[Перевод] «В Австралии безопасней». Как хакеры провернули трансокеанскую BEC-атаку

Привет, Хабр!

Сегодня мы расскажем, как участники углеродного рынка столкнулись c эталонной BEC-атакой. В истории есть все необходимые ингредиенты: слабозащищенная компания-жертва, на которую свалились инвестиции, виртуозное использование злоумышленниками социоинженерных и технических методов, а также «удачное» стечение обстоятельств в виде банковской паники.

Каким образом 17 миллионов из США попали на подставные счета в Австралии, а затем — в Китае и Турции, читайте в переводе статей (1, 2) из The Sydney Morning Herald.

08d6bcc8dc0ca22500f7ee6ab90e91bd.jpg

Климатические инвестиции

Для начала познакомимся с главными действующими юрлицами — двумя компаниями, деловая переписка между которыми скоро будет скомпрометирована злоумышленниками.

Terra Global Capital LLC — небольшая фирма из Калифорнии, специализирующаяся на климатических проектах по всему миру.

Anew Climate — портфельная компания одного из подразделений крупного инвестфонда TPG Capital, предоставляющая продукты в сфере снижения выбросов углеродного газа.

В январе 2023 года компании анонсировали партнерство: Anew Climate инвестировала 640 миллионов долларов в Terra Global на развитие природоориентированных проектов, связанных с восстановлением лесов и управлением лесным хозяйством. И пока новоиспеченные партнеры делились с общественностью новостями о перспективах сотрудничества, злоумышленники увидели в сделке привлекательную возможность сорвать «куш».

Австралийские «филиалы» и почтовый посредник

Мошенники начали серьезную подготовку к атаке. В конце января, всего через 20 дней после анонса, неизвестные учредили в Австралии компанию-двойника под названием Terra Global Capital LLC. Двойник был зарегистрирован на некого Джеймса, который проживал в многоквартирном доме в Малверне, пригороде Мельбурна. Еще через месяц, в начале марта, была создана другая компания с почти идентичным названием — Terra Global Capital LL. В качестве директора был указан Аллан из пригорода Сиднея. Обе компании не вели никакой предпринимательской деятельности.

К концу марта мошенники зарегистрировали еще одного двойника — компанию Terra Global Capital Pty Ltd. Она якобы находилась в доме в пригороде Сиднея, при этом директором был указан Майкл из Мейтленда, городка в 175 км от «офиса». Как выяснится позднее, для учреждения всех трех фирм использовались украденные данные случайных австралийцев. Впрочем, последний из зарегистрированных бизнесов выглядел достаточно легитимно, чтобы открыть счета в Национальном австралийском банке (NAB).

Итак, финансовая инфраструктура для проведения BEC-атаки была готова.

Одновременно злоумышленники получили доступ к переписке между калифорнийской фирмой и ее инвестором. Они проникли в систему Terra Global Capital и настроили в корпоративной электронной почте правило, согласно которому электронные письма между Anew Climate и финансовым и генеральным директорами Terra Global Capital перенаправлялись на сторонние электронные адреса. Злоумышленники создали поддельные email-адреса руководства Anew Climate на домене-двойнике anewclimates[.]com вместо официального anewclimate[.]com. На эту поддельную почту были переадресованы все настоящие письма от Terra Global Capital. А для общения с Anew Climate злоумышленники создали клоны ящиков финдиректора и гендиректора.

В результате киберпреступники могли перехватывать всю корреспонденцию между партнерами и отправлять любые письма инвестору с почты на легитимном домене. Теперь мошенникам оставалось только ждать подходящего момента. На их удачу как раз в это время в США разразился банковский кризис.

Момент настал. Переводите деньги!

В марте 2023 года в течение нескольких дней обанкротились три американских банка, два из которых имели штаб-квартиры в Калифорнии: Silicon Valley Bank и First Republic Bank. В преддверии краха последнего Terra Global Capital, его клиент, отчаянно искала возможность вывести 19 миллионов долларов. В ходе переписки по электронной почте Anew Climate согласилась помочь партнеру сохранить деньги.

В течение следующих двух недель компании договорились, что Terra Global Capital переведет свои денежные средства из First Republic Bank на банковские счета Anew Climate в Bank of America. Деньги должны были быть возвращены позднее по запросу. Примерно в конце марта, после того, как деньги уже были благополучно переведены Anew Climate, злоумышленники решили действовать и внедрились в переписку.

Используя клон почты финансового директора Terra Global Capital Барта Кортума, мошенники написали в Anew Climate: «Обратите внимание на изменившиеся инструкции по возврату средств, у нас есть более выгодная страховка для покрытия средств в австралийском банке, чем в First Republic Bank. Вы можете указать в описании «возврат средств». Суммы и банковские реквизиты указаны ниже в письме. Дублирую для вашего удобства…». В письме содержались инструкции по переводу средств на счет в National Australia Bank.

Через два дня, 6 апреля, руководству Anew Climate пришло очередное письмо от «финдиректора»: «Мы подтверждаем безопасное получение средств в нашем австралийском банке, спасибо». А поскольку дело было накануне католической Пасхи, довольные собой мошенники завершили письмо теплым пожеланием: «Счастливой пасхи» (со строчной буквы).

Что взять с Майкла

В США заподозрили обман только спустя 10 дней. Как только стало известно о краже, активность закипела на двух континентах. В Австралии юридическая фирма Gilbert + Tobin быстро подала гражданский иск в Верховный суд штата Виктория и смогла получить постановление о заморозке банковского счета в NAB. В это время Anew Climate сообщила о происшедшем в ФБР, а затем в Секретную службу США, которая расследует финансовые преступления.

Однако заместитель помощника директора Секретной службы сообщил руководителям компании, что большая часть денег уже давно пропала. Из 19 миллионов вернуть можно было только 6%. Эта сумма находилась в NAB. Остальные средства, по мнению Секретной службы, были переведены на счета в Китае и Турции. Американские правоохранители продолжали работу по возврату средств и поиску злоумышленников.

Австралийское расследование, проводимое юристами Anew Climate зашло в тупик. Оказалось, что сведения о компании-двойнике Terra Global Capital Pty Ltd, предоставленные NAB для заведения счета, приводят только к случайным австралийцам, чьи данные были использованы злоумышленниками.

«Офис» компании в пригороде Сиднея, оказался домом, в котором на протяжении 40 лет постоянно живут двое его владельцев. Когда юристы попытались вручить им документы по делу о похищении денег, они не поняли, как их жилище связано с неизвестной им компанией. Они также не были знакомы с «директором» компании Майклом.

Сам он тоже получил судебные документы по делу: пачки положили на пороге его дома в Мейтленде. Майкл в них не заглядывал и удивился, узнав от журналистов, что он фигурирует в процессе как директор и единственный владелец фирмы, замешанной в крупном мошенничестве. По его словам, ранее он уже становился жертвой мошенничества с украденными документами. Кто-то использовал его имя на сайте объявлений Gumtree, об этом ему сообщила полиция. Через банк Майкл узнал, на его имя открыто 13 счетов. В тот раз все удалось уладить за час.

Пачку судебных документов получил и сосед Майкла Питер, проживающий выше по улице. При этом в материалах он не фигурирует совсем. Впрочем, согласно источникам журналистов в полиции, Майкл не подозревается в причастности к мошенничеству.Гораздо больше вопросов возникает к Национальному австралийском банку.

Не знай своего клиента

Руководитель по расследованиям в NAB сообщил журналистам, что в банке используются надежные системы, обеспечивающие выполнение обязательств по идентификации клиентов и соблюдению принципа «know your customer». Также он заявил, что NAB постоянно инвестирует в технологии по выявлению, сдерживанию и предотвращению финансовых преступлений.

Однако та роль, которую банк сыграл в мошеннической схеме по краже денег у Anew Climate, иллюстрирует несовершенство нынешнего подхода по предотвращению финансовых преступлений. NAB, не «зная своего клиента», позволил провести через свои счета крупные трансграничные платежи.

В ходе журналистского расследования выяснилось, что в течение трех дней мошенники открыли в банке три счета на имя компании, зарегистрированной на Майкла. При этом NAB практически не проверял, действительно ли Майкл руководит компанией и счетами. После получения денег от Anew Climate из США мошенники смогли снять большую часть этой суммы в тот же день, сделав 30 онлайн-переводов без каких-либо ограничений по счету.

В материалах, которые NAB предоставил суду, есть форма, использовавшаяся для создания счета и предоставления полномочий на управление «Майклу». Однако на документе нет необходимых подписей клиента и сотрудника банка, а также не указана дата.

В запросе на открытие счета в иностранной валюте, приведена неверная информация: телефонный номер NAB недоступен, в адресе электронной почты имя Майкла написано с ошибкой.

В качестве контактных данных были предоставлены два номера мобильных телефонов. Один из них указан с префиксом 03 для штата Виктория — как будто это стационарный номер. При этом Майкл и созданная на его имя компания находятся в штате Новый Южный Уэльс. В документах утверждается, что счета были проверены с помощью «SMS/Email».

Все эти ошибки в документах должны были насторожить работников банка. Теперь американские компании могут попытаться доказать, что банк не обеспечил должного контроля, и привлечь его к ответственности за всю сумму, украденную мошенниками.

Мы же резюмируем: недостаточная проверка со стороны банка помогла злоумышленникам вывести деньги. Однако это было только одно из звеньев в цепочке небезопасных действий всех причастных организаций. Недостаточное внимание к защите инфраструктуры в Terra Global Capital позволило злоумышленникам быть в курсе конфиденциальной переписки и отправлять письма с легитимных адресов. Руководство Anew Capital вовремя не проявило бдительность и не задалось вопросом, откуда во взаимоотношениях между двумя американскими организациями в принципе возникла Австралия. Не говоря о большой проблеме незаконной торговли персональными данными граждан, которая облегчила задачу злоумышленникам.

Похоже, в этой ситуации вопросов нет только к Майклу.

© Habrahabr.ru