Największe cyberataki na sektor finansowy 2018 roku

6 listopada 2018, 14:36
Ataki finansowe
Fot. Adam Butterick/afrc.af.mil/Domena publiczna

Wraz z rozwijającą się technologią oraz zasobami sieci wzrasta liczba cyberataków. Od dawna głównym powodem ich przeprowadzania były względy finansowe. Dlatego też sektor finansowy, a w szczególności banki są narażone na ataki.

NIEAUTORYZOWANE PRZELEWY W MEKSYKU 

Cyberprzestępcy obrali na cel meksykański system transferu płatności. Pierwsza fala incydentów wiąże się z atakiem na Bancomext (Banco Nacional de Comercio Exterior), będący państwowym bankiem oraz jedną z największych agencji kredytowych dla firm eksportowych w kraju. Na początku stycznia jeden z pracowników odkrył ponadprzeciętną aktywność na koncie Standard Chartered Plc Bancomext, przeznaczonym do międzynarodowych transferów. W wyniku przeprowadzonych analiz wykazano, że hakerzy, podejrzewani o współpracę z Koreą Północną, próbowali wykraść ponad 110 milionów dolarów, zmuszając pożyczkodawcę do czasowego zawieszenia operacji na ponadnarodowej platformie płatniczej.

Drugą falę cyberataków na meksykańskie instytucje finansowe datuje się na koniec kwietnia 2018r., kiedy to ujawniono informację o cyberataku, w którym przestępcy ukradli ponad 300 milionów pesos (ponad 15,3 milionów dolarów). Początkowo System Płatności Elektronicznej Interbank (SPEI) Banco de Mexico zaczął zgłaszać pewne nieprawidłowości w usłudze przelewu międzybankowego. Pierwotnie nie rozpatrywano tego zdarzenia w kategoriach cyberataku, jednak niespójności w procesach bankowych zmusiły władze do uznania, iż mają do czynienia ze złośliwym incydentem. W miarę prowadzenia dochodzenia, stało się jasne, iż napastnicy dokonali nieautoryzowanych przelewów na specjalnie utworzone w tym celu konta.

INDYJSKI SKIMMING

W sierpniu bieżącego roku miał miejsce atak na indyjski Cosmos Bank. W wyniku włamania do systemów skradziono prawie 944 milionów rupii (tj. ok. 13,5 miliona dolarów). Atak na system banku wystąpił 11 sierpnia i trwał do 13. Przeprowadzili go niezidentyfikowani hakerzy, którzy nielegalnie uzyskali dostęp do informacji o kartach kredytowych klientów wraz z kodami SWIFT, poprzez wykorzystanie złośliwego oprogramowania do zainfekowania serwerów bankomatów. Następnie dokonali oni 14 849 transakcji (głównie za granicą), opiewających na łączną kwotę 805 milionów rupii (prawie 11 milionów dolarów) w ciągu nieco ponad dwóch godzin. Poza wykorzystaniem bankomatów przestępcy przekazali ok. 139 milionów rupii (ok. 2,8 miliona dolarów) na rachunek firmy-widmo z siedzibą w Hongkongu, wykonując trzy niezautoryzowane transakcje w globalnej sieci płatności SWIFT. „Ten cyberatak był dokonany przez wiele osób z 22 państw” – podsumował Milind Kale, odpowiedzialny za bezpieczeństwo w Cosmos Bank. Hakerzy odpowiedzialni za ten atak nie zostali zidentyfikowani. 

Miesiąc wcześniej hakerzy włamali się na serwery innego indyjskiego banku – Canara Bank i dokonali kradzieży 20 tysięcy rupii (ok. 300 dolarów) z różnych kont bankowych. Liczba osób, które utraciły środki w tym ataku klientów wynosiła zaledwie 50, jednak powstało prawdopodobieństwo, że przestępcy przechowują dane dotyczące kont ponad 300 użytkowników. Ataków dokonywano za pomocą urządzeń do skimmingu w bankomatach, co umożliwiło kradzież informacji o posiadaczach kart debetowych, a następnie dokonanie transakcji z danego konta. Na początku sierpnia aresztowano w New Delhi dwóch mężczyzn, którzy mogli brać udział w cyberataku. Jak wykazało śledztwo, współpracowali oni ściśle z międzynarodowym gangiem, wyspecjalizowanym w tego typu działalności.

CYBERPRZESTĘPCY KIMA W NATARCIU

Banco de Chile, czyli największy bank kraju, 24 maja został dotknięty cyberatakiem w wyniku którego skradziono 10 milionów dolarów. Sprawcy zablokowali funkcjonowanie setek stacji roboczych oraz serwerów, dzięki czemu możliwe było dokonanie nielegalnych przelewów SWIFT.   Zachodnie agencje wywiadowcze oraz prywatne firmy zajmujące się bezpieczeństwem cybernetycznym za atak obwiniają grupę Lazarusa (zwana również jako Hidden Cobra), która w przeszłości przeprowadzała podobny atak na Bank Centralny Bangladeszu.  Rosyjscy specjaliści posunęli się w swych twierdzeniach jeszcze dalej wskazując, że Lazarusa była kontrolowana przez Bureau 121 (północnokoreańską agencję odpowiedzialną za prowadzenie działań w cyberprzestrzeni), będącej częścią komórki wywiadowczej  Pjongjangu. Podsumowując całe zdarzenie Ofer Israeli, dyrektor wykonawczy Illusive Networks, stwierdził: „Ukierunkowanie na organizacje finansowe jest częścią ich (przyp. red.  grupy Hidden Cobra) długoterminowej strategii, która polega na kompromitowaniu globalnej sieci finansowej poprzez atakowanie małych i średnich banków w Ameryce środkowej i Południowej, których cyberobrona jest mniej zaawansowana, co oznacza dla nich większe prawdopodobieństwo sukcesu”.

ROUTER W ODDZIALE PIR BANKU

3 lipca w siedzibie rosyjskiego PIR Banku doszło do cyberataku w wyniku którego skradziono milion dolarów. Atak przeprowadziła grupa hakerska MoneyTaker, specjalizująca się działaniach przestępczych wymierzonych w instytucje finansowe. Całe zdarzenie rozpoczęło się od incydentu związanego z routerem używanym przez jeden z oddziałów banku. Za jego pomocą hakerzy z Money Taker uzyskali bezpośredni dostęp do lokalnej sieci. Włamując się do niej przestępcy zdołali uzyskać dostęp do AWS CBR (Automatycznej Stacji Roboczej Rosyjskiego Banku Centralnego), tym samym generując zlecenia płatnicze. Następnie zdobyte środki w kliku transzach zostały wysłane na przygotowane wcześniej konta. 4 lipca, gdy pracownicy banku znaleźli nieautoryzowane transakcje z dużymi kwotami, zwrócili się do regulatora o zablokowanie kluczy podpisów cyfrowych AWS CBR. Jednak działania zostały podjęte zbyt późno w związku z czym nie powiodła się próba zatrzymania transferów finansowych na czas. Większość pieniędzy, pochodzących cyberataku przeniesiono na karty 17 największych banków jeszcze tego samego dnia. Hakerzy podjęli również środki, by zatrzeć ślady ataku, utrudniając tym samym działania śledcze. Ostatecznie specjaliści Grupy-IB wykryli incydent w systemie  banku, następnie usunęli zakłócenia i przywrócili jego prawidłowe funkcjonowanie.

ŻĄDANIE OKUPU

Kradzież danych prawie 90 tysięcy klientów Bank of Montreal oraz kanadyjskiego Imperial Bank of Commerce jest pierwszym poważnym cyberatakiem na instytucje finansowe tego kraju. Zdarzenie miało miejsce w drugiej połowie stycznia. Czwarty pod względem wielkości kredytodawca w Kanadzie, Bank of Montreal, poinformował, że cyberprzestępcy ukradli dane osobowe klientów, grożąc jednocześnie ich upublicznieniem, jeśli nie otrzymają okupu w wysokości miliona dolarów. Przedstawiciele poszkodowanych instytucji oświadczyli, iż natychmiast rozpoczęto współpracę z władzami, a także odpowiednie dochodzenie, w celu wyjaśnienia zaistniałej sytuacji. Wskazuje się, że atak został przeprowadzony spoza Kanady, a naruszenia w systemie, które doprowadziły do kradzieży danych zostały naprawione.

INCYDENTY W KENIJSKICH BANKACH

Uważa się, że kenijskie banki straciły co najmniej 860 tysięcy dolarów w wyniku działalności hakerów w bieżącym roku. Apogeum cyberataków był czerwiec, kiedy przestępcy dokonywali kolejno następujących po sobie włamań do różnych systemów finansowych. East African (przyp. red. EA, organizacja międzyrządowa Afryki Wschodniej złożona z państw regionu Wielkich Jezior Afryki) poinformowała, że jeden z banków na skutek cyberataku utracił milion dolarów, z czego 630 tysięcy udało się odzyskać. W następnym incydencie z funduszy skradziono 120 tysięcy. Jak podaje EA „środki te zostały wypłacone za pośrednictwem mobilnych pieniędzy platformy internetowej”. To nie był jednak koniec działalności hakerów. Niedługo potem, 21 czerwca, przestępcy dokonali ataku w kolejnym banku, w którym za pośrednictwem bankowości internetowej wykradli prawie 910 tysięcy dolarów. Działania podjęte przez odpowiednie organy umożliwiły odzyskanie niemal połowy skradzionej sumy (ok. 500 tysięcy dolarów). Specjaliści z zakresu cyberbezpieczeństwa i sektora finansów wskazują, że intensywność nielegalnej działalności wymierzonej w sektor finansowy może w tym kraju wzrosnąć ze względu na jej atrakcyjny dla hakerów charakter (m.in. słabo rozbudowane zabezpieczenia sieci i systemów bankowych w tym kraju).

BRAZYLIJSKIE FAŁSZERSTWO

W bieżącym roku cyberprzestępcy zaatakowali również brazylijskie instytucje finansowe. Hakerskie działania wymierzone były w routery modemów DLink DSL, co miało skutkować kradzieżą wrażliwych informacji dotyczących użytkowników banków. Kampania, którą badacze Qihoo Netlab 360 nazwali „GhostDNS”, składała się z czteroczęściowego systemu: modułu internetowego wyłudzania informacji, modułu administratora sieci, fałszywego modułu DNS i modułu DNSCharger. Ten ostatni był głównym modułem kampanii szkodliwego oprogramowania. Składał się z podmodułów, które odpowiadają programom JavaScript i Python. Schemat ataku rozpoczął się od próby zmiany systemu nazw domen oraz ustawień serwerów DNS routerów zlokalizowanych w Brazylii. Oszuści następnie przekierowali wszystkie żądania przechodzące przez serwer DNS na złośliwą platformę. Pierwszym bankiem dotkniętym przez ten cyberatak był Banco de Brasil. Hakerzy przekierowywali jego klientów na fałszywą stronę internetową, gdzie byli w stanie wykraść kluczowe informacje. Złośliwa witryna wymagała od użytkowników podania takich danych jak: numer agencji bankowej, numer konta i PIN czy numer telefonu komórkowego. Mimo że oficjalna strona banku nie została zhakowana, było to skuteczne oszustwo, ponieważ użytkownicy banku nie mogli stwierdzić z pełną stanowczością, że strona, z której korzystają jest nieprawdziwa. Itau Unibanco, również padł ofiarą podobnego ataku, jednak fałszywa strona internetowa  natychmiast została usunięta. W związku z intensyfikacją złośliwej działalności w sieci pozostałe brazylijskie banki zostały powiadomione o możliwości wystąpienia podobnego cyberataku w przyszłości.

HOLENDRZY W OPAŁACH

ABN AMRO, holenderski bank z siedzibą w Amsterdamie, doznał na początku roku serii ataków DDoS. W weekend 27-28 stycznia na serwery banku wysyłane zostały duże ilości danych, które zablokowały prawidłowe funkcjonowanie systemów. Na skutek tego użytkownicy mieli utrudniony dostęp do strony instytucji. Wystąpiły również zakłócenia w operacjach finansowych.  W oświadczeniu ABN AMRO stwierdzono, że ataki zostały zatrzymane, a zasoby finansowe oraz bazy danych są w pełni bezpieczne. Przedstawiciele banku podkreślili, że „inne holenderskie banki także zostały dotknięte podobnymi atakami w tym okresie czasu”. Mowa tutaj o ING oraz Rabobank. Wspomniane działania były cięższe, intensywniejsze oraz trwały dłużej niż zwykle. Nie przyniosły jednak strat finansowych żadnej instytucji, a bezpieczeństwo klientów nie było zagrożone. Specjaliści z zakresu cyberbezpieczeństwa nie wiedzą dokładnie, kto stoi za atakami. Nieskuteczne okazuje się również zidentyfikowanie ich konkretnego źródła

KomentarzeLiczba komentarzy: 0
No results found.
Reklama
Reklama C24-A1
Reklama
Tweets CyberDefence24