Хакер #305. Многошаговые SQL-инъекции
Специалисты по информационной безопасности из британской военно-промышленной корпорации BAE Systems обнаружили троян, который помог похитить 81 миллиона долларов. Вредоносная программа модифицировала программное обеспечение, при помощи которого ограбленный банк подключается к межбанковской сети SWIFT.
Жертвой хакеров стал центральный банк Бангладеш. В начале февраля 2016 года кто-то проник в его сеть и попытался вывести со счетов без малого миллиард долларов. Многие переводы не прошли, но злоумышленники всё же сумели отправить на счета в Филиппинах 81 миллион долларов. Значительную часть похищенных средств до сих пор не нашли.
В BAE Systems полагают, что злоумышленники установили на сервер центробанка Бангладеш вредоносную программу evtdiag.exe, специально разработанную для этого ограбления. Программа отыскала там одну из динамических библиотек приложения Alliance Access, при помощи которого банки взаимодействуют с межбанковской сетью SWIFT, и поменяла в нём два байта. В результате Alliance Access перестал проверять совершаемые проводки.
После этого троян стал отслеживать сообщения, проходящие через сеть SWIFT. Это дало ему возможность удалять некоторые проводки или менять суммы, информация о которых сохраняется в базе данных Alliance Access на сервере банка. Кроме того, evtdiag.exe мешал распечатывать информацию о проводках злоумышленников, чтобы у банка не осталось письменных свидетельств ограбления. Одним словом, заметал следы, как мог.
В шесть утра 6 февраля 2016 года вредоносная программа автоматически прекратила работу. Известно, что из-за созданных ей проблем с софтом и печатью сотрудникам центробанка Бангладеш понадобилось почти четыря дня, чтобы остановить неавторизованные платежи. За это время злоумышленники успели отмыть через филиппинские казино десятки миллионов долларов.
Проникнуть в сеть банка, по всей вероятности, не составило особого труда. Следствие обнаружило, что её защищённость оставляла желать лучшего. Экономили на всём: в качестве коммутаторов использовались подержанные десятидолларовые устройста, а файрволлов просто не было.
Непонятно другое. Специалисты BAE Systems считают, что троян лишь искажал информацию об отправленных деньгах, чтобы сбить с толку преследователей. Само отправление происходило при помощи какого-то другого механизма, и какого именно, пока неясно.
Представители межбанковской сети SWIFT заявили, что троян не нанёс ей непосредственного вреда. В понедельник организация обновила своё программное обеспечение, чтобы затруднить подобные атаки в будущем. Кроме того, её участники получили рекомендации по мерам, которым необходимо следовать, чтобы избежать повторения бангладешского сценария.