Когда в феврале 2016 года стало известно о впечатляющем взломе центрального банка Бангладеш, в ходе которого за несколько часов со счета банка испарились 81 миллион долларов, заголовки новостей сообщали, что всего лишь досадная опечатка, помешала хакерам украсть почти 1 миллиард долларов!
Взломы банков традиционно направлены на кражу учетных данных владельцев банковских счетов, как физических лиц, так и малых предприятий. Но в этом случае целью хакеров были не пользовательские данные, а сами банки. Точнее их SWIFT счета в международной системе денежных переводов, которую банки используют для перемещения миллиардов долларов между друг другом.
Что такое SWIFT?
SWIFT означает Society for Worldwide Interbank Financial Telecommunication и является консорциумом, который управляет надежной и закрытой компьютерной сетью для связи между банками членами консорциума по всему миру. Консорциум, основанный в 1970-х годах, базируется в Бельгии и находится под контролем Национального банка Бельгии и комитета, состоящего из представителей Федерального резерва США, Банка Англии, Европейского центрального банка, Банка Японии и других стран. Платформа SWIFT имеет около 11 000 пользователей и обрабатывает около 25 миллионов сообщений в день, большинство из которых являются транзакциями денежных переводов. Финансовые учреждения и брокерские конторы, которые используют SWIFT, имеют коды, которые идентифицируют каждое учреждение, а также учетные данные, которые аутентифицируют и проверяют эти транзакции.
Что случилось?
4 февраля 2016 года неизвестные хакеры использовали учетные данные SWIFT сотрудников Центрального банка Бангладеш, чтобы отправить более трех десятков мошеннических запросов на денежные переводы в Федеральный резервный банк Нью-Йорка с просьбой к банку перевести миллионы средств бангладешского банка на банковские счета на Филиппинах, Шри-Ланке и в другие части Азии.
Хакерам удалось получить 81 миллион долларов, отправленных в Rizal Commercial Banking Corporation на Филиппинах через четыре разных запроса на перевод, и еще 20 миллионов долларов, отправленных в Pan Asia Banking за один запрос. Но бангладешскому банку удалось остановить 850 миллионов долларов в других переводах. 4 февраля эти $ 81 млн были зачислены на четыре счета в филиале Rizal в Маниле. Все эти счета были открыты годом ранее, в мае 2015 года, но были бездействующими, и на них находилось всего 500 долларов, пока украденные средства не поступили в феврале этого года.
“Ошибка печати” помогла бангладешскому банку раскрыть ограбление. Система SWIFT банка настроена на автоматическую распечатку записи при каждом прохождении запроса на перевод денег. Принтер работает 24 часа, поэтому, когда рабочие приходят каждое утро, они проверяют лоток на наличие подтвержденных переводов в одночасье. Но утром в пятницу, 5 февраля, директор банка обнаружил, что бумажный лоток для принтера пуст. Когда работники банка заправили принтер бумагой и попытались распечатать отчеты вручную, они не смогли. Программное обеспечение на терминале, который подключается к сети SWIFT, указывало, что критический системный файл отсутствовал или был изменен.
Когда они, наконец, запустили программное обеспечение на следующий день и смогли перезапустить принтер, система выдала десятки подозрительных транзакций. Банк ФРС в Нью-Йорке, очевидно, направил запросы бангладешскому банку, спрашивая о десятках распоряжений о переводе, но никто в Бангладеш не ответил. Паника началась, когда служащие банка в Бангладеш попытались выяснить, прошел ли какой-либо из этих денежных переводов (их собственная система учета показала, что с их счета еще ничего не было снято) и приостановить все переводы, которые еще не исполнились. Они связались со SWIFT и ФРС Нью-Йорка, но злоумышленники хорошо рассчитали время ограбления: потому что в Нью-Йорке уже наступили выходные и им никто не ответил. Лишь в понедельник банковские работники в Бангладеш, наконец, выяснили, что переводы по четырем транзакциям на 101 миллион долларов были исполнены.
Банку Бангладеш удалось убедить Pan Asia Banking аннулировать уже полученные 20 миллионов долларов и перенаправить эти деньги обратно на счет в Федеральном банке Бангладеш в Нью-Йорке. Но 81 миллион долларов, которые ушли в Rizal Bank на Филиппинах, исчезли. Деньги были зачислены на несколько счетов принадлежащих казино на Филиппинах и все, кроме 68 000 долларов США, были сняты 5 и 9 февраля, прежде чем дальнейшие снятия были остановлены.
Хакеры могли бы украсть гораздо больше, если бы не опечатка в одном из запросов на перевод денег, которые попались на глаза служащему Федерального резервного банка в Нью-Йорке. Хакеры, по-видимому, указали, что по крайней мере один из переводов должен поступить в Фонд Шалика (Shalika Foundation), но они ошибочно написали «foundation» как «fandation».
Сколько банков было взломано?
По крайней мере, два, возможно, больше. Спустя 4 месяца SWIFT разослал своим членам уведомление о том, что еще один банк в Азии подвергся аналогичной атаке и что в фирмах-клиентах произошло «небольшое количество недавних случаев мошенничества». В уведомлении не был указан второй банк в Азии, но Tien Phong Bank во Вьетнаме заявил, что в четвертом квартале прошлого года он обнаружил и остановил аналогичный взлом SWIFT на сумму около 1,1 миллиона долларов - до того, как какие-либо средства могли быть переведены.
Хакеры взломали SWIFT?
Не напрямую. Согласно SWIFT, они получили действительные учетные данные, которые банки используют для осуществления денежных переводов через SWIFT, а затем использовали эти учетные данные для инициирования денежных операций, как если бы они были законными банковскими служащими. Как они получили полномочия, неясно. В новостях сообщалось, что инсайдеры могли сотрудничать и предоставлять учетные данные хакерам. Другие сообщения указывают на то, что виноваты были слабые методы компьютерной безопасности в бангладешском банке: у банка, как сообщается, не было установленных межсетевых экранов в его сетях, что повышает вероятность того, что хакеры могли взломать сеть и найти учетные данные, хранящиеся в системе.
Как хакеры скрыли свои следы?
Они установили вредоносное ПО в сети банка, чтобы сотрудники не могли быстро обнаружить мошеннические транзакции. В случае Bangladesh Bank вредоносное ПО подорвало программное обеспечение, используемое для автоматической печати транзакций SWIFT. Хакеры установили его в системе банка в январе, незадолго до того, как 4 февраля они начали фиктивные денежные переводы.
В случае банка во Вьетнаме пользовательское вредоносное ПО было внедрено в PDF ридер, который банк использовал для записи денежных переводов SWIFT. Вредоносная программа,, манипулировала отчетами в формате PDF, чтобы удалить из них следы мошеннических транзакций.
Что значит ограбление?
Даже если хакеры не скомпрометировали саму сеть SWIFT, так что все банки SWIFT были уязвимы, это все равно плохая новость для глобального банковского процесса. Ориентируясь на методы, которые банки-участники используют для проведения транзакций в сети SWIFT, хакеры подрывают систему, которая до сих пор считалась стойкой ко взломам.
Кто виноват?
Ну помимо самих хакеров? ЦБ Бангладеш обвиняет Федеральный резервный банк Нью-Йорка в том, что он позволил осуществить денежные переводы, не дождавшись подтверждения от Бангладеш. ФРС Нью-Йорка возражает, что он связался с банком, чтобы расспросить и проверить десятки подозрительных переводов, и так и не получил ответа. Власти Резервного банка заявили, что работники следовали правильным процедурам при утверждении пяти перечисленных денежных переводов и блокировали 30 других.
Сторона ЦБ Бангладеш говорит, что банк ФРС должен был заблокировать все денежные переводы, пока не получит ответ на те, которые он считал подозрительными.
Какая связь с взломом компании Sony?
Вредоносные программы, обнаруженные в системе бангладешского банка, имеют сходство с некоторыми вредоносными программами, обнаруженными во взломе Sony, которые правительство США приписало хакерам из Северной Кореи. Но, по словам человека, знакомого с расследованием в бангладешском банке, который разговаривал с Bloomberg, эта вредоносная программа не использовалась в фактическом краже. Существуют версии того, что во взломе бангладешского банка были вовлечены три различные хакерские группы, одна из которых имеет возможные связи с хакерами ломавшими Sony.
Правительственные следователи на Филиппинах в настоящее время расследуют этот инцидент, пытаясь выяснить, кто ушел с 81 миллионом долларов, похищенных из бангладешского банка. По сообщениям, как минимум 21 миллион долларов из похищенных средств попал на филиппинский банковский счет компании из Восточных Гавай, управляемой китайским бизнесменом Кимом Вонгом. Вонг говорит, что получил деньги в качестве оплаты за помощь китайскому клиенту в погашении задолженности казино. Казино в этой стране не подпадают под действие законов о борьбе с отмыванием денег, что означает наличие пробелов в ведении записей о том, куда идут деньги, как только их получает казино.
Источник: Wired (англ.)
