2015–2016 Взлом банкинга SWIFT

В 2015 и 2016 годах сообщалось о серии кибератак с использованием банковской сети SWIFT , в результате которых были успешно похищены миллионы долларов. ^{[ 1 ]}^{[ 2 ]} Атаки были совершены хакерской группой, известной как APT 38. ^{[ 3 ]} чья тактика, методы и процедуры совпадают с тактикой печально известной группы Lazarus Group , которая, как полагают, стоит за атаками на Sony . Эксперты сходятся во мнении, что APT 38 была сформирована после санкций в марте 2013 года, а первые известные операции, связанные с этой группой, произошли в феврале 2014 года. Если приписывание Северной Корее верно, это будет первый известный случай, когда государственный субъект использовал кибератаки для кражи средства.

В атаках использовались уязвимости в системах банков-членов, что позволило злоумышленникам получить контроль над законными учетными данными SWIFT банков. Затем воры использовали эти учетные данные для отправки запросов на перевод средств по SWIFT в другие банки, которые, считая сообщения законными, затем отправляли средства на счета, контролируемые злоумышленниками. ^{[ 1 ]}

Первые отчеты

Первые публичные сообщения об этих атаках поступили из-за краж в центральном банке Бангладеш и банке во Вьетнаме.

, кража 101 миллиона долларов из центрального банка Бангладеш через его счет в Федеральном резервном банке Нью-Йорка была связана с использованием киберпреступниками уязвимостей в программном обеспечении SWIFT Alliance Access Согласно New York Times сообщению . В обществе признали, что это не первая подобная попытка, и соответственно безопасность системы переводов подвергается новой проверке. ^{[ 4 ]}^{[ 5 ]}

Вскоре после сообщений о краже из центрального банка Бангладеш появилось сообщение о втором, очевидно связанном с этим нападении на коммерческий банк во Вьетнаме. ^{[ 1 ]}

В обеих атаках использовалось вредоносное ПО, предназначенное как для отправки несанкционированных сообщений SWIFT, так и для сокрытия факта отправки сообщений. После того как вредоносная программа отправила SWIFT-сообщения, в которых были украдены средства, она удалила запись о переводах из базы данных, а затем предприняла дальнейшие шаги, чтобы не допустить, чтобы сообщения с подтверждением выявили кражу. В случае с Бангладеш подтверждающие сообщения должны были появиться в бумажном отчете; вредоносная программа изменила бумажные отчеты, когда они были отправлены на принтер. Во втором случае банк использовал отчет в формате PDF; вредоносная программа изменила программу просмотра PDF-файлов, чтобы скрыть передачи. ^{[ 1 ]}

Кроме того, информационное агентство Reuters сообщило 20 мая 2016 года, что аналогичный случай уже имел место в Эквадоре в начале 2015 года, когда средства Banco del Austro были переведены на банковские счета в Гонконге . Ни Banco del Austro, ни Wells Fargo , которым было поручено провести транзакции, первоначально не сообщили SWIFT о подозрительных перемещениях; выводы о том, что эти действия на самом деле были кражей, возникли только во время иска BDA, поданного против Wells Fargo. ^{[ 2 ]}

Расширение масштабов и подозрений в отношении Северной Кореи

После первых двух сообщений две охранные компании сообщили, что в атаках использовалось вредоносное ПО, аналогичное тому, которое использовалось при взломе Sony Pictures Entertainment в 2014 году , и затронуло столько же 12 банков в Юго-Восточной Азии. ^{[ 6 ]}^{[ 7 ]} Обе атаки приписываются хакерской группе, которую прозвали Lazarus Group исследователи . Symantec связала группу с Северной Кореей . ^{[ 8 ]} Если причастность Северной Кореи правдива, это будет первый известный случай, когда государственный субъект использовал кибератаки для кражи средств. ^{[ 9 ]}^{[ 10 ]}

Разветвления

Международные отношения

Если бы атака действительно произошла в Северной Корее, кражи имели бы глубокие последствия для международных отношений. Это будет первый известный случай использования государственного деятеля кибератак для кражи средств. ^{[ 10 ]}

Кражи могут также иметь последствия для режима международных санкций, направленных на изоляцию экономики Северной Кореи. Кража может составлять значительный процент текущего ВВП Северной Кореи. ^{[ 10 ]}

Система СВИФТ

Доверие к системе SWIFT на протяжении десятилетий было важным элементом международной банковской деятельности . Банки считают сообщения SWIFT заслуживающими доверия и поэтому могут немедленно следовать переданным инструкциям. Кроме того, сами кражи могут поставить под угрозу платежеспособность банков-членов. ^{[ 6 ]} «Это большое дело, и оно затрагивает суть банковского дела», — сказал генеральный директор SWIFT Готфрид Лейббрандт, добавив: «Банки, подвергшиеся такой угрозе, могут быть выведены из бизнеса». ^{[ 6 ]}

После атак SWIFT объявила о новом режиме обязательного контроля, который требуется от всех банков, использующих систему. ^{[ 11 ]} SWIFT будет проверять банки-члены на предмет соблюдения требований и информировать регулирующие органы и другие банки о несоблюдении требований.

Представители SWIFT неоднократно заявляли, что атаки на систему, как ожидается, будут продолжаться. ^{[ 5 ]}^{[ 11 ]} В сентябре 2016 года SWIFT объявила, что атаке подверглись еще три банка. В двух случаях хакерам удалось отправить мошеннические поручения SWIFT, но банки-получатели сочли их подозрительными и обнаружили мошенничество. По словам представителей SWIFT, в третьем случае патч к программному обеспечению SWIFT позволил атакованному банку обнаружить хакеров до того, как были отправлены сообщения. ^{[ 11 ]}

См. также

Незаконная деятельность Северной Кореи

Ссылки

^ Jump up to: ^а ^б ^с ^д Коркери, Майкл (12 мая 2016 г.). «Воры снова проникают в финансовую сеть Swift и крадут» . Нью-Йорк Таймс . Проверено 13 мая 2016 г.
^ Jump up to: ^а ^б Бергин, Том; Лейн, Натан (20 мая 2016 г.). «Специальный репортаж: Киберворы используют доверие банков к сети переводов SWIFT» . Рейтер . Проверено 24 мая 2016 г.
^ Огнеглазый. «APT 38: Необычные подозреваемые» . Fireeye.com . Проверено 25 февраля 2019 г.
^ Коркери, Майкл (30 апреля 2016 г.). «Скрытая атака хакеров на мировую банковскую систему стоимостью 81 миллион долларов» . Нью-Йорк Таймс . Проверено 1 мая 2016 г.
^ Jump up to: ^а ^б Маллен, Чарльз Райли и Джетро (31 августа 2016 г.). «SWIFT сообщает, что взлому подвергается все больше банков» . CNNMoney . Проверено 2 января 2017 г.
^ Jump up to: ^а ^б ^с Райли, Майкл; Кац, Алан (26 мая 2016 г.). «Расследование Swift Hack расширяется до дюжины банков за пределами Бангладеш» . Блумберг . Проверено 28 мая 2016 г.
^ Брайт, Питер (27 мая 2016 г.). «Еще 12 банков сейчас расследуются по факту ограбления SWIFT в Бангладеш» . Арс Техника . Проверено 28 мая 2016 г.
^ Пальери, Хосе; Райли, Чарльз (27 мая 2016 г.). «Хакеры «Лазаря», связанные с Северной Кореей, атаковали четвертый банк на Филиппинах» . CNN Деньги . Проверено 29 мая 2016 г.
^ Шен, Люсинда (27 мая 2016 г.). «Северная Корея была связана со взломом банка SWIFT» . Удача . Проверено 28 мая 2016 г.
^ Jump up to: ^а ^б ^с Перлрот, Николь; Коркери, Майкл (26 мая 2016 г.). «Северная Корея связана с цифровыми атаками на мировые банки» . Нью-Йорк Таймс . Проверено 28 мая 2016 г.
^ Jump up to: ^а ^б ^с «Банковская система SWIFT этим летом была взломана как минимум три раза» . Удача . 26 сентября 2016 г. Проверено 2 января 2017 г.

[Second_Attack_Reported_NYT-1] Jump up to: ^а ^б ^с ^д Коркери, Майкл (12 мая 2016 г.). «Воры снова проникают в финансовую сеть Swift и крадут» . Нью-Йорк Таймс . Проверено 13 мая 2016 г.

[ReutersSpecialReport-2] Jump up to: ^а ^б Бергин, Том; Лейн, Натан (20 мая 2016 г.). «Специальный репортаж: Киберворы используют доверие банков к сети переводов SWIFT» . Рейтер . Проверено 24 мая 2016 г.

[3] Огнеглазый. «APT 38: Необычные подозреваемые» . Fireeye.com . Проверено 25 февраля 2019 г.

[4] Коркери, Майкл (30 апреля 2016 г.). «Скрытая атака хакеров на мировую банковскую систему стоимостью 81 миллион долларов» . Нью-Йорк Таймс . Проверено 1 мая 2016 г.

[:0-5] Jump up to: ^а ^б Маллен, Чарльз Райли и Джетро (31 августа 2016 г.). «SWIFT сообщает, что взлому подвергается все больше банков» . CNNMoney . Проверено 2 января 2017 г.

[BloombergExpands-6] Jump up to: ^а ^б ^с Райли, Майкл; Кац, Алан (26 мая 2016 г.). «Расследование Swift Hack расширяется до дюжины банков за пределами Бангладеш» . Блумберг . Проверено 28 мая 2016 г.

[ArsTech12More-7] Брайт, Питер (27 мая 2016 г.). «Еще 12 банков сейчас расследуются по факту ограбления SWIFT в Бангладеш» . Арс Техника . Проверено 28 мая 2016 г.

[8] Пальери, Хосе; Райли, Чарльз (27 мая 2016 г.). «Хакеры «Лазаря», связанные с Северной Кореей, атаковали четвертый банк на Филиппинах» . CNN Деньги . Проверено 29 мая 2016 г.

[FortuneNorthKorea-9] Шен, Люсинда (27 мая 2016 г.). «Северная Корея была связана со взломом банка SWIFT» . Удача . Проверено 28 мая 2016 г.

[NYTLink-10] Jump up to: ^а ^б ^с Перлрот, Николь; Коркери, Майкл (26 мая 2016 г.). «Северная Корея связана с цифровыми атаками на мировые банки» . Нью-Йорк Таймс . Проверено 28 мая 2016 г.

[:1-11] Jump up to: ^а ^б ^с «Банковская система SWIFT этим летом была взломана как минимум три раза» . Удача . 26 сентября 2016 г. Проверено 2 января 2017 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]