Lazarus: Кто стоит за атаками на систему банковских переводов SWIFT

d56cf6b964874b50a4ab6537974b0397.png

Межбанковская система SWIFT испытывает не лучшие времена. В феврале 2016 года, из-за несовершенства SWIFT, хакерам удалось вывести из Центробанка Бангладеш $81 млн — мы писали об этой истории. Впоследствии выяснилось, что это не единственный случай взлома SWIFT. Жертвой злоумышленников еще в январе 2015 года стал также эквадорский банк Banco del Austro в Эквадоре. Кроме того, обнародован факт о неудачной атаке на вьетнамский Tien Phong Bank из Вьетнама, о которой ранее не сообщалось.

Эксперты антивирусной компании Symantec расследовали участившиеся случаи взлома, чтобы понять, кто мог стоять за этими преступлениями и похищениями миллионов долларов у финансовых организаций со всего мира.

Атака на Banco del Austro в Эквадоре


Нападение на банк в Эквадоре произошло в январе 2015 года. В результате кибератаки было похищено $9 млн. Преступная схема аналогична той, которой воспользовались преступники ранее при атаке на ЦБ Бангладеша. Предполагается, что злоумышленники воспользовались программой, способной читать файлы на компьютерах банков, использующих систему SWIFT, в обход локальных мер безопасности. Хакеры пользовались полученным доступом к банку в течение 10 дней. За это время программа рассылала через SWIFT фальшивые запросы в банк Wells Fargo в Сан-Франциско и инициировала переводы денежных средств на счета в Гонконге, Дубае, Нью-Йорке и Лос-Анжелесе.

Факт взлома держался в секрете. Его обнародовали только в мае 2016 года, когда пострадавший банк подал заявление в Нью-Йоркский федеральный суд. В исковом заявлении, которое подал Banco del Austro против Wells Fargo, представлены требования вернуть всю сумму, которая была украдена.

Руководство SWIFT выступило с официальным заявлением, о том, что сети, программное обеспечение и основные сервисы обмена сообщениями системы не были скомпрометированы, но проводившие атаку хакеры очень хорошо понимали специфику контроля над операциями в пострадавшем банке.

Группа Lazarus


По данным специалистов Symantec, за описанными выше атаками может стоять хакерская группировка Lazarus. Это сообщество существует уже много лет, впервые хакеры проявили активность в 2007–2009 годах.

Графики их активности говорят о том, что члены группы проживают в поясе GMT+8 или GMT+9. Кроме того, их рабочий день составляет не менее 15–16 часов в сутки. «Вероятно, Lazarus Group — самая трудолюбивая APT-группировка из всех изученных нами (а таковых за последние годы было немало)», сообщают сотрудники «Лаборатории Касперского».

За прошедшее время злоумышленники создали более 45 семейств вредоносных приложений, которые успешно использовалась в сфере кибершпионажа, а также в атаках, направленных на уничтожение данных и выведение из строя самых разных систем. По данным специалистов, именно группа Lazarus несет ответственность за разрушительную атаку на кинокомпанию Sony Pictures Entertainment в 2014 году.

Эксперты из технологической компании Symantec обнаружили доказательства идентичность кибератак на Sony Pictures, ЦБ Бангладеш, банки во Вьетнаме и на Филиппинах. Северокорейские хакеры использовали во всех взломах один и тот же специфический код. Кроме того, на причастность ко всем этим инцидентам группировки Lazarus указывают особые методы стирания следов присутствия в зараженных системах, а также техники, с помощью которых они избегали детектирования антивирусными программами. В итоге десятки различных цифровых атак, организаторы которых до недавнего времени были неизвестны, сводятся к одному источнику — Lazarus.

Представители компании Symantec заявляют, что если подтвердится информация о том, что атаки были организованы КНДР, то это станет первым случаем в мировой истории, когда воровством при помощи хакерства занимается государство.

Зачем это КНДР


Северная Корея остро нуждается в деньгах. Экономика страны страдает от санкций и нехватки продовольствия. Пхеньян не публикует экономические данные, но по некоторым оценкам, ВВП Северной Кореи колеблется между $12 млрд и $40 млрд. Не исключено, что для пополнения бюджета правительство КНДР прибегает к преступным мерам.

К примеру, страна стала местом производства фальшивых денег — правительственные чиновники США уже не раз обвиняли Северную Корею в подделке стодолларовых купюр, которые были известны как superdollars или supernotes, потому что фальшивки были почти неотличимы от оригинала.

Эрик Чиен, специалист по безопасности в компании Symantec, не исключает, что КНДР совершает кибер атаки для получения денег. «При взломе счета ЦБ Бангладеш хакеры пытались украсть $1 млрд, что составляет почти 10 процентов от предполагаемого ВВП КНДР за 2014 год, так что эта идея вполне правдоподобна» — заявляет он.

Как защитить SWIFT


Чтобы изолировать угрозу, которая может исходить от Северной Кореи, банковскую систему этой страны могут отключить от мировой — эта мера обсуждается в качестве санкционной. Помимо этого, российская «Лаборатория Касперского», американские Novetta, AlienVault и Symantec еще зимой 2016 года объявили о проведении масштабной совместной операции «Блокбастер». Заявленная цель операции — остановить группу хакеров Lazarus.

Однако администрация системы SWIFT не полагается исключительно на усилия экспертов из антивирусных компаний. Несмотря на то, что официально система финансовых переводов не берет на себя ответственность за случившиеся инциденты, организация все же выработала 5 мер, с помощью которых надеется способствовать улучшению ситуации в области кибербезопасности.

  1. SWIFT намерена существенно улучшить обмен информацией между участниками всего мирового финансового сообщества. По словам генерального директора SWIFT Готтфрида Лейббрандта (Gottfried Leibbrandt), финансовые институты, боясь дискредитировать свою деятельность, редко сообщают случаях хакерских атак. Такое замалчивание только усугубляет ситуацию и не позволяет предотвратить последующие нападения на банковский сектор.
  2. Кроме того планируется ужесточить правила безопасности для используемого банками программного обеспечения.
  3. SWIFT разработает и предложит своим клиентам специальную «программу контроля порядка осуществления платежей». С ее помощью можно будет на раннем этапе выявить подозрительную активность.
  4. Также система собирается улучшить свои рекомендации и разработать безопасную систему для проведения аудита в банках для своих клиентов
  5. Кроме того, планируется ввести требования для сторонних поставщиков ПО.


Внедрение предложенных мер обойдется финансовым корпорациям в круглую сумму. Однако, только общими усилиями всех представителей индустрии удастся достигнуть результатов.

«SWIFT не всесильна, мы не регулятор, мы не полицейский. Успех зависит от участия всех заинтересованных сторон внутри и вокруг отрасли», — заявляет Лейббрандт.

Бывший генеральный директор SWIFT Леонард Шранк (Leonard Schrank) считает, что ошибки, конечно, будут исправлены. Однако, отражать хакерские атаки с каждым разом будет все труднее, поскольку финансовые учреждения привлекают взломщиков высокого уровня.

Финансовые компании разрабатывают различные средства защиты и самостоятельно — прием они могут быть направлены не только на борьбу с последствиями взломов, но и обычных ошибок ИТ-систем. К примеру, ошибки в работе биржевых систем могут приводить в том числе и к некорректному отображению торговых данных или неверному расчету гарантийного обеспечения для удержания позиции (ошибка может привести даже к преждевременному закрытию сделки)

Для того, чтобы минимизировать возможный ущерб брокерские компании разрабатывают различные системы защиты клиентов. О том, как реализована подобная защита в торговой системе ITinvest MatriX можно прочитать по ссылке.

© Habrahabr.ru