In ianuarie 2018, un grup de hackeri, despre care se crede ca lucreaza pentru Coreea de Nord, mai exact grupul Lazarus, a incercat sa fure 110 milioane de dolari de la banca comerciala Bancomext, din Mexic. Efortul a fost in zadar, insa la doar cateva luni, printr-o serie de atacuri mai mici, dar tot elaborate, hackerii au reusit sa fure in jur de 20 de milioane de dolari de la bancile mexicane. Iata cum au facut acest lucru.
La conferinta de securitate RSA, care a avut loc vinerea trecuta in San Francisco, expertul in securitate Josu Loza a prezentat modurile de operare atat digitale, cat si fizice, ale jafurilor din Mexic. Afilierea hackerilor ramane necunoscuta. Loza subliniaza ca desi in spatele atacurilor stau luni, poate chiar ani, de munca, acestea au fost posibile din cauza arhitecturilor bajbaite si nesigure din sistemul financiar mexican.
Tinte usoare
Multumita defectelor de securitate din sistemele bancilor, atacatorii au putut accesa serverele interne de pe Internetul public, si au lansat atacuri phishing care au compromis conturile angajatilor si pe cele ale managementului. Multe retele nu aveau cine stie ce controale de acces, asa ca hackerii au reusit sa ajunga departe cu ajutorul credentialelor furate. Retelele nu erau nici ele bine segmentate, insemnand atacatorii au putut folosi accesul initial pentru a intra adanc in conexiunile bancilor, si chiar in serverele de tranzactii, de unde au putut altera codul.
Pentru ca lucurile sa fie si mai grave de atat, datele tranzactiilor din retelele interne ale bancilor nu au fost protejate in mod adecvat, ceea ce inseamna ca atacatorii le-au putut urmari si manipula. Desi canalele de comunicare dintre banci si utilizatori erau criptate, nu se stie cat de sigure sunt, dat fiind ca insusi aplicatia SPEI avea bug-uri si lipsuri pe partea instrumentelor de validare. Aplicatia ar fi putut fi compromisa cu ajutorul unui atac in lant, pentru a facilita tranzactiile malitioase pe masura ce acestea se deplaseaza prin sistem.
Toate aceste vulnerabilitati le-au permis hackerilor stabileasca infrastructura necesara pentru a conduce atacurile propriu-zise, care au fost extrem de rapide.
Hackerii au exploatat defectele din modul in care SPEI valideaza conturile expeditorilor, pentru a initia un transfer de la o sursa inexistenta, precum Jon Smith, numar de cont 12345678. Au trimis apoi fondurile fantoma catre conturi reale, insa sub pseudonim, la care acestia aveau acces, fonduri care au fost retrase inainte ca banca sa realizeze ce s-a intamplat. Fiecare tranzactie malitioasa a fost relativ mica, de ordinul sutelor sau miilor de dolari. “SPEI trimite si primeste milioane si milioane in fiecare zi, aceste tranzactii reprezinta un procentaj nesemnificativ”, a spus Loza.
Atacatorii au lucrat, probabil, cu sute de persoane care au avut singurul rol de a retrage banii. Loza spune ca recrutarea si instruirea acestora ar putea consuma ceva resurse, insa nu vorbim de sume exagerate, undeva in jur de 260 de dolari de fiecare.
SPEI, precum si infrastructura din jurul aplicatiei, erau extrem de vulnerabile unui atac. Banxico, care nu a putut fi contactata pentru comentarii, a declarat intr-un raport analitic publicat la sfarsitul lunii august ca atacurile nu sunt indreptate in directia sistemului bancii centrale, ci mai degraba asupra interconexiunilor slabe din sistemul financiar mexican. Abordarea atacatorilor a necesitat “o cunoastere temeinica a infrastructurii tehnologice si a proceselor institutiilor, precum si acces la acestea”, a raportat Banxico, Banca Centrala din Mexic. “Atacul nu a avut rolul de a face ca SPEI sa devina inoperabil, si nici de a sparge sistemele de aparare ale Bancii Centrale.”
In jurul lumii au avut loc atacuri similare, folosind sistemul de transfer bancar Swift, cele mai notabile fiind in Ecuador, Bangladesh si Chile. SPEI este detinut si operat de Banxico, si este folosit doar in Mexic. Drept consecinta a atacurilor din aprilie, banca a inasprit politicile si controalele legate de transferul fondurilor, pentru a stabili un sistem de minima securitate digitala.
“Mexicanii trebuie sa inceapa sa lucreze impreuna. Toate institutiile ar trebui sa colaboreze mai mult. Principala problema a securitatii digitale este ca nu distribuim cunostintele si informatiile, si nu vorbim suficient despre atacuri. Oamenii nu vor ca detaliile unor astfel de incidente sa devina publice”, a spus Loza.
Loza a adaugat ca amenintarea atacurilor viitoare inca exista, in ciuda faptului ca bancile mexicane au investit mult in ultimii ani in securitatea digitala. “De anul trecut si pana acum, industria s-a concentrat pe implementarea controalelor. Control, control, control”, a mai spus acesta.
Aceste jafuri au avut extrem de mult succes in jurul lumii, asa ca nu vor fi usor de oprit. Desi efortul din partea atacatorilor este mare, si de lunga durata, recompensele sunt pe masura, din moment ce pot fura zeci de milioane de dolari fara a fi nevoie sa sparga macar un lacat.
Preluat de pe Ars Technica