Hogyan húzta le a hackerek egy 20 millió dolláros mexikói bankot


2018 januárjában a hackerek egy csoportja, akik most úgy gondolják, hogy az észak-koreai állam által támogatott Lazarus-csoportnál dolgoznak, 110 millió dollárt loptak a bancomói Mexikói kereskedelmi banktól. Ez az erőfeszítés nem sikerült. De csak néhány hónappal később, egy kisebb, mégis még mindig kidolgozott támadássorozat lehetővé tette, hogy a hackerek 300–400 millió pesót szedhessenek le, vagyis a mexikói bankokból körülbelül 15–20 millió dollárt. Íme, hogyan csinálták.

Az elmúlt pénteken San Franciscóban megrendezett RSA biztonsági konferencián Josu Loza, az áprilisi támadások után bekövetkezett incidens-tesztelő és biztonsági tanácsadó bemutatta, hogy a hackerek hogyan hajtották végre a digitális jogokat és a mexikói tereket. A hackerek kapcsolata nyilvánosan ismeretlen. Loza hangsúlyozza, hogy míg a támadások több hónapos vagy akár évek során is nagy szakértelemre és tervezésre szorultak, a mexikói pénzügyi rendszer hirtelen és bizonytalan hálózati architektúrája, valamint a központi banki Banco által vezetett hazai pénzátutalási platform SPEI biztonsági felügyeletei lehetővé tették. de México, Banxico néven is ismert.

Egyszerű Pickings

A célzott bankrendszerek biztonsági lyukainak köszönhetően a támadók hozzáférhetnek a nyilvános internetes belső kiszolgálókhoz, vagy phishing támadásokat indítottak, hogy kompromisszumot kapjanak a vezetők – vagy akár rendszeres alkalmazottak – számára, hogy legyenek. Számos hálózat nem rendelkezett erős hozzáférési ellenőrzésekkel, így a hackerek sok kilométert tudtak elérni a veszélyeztetett munkavállalói hitelesítő adatokból. A hálózatok nem voltak jól szegmentáltak, vagyis a behatolók ezt a kezdeti hozzáférést használhatják, hogy mélyen behatoljanak a bankok SPEI-hez való kapcsolataiba, és végül SPEI tranzakciós szervereibe, vagy akár a mögöttes kódalapjába.

Rosszabbá tétele érdekében a belső banki hálózatokon belüli tranzakciós adatokat nem mindig megfelelően védették, ami azt jelenti, hogy a támadók, akik bekerültek, potenciálisan nyomon követhetik és manipulálhatják az adatokat. És bár az egyes felhasználók és bankjaik közötti kommunikációs csatornák titkosítottak, a Loza azt is javasolja, hogy maga az SPEI alkalmazás hibás, és nem volt megfelelő ellenőrzési ellenőrzés, ami lehetővé tette a hamis tranzakciók lecsúszását. Előfordulhat, hogy az alkalmazás egyenesen veszélyezteti az ellátási lánc támadását, hogy megkönnyítse a sikeres rosszindulatú tranzakciókat a rendszeren keresztül.

Mindezek a sebezhető pontok együttesen lehetővé tették a hackerek számára, hogy kiterjedt alapokat teremtsenek, végül létrehozva az infrastruktúrát, amire szükségük volt a tényleges készpénz megragadásához. Amint ez a helyén volt, a támadások gyorsan mozogtak.

A hackerek kihasználják a hiányosságokat abban, hogy az SPEI által hitelesített küldőfiókok kezdeményezzenek egy pénzátutalást egy nem létező forrásból, mint például a „Joe Smith, számlaszám: 12345678”. egy úgynevezett készpénz-öszvér, hogy visszavonja a pénzt, mielőtt a bank rájött volna, mi történt. Minden rosszindulatú tranzakció viszonylag kicsi volt, tíz vagy több százezer pesó tartományban. „Az SPEI napi és millió millió pesót küld naponta és naponta, ez a művelet nagyon csekély százaléka lenne” – mondja Loza.

A támadóknak potenciálisan több száz öszvérrel kellett dolgozniuk, hogy az összes ilyen kivonást idővel lehessen. Loza azt mondja, hogy a hálózat toborzása és képzése erőforrásigényes lehet, de az nem ösztönözné őket. Talán 5 000 pesóra jutna egy emberre – kevesebb mint 260 dollárra.

Ébresztő telefonhívás

A SPEI maga és az alkalmazást körülvevő infrastruktúra nyilvánvalóan érett a támadásra. Banxico, amelyet a WIRED nem tudott megjegyezni, az augusztus végén közzétett kriminalisztikai jelentésben elmondta, hogy a támadások nem voltak közvetlen támadások a Banxico központi rendszereire, hanem inkább a figyelmen kívül hagyott vagy gyenge összeköttetésekre irányultak a nagyobb Mexikói pénzügyi rendszer. A támadók megközelítése "mélyreható ismereteket igényelt a technológiai infrastruktúráról és az áldozati intézmények folyamatairól, valamint a hozzájuk való hozzáférésről" – írta Banxico. "A támadás nem az volt, hogy az SPEI-t működésképtelenné tegye vagy behatoljon a központi bank védelmébe."

A nemzetközi pénzátutalási rendszerrel (Swift) hasonló csalás felborult a világ minden tájáról, beleértve a hírhedt eseményeket Ecuadorban, Bangladesben és Chilében. De az SPEI a Banxico tulajdonában van, és csak Mexikóban használatos. Az áprilisi támadások után a bank szigorította a pénzátutalásokkal kapcsolatos politikáit és ellenőrzését, hogy a mexikói bankok számára minimális kiberbiztonsági szabványokat hozzon létre, amelyek összekapcsolják rendszerüket az SPEI-vel.

"A mexikói embereknek együtt kell működniük. Minden intézménynek többet kell együttműködnie" – mondja Loza. "A kiberbiztonsági fő probléma az, hogy nem osztjuk meg a tudást és az információt, vagy nem beszélünk a támadásokról. Az emberek nem akarnak nyilvánosságra hozni az eseményeket."

Loza hozzáteszi, hogy bár még mindig fennáll a fenyegetés, hogy új támadások következnek be, a mexikói bankok az elmúlt évben jelentős mértékben fektettek be védekezésük megerősítésére és a hálózati higiénia javítására. "A múlt évtől a mai napig a hangsúly a kontrollok végrehajtása volt. Ellenőrzés, ellenőrzés, ellenőrzés," mondja. "És úgy gondolom, hogy a támadások ma nem történnek meg. De a legfontosabb dolog az a tudatváltás, amely az üzleti felhasználókat a jobb biztonságért akarja fizetni."

Az ilyen típusú rabszolgák azonban olyan sikeresek voltak a világon, hogy nem lesz könnyű megállítani. És miközben megteszik a támadókat, hogy felállítsanak, még mindig több tízmillió dollárt tudnak megtenni. És minden anélkül, hogy széttörnék a széfet.


Nagyszerű WIRED történetek