; Riley, Charles (27 мая 2016 г.). «Связанные с Северной Кореей хакеры «Лазара» атаковали четвертый банк на Филиппинах». CNN Money . Получено 29 мая 2016 г.
9. Шен, Люсинда (27 мая 2016 г.). «Северная Корея связана со взломом банков SWIFT». Fortune . Получено 28 мая 2016 г.
10. Perlroth, Nicole; Corkery, Michael (26 мая 2016 г.). «Северная Корея связана с цифровыми атаками на мировые банки». New York Times . Получено 28 мая 2016 г.
11. "Банковская система SWIFT была взломана как минимум три раза этим летом". Fortune . 26 сентября 2016 г. Получено 2017-01-02 .