Спустя десять лет кибератака на Центральный банк Бангладеш — знаковое событие в области кибербезопасности, переписавшее правила спонсируемых государствами хакерских атак, — продолжает преподносить уроки сообществу специалистов по кибербезопасности.
Кибершпионы проникли во внутреннюю сеть Центрального банка Бангладеш и в среду обмена сообщениями SWIFT (Society for Worldwide Interbank Financial Telecommunication), прежде чем отправить 35 мошеннических платежных инструкций SWIFT, с помощью которых они пытались похитить 951 миллион долларов из валютных резервов Бангладеш, хранившихся на счете в Федеральном резервном банке Нью-Йорка.
Из-за ошибок в написании имен бенефициаров и санкционного скрининга США только пять из 35 транзакций прошли успешно, но их было достаточно, чтобы перевести 81 миллион долларов на счета на Филиппинах, откуда деньги были быстро выведены и впоследствии отмыты через казино в Макао, Китай.
Еще 20 миллионов долларов, отправленных в шри-ланкийский благотворительный фонд, были быстро возвращены.
Расследования, проведенные западными спецслужбами, включая SWIFT и компании частного сектора, указали на Lazarus Group — северокорейскую группу кибершпионажа, ранее связанную со взломом Sony Pictures. Вредоносное ПО, инфраструктура и тактика, использованные во время атаки, совпали с тактикой других взломов, связанных с Lazarus.
В сентябре 2018 года прокуроры США предъявили обвинения северокорейцу Паку Джин Хёку и внесли в санкционный список северокорейскую подставную компанию Chosun Expo Joint Venture, обвинив их в организации нападения на Центральный банк Бангладеш, взлома Sony Pictures и распространения вредоносного ПО WannaCry.
Пак, предположительно являющийся хакером северокорейского Разведывательного главного управления, до сих пор не пойман и находится в списке самых разыскиваемых ФБР.
Анатомия атаки
Первоначальные расследования показали, что электронные письма, выполненные в технике фишинга нацеленного и содержащие вредоносное ПО, были отправлены сотрудникам Центрального банка Бангладеш в декабре 2015 года или ранее, за несколько месяцев до основной атаки. Эти вторжения увенчались успехом в установке вредоносного ПО, создании бэкдора и средств для картирования сети и идентификации систем, связанных с SWIFT.
Злоумышленники получили действительные учетные данные оператора SWIFT, скомпрометировали доступ к базам данных и вывели из строя принтер, который печатал журналы транзакций SWIFT, так что он стал печатать пустые страницы. Атака была тщательно спланирована так, чтобы начаться в четверг, 4 февраля 2016 года, в начале выходных в Бангладеш и незадолго до праздника Китайского Нового года на Филиппинах.
Председатель Центрального банка Бангладеш связался с Ракешем Астханой, генеральным директором World Informatix Cyber Security, по поводу взлома 18 февраля, примерно через две недели после атаки.
«Звонок был загадочным, указывающим на то, что ему следует немедленно отправиться в Дакку по срочным делам, которые нельзя было обсуждать по телефону», — сообщил CSO представитель World Informatix Cyber Security.
Астхана, бывший директор по информационным технологиям Всемирного банка, ранее подписал соглашение об ИТ-консалтинге с Центральным банком, отсюда и звонок. Ничто не могло подготовить его к масштабу проблемы, которую он обнаружил, прибыв в Бангладеш.
«По прибытии ситуация была объяснена: 35 платежных транзакций на сумму 951 миллион долларов были обработаны 4 февраля через сеть SWIFT, и 101 миллион долларов пропал со счетов Центрального банка в FRBNY», — добавил представитель. «Банк не понимал, что произошло, или, что более важно, как это могло произойти — кибератака такого масштаба и метода была неизвестна в то время».
World Informatix привлекла Mandiant для проведения последующего расследования и реагирования на инциденты, как указано в посте в блоге с хронологией взлома от SWIFT.
«То, что мы увидели в Бангладеш в результате нашего расследования, наряду с расследованиями, проведенными отраслевыми партнерами, ФБР и сторонними организациями, выявило новую волну modus operandi, включающую глубокую разведку, манипулирование глобальными системами трансграничных сообщений SWIFT, хитроумный операционный обман и стратегически структурированные планы атак», — сказал представитель World Informatix.
Недостатки безопасности
Эдриан Чик, старший научный сотрудник по киберпреступности в компании Flare, занимающейся управлением угрозами, заявил, что взлом Центрального банка Бангладеш стал возможен из-за ряда недостатков в системе безопасности, включая неспособность обеспечить изоляцию критически важной инфраструктуры.
«В Центральном банке Бангладеш было четыре сервера и столько же настольных компьютеров, подключенных к SWIFT», — говорит Чик. «Однако эта инфраструктура также была подключена к более широкой банковской сети и, следовательно, была открыта для Интернета».
«Критическая инфраструктура должна быть изолирована или, по крайней мере, отделена от любой центральной сети множеством межсетевых экранов и надежной политикой управления идентификацией и доступом SWIFT, включая многофакторную аутентификацию SWIFT», — добавляет Чик. «В банке не было ничего из этого».
Другие элементы базовой кибербезопасности в центральном банке также были слабыми.
«Злоумышленники смогли установить кейлоггер [форму вредоносного ПО, которое записывает учетные данные и действия пользователей] в банковскую сеть и отключить принтер, который записывал активность, связанную с банковской сетью», — по словам Чика. «У банка не было возможности обнаружить это вредоносное ПО».
Чик добавляет: «Логгер смог собрать учетные данные, включая пароли к системе международных денежных переводов банка».
Варианты вредоносного ПО, связанные с атакой, включают набор инструментов Lazarus/BeagleBoyz (смесь пользовательских загрузчиков, бэкдоров и вайперов) и банковский троян Dridex.
Платформы управления информацией и событиями безопасности (SIEM) появились в конце 2000-х годов, а первые версии инструментов обнаружения и реагирования на конечных точках (EDR) стали доступны в начале 2010-х годов.
«Оба этих решения могли бы обнаружить первоначальное вторжение, ошибку принтера или доступ к запрещенным зонам», — говорит Чик. «Банк полагался на физический принтер, который печатал информацию о доступе к системе денежных переводов. С отключенным принтером банк был слеп».
Коллин Спирс, старший директор по управлению продуктами в компании Black Duck Software, занимающейся безопасностью приложений, говорит, что злоумышленники, совершившие атаку на Центральный банк Бангладеш, продемонстрировали уровень операционной дисциплины, соответствующий государственным структурам, который превосходил таковой у большинства легитимных команд разработчиков программного обеспечения.
«Они тестировали свое вредоносное ПО на библиотеках баз данных Oracle, создавали пользовательские импланты для поддержания персистентности и планировали выполнение таким образом, чтобы использовать 72-часовое окно во время банковских праздников трех стран», — говорит Спирс. «Это не спонтанное преступление. Это финансируемая инженерная организация с лучшим управлением релизами, чем у половины финтех-компаний, которые я оценивал».
До 2016 года сеть SWIFT считалась неприступной, настолько, что все, что поступало через систему SWIFT, принималось как есть и часто оставалось без контроля.
После взлома Центрального банка Бангладеш SWIFT предупредила клиентов, что эта атака была частью более широкой серии атак на среды клиентов, а не атакой на ее систему обмена сообщениями. Banco del Austro в Эквадоре и TPBank во Вьетнаме стали жертвами аналогичных, но менее масштабных атак в 2015 году.
Ужесточение мер безопасности не устраняет развивающуюся угрозу
SWIFT представила свою Программу безопасности клиентов (CSP) в качестве обязательной структуры в мае 2016 года. Программа требует от банков-участников внедрения набора обязательных мер безопасности, известных как Система контроля безопасности клиентов (SWIFT), и ежегодного подтверждения соответствия.
Ник Кейл, главный инженер Cisco Systems, сообщил CSO, что, хотя меры безопасности были ужесточены после кибератаки на Центральный банк Бангладеш, более широкие проблемы остаются нерешенными.
«Многие учреждения улучшили контроль над SWIFT и аналогичными платежными системами — улучшен мониторинг, ужесточены аудиты, более реалистичные предположения о риске компрометации конечных точек», — по словам Кейла.
Однако, с другой стороны, проблема доверия к рабочему процессу, использованная во время кибератаки на Центральный банк Бангладеш, продолжает вызывать проблемы.
«Методы развиваются, но основополагающая уязвимость остается стабильной», — говорит Кейл. «И, в частности, та же схема — доверие к рабочим процессам при компрометации конечных точек — теперь вновь появляется в контексте ИИ и автоматизации, где автономные агенты наследуют учетные данные и действуют по доверенным каналам без адекватных границ проверки».
Злоумышленники переключаются на криптовалютные активы
Джейсон Бейкер, старший консультант по анализу угроз в GuidePoint Security, сообщает CSO, что северокорейские государственные злоумышленники продолжают атаковать финансовые организации и организации, работающие с криптовалютами, в годы после кибератаки на Центральный банк Бангладеш.
«Акторы из КНДР [Корейской Народно-Демократической Республики] активно переключились на криптовалюты вместо «традиционных» банковских активов, при этом Chainalysis сообщает о краже криптовалюты на сумму 2 миллиарда долларов акторами из КНДР в 2025 году и общем объеме всех краж в 6,75 миллиарда долларов, несмотря на меньшее количество атак», — по словам Бейкера.
Майкл Белл, основатель и генеральный директор компании suzu labs, занимающейся услугами в области наступательной безопасности, говорит, что злоумышленники поняли, что криптовалютные биржи имеют более слабую безопасность, более быструю ликвидность и меньший регуляторный надзор, чем традиционные банки.
«Индустрия исправила уязвимость, использованную в 2016 году, и противник перешел туда, где защита была слабее», — говорит Белл.
Руководителям служб безопасности нужны лучшие программы анализа угроз
Энсар Шекер, CISO платформы расширенного анализа угроз SOCRadar, утверждает, что взлом Центрального банка Бангладеш показывает, что финансово мотивированные атаки могут быть терпеливыми, скрытными и хорошо обеспеченными ресурсами. Защитникам необходимо повышать свой уровень, чтобы справиться с такими скрытными атаками, поскольку они представляют собой постоянную угрозу.
«Злоумышленники предвидели ручные проверки, резервные процедуры и задержки, связанные с человеческим фактором», — говорит Шекер. «Современные программы анализа угроз должны моделировать понимание злоумышленниками рабочих процессов защитников, а не только их инструменты».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden
