Miten hakkerit vetivät pois 20 miljoonan dollarin Meksikon pankin heistin


Tammikuussa 2018 joukko hakkereita, joiden uskotaan nyt toimivan Pohjois-Korean valtion sponsoroiman ryhmän Lazarus, yritti varastaa 110 miljoonaa dollaria Meksikon kaupalliselta pankilta Bancomextilta. Tämä ponnistus epäonnistui. Mutta vain muutama kuukausi myöhemmin pienempi mutta silti kehittynyt joukko hyökkäyksiä salli hakkerit sifonoimaan 300-400 miljoonaa pesoa tai noin 15 – 20 miljoonaa dollaria Meksikon pankeilta. Näin he tekivät sen.

Viime perjantaina San Franciscossa pidetyssä RSA: n turvallisuuskonferenssissa huhtikuun hyökkäysten jälkeen tapahtumien vastaajana toiminut tunkeutumiskokeilija Josu Loza esitteli havaintoja siitä, miten hakkerit toteuttivat heistit sekä digitaalisesti että kentällä Meksikon ympärillä. Hakkerien sitoutuminen on edelleen tuntematon. Loza korostaa, että vaikka hyökkäykset todennäköisesti vaativat laajamittaista asiantuntemusta ja suunnittelua kuukausien tai jopa vuosien aikana, Meksikon rahoitusjärjestelmän arkkitehtuuri ja turvattomuus, sekä keskuspankin Banco-pankin kotimaan rahansiirtoalustan SPEI: n turvallisuusvalvonta. de México, joka tunnetaan myös nimellä Banxico.

Helppo poiminta

Kohdennettujen pankkijärjestelmien tietoturva-aukkojen ansiosta hyökkääjät olisivat päässeet julkisista Internetistä sisäisiin palvelimiin tai käynnistäneet phishing-iskut kompromisseakseen johtajat – tai jopa vakituiset työntekijät – saamaan jalansijaa. Monilla verkoilla ei ollut vahvaa pääsykontrollia, joten hakkerit voisivat saada paljon mittarilukua työntekijöiden valtuutetuista valtakirjoista. Verkot eivät myöskään olleet hyvin segmentoituneita, mikä tarkoittaa, että tunkeilijat voisivat käyttää tätä alkuperäistä pääsyä tunkeutumaan syvälle pankkien yhteyksiin SPEI: hen ja lopulta SPEI: n tapahtumapalvelimiin tai jopa sen taustalla olevaan koodipohjaan.

Mikäli asia pahenee, sisäisten pankkiverkkojen liiketoimintatietoja ei aina suojattu riittävästi, mikä tarkoittaa, että hyökkääjät, jotka olivat lyöneet sisään, voivat seurata ja manipuloida tietoja. Ja vaikka yksittäisten käyttäjien ja niiden pankkien väliset viestintäkanavat salattiin, Loza ehdottaa myös, että SPEI-sovelluksella itsessään oli vikoja ja että niillä ei ollut riittäviä validointitarkastuksia, joiden avulla oli mahdollista luopua väärennöksistä. Sovellus saattaa olla jopa vaarantunut suoraan toimitusketjun hyökkäyksessä, helpottaakseen onnistuneita haittaohjelmia, kun ne siirtyivät järjestelmän läpi.

Kaikki nämä haavoittuvuudet yhdessä mahdollistivat hakkerien laajan pohjatyön, lopulta perustamalla infrastruktuurin, jota he tarvitsivat varsinaisten käteisrauhojen toteuttamiseksi. Kun se oli paikallaan, hyökkäykset siirtyivät nopeasti.

Hakkerit hyötyisivät siitä, miten SPEI: n validoidut lähettäjän tilit aloittavat rahansiirron ei-olemassa olevasta lähteestä, kuten "Joe Smith, tilinumero: 12345678." ns. käteisrahaa, joka vetäisi rahat ennen kuin pankki huomasi, mitä oli tapahtunut. Jokainen haittaohjelma oli suhteellisen pieni, kymmenien tai satojen tuhansien pesojen välillä. "SPEI lähettää ja vastaanottaa päivittäin miljoonia ja miljoonia pesoja, tämä olisi ollut hyvin pieni prosenttiosuus tästä toiminnasta", Loza sanoo.

Hyökkääjät olisi mahdollisesti tarvinnut työskennellä satojen muulien kanssa, jotta kaikki nämä poistot olisivat mahdollisia ajan mittaan. Loza sanoo, että verkoston rekrytointi ja kouluttaminen voisi olla resursseja vaativa, mutta se ei maksa paljon kannustaakseen niitä. Ehkä 5000 pesoa per henkilö – alle 260 dollaria – riittää.

Herätyssoitto

Itse SPEI ja sovellusta ympäröivä infrastruktuuri olivat ilmeisesti kypsiä hyökkäykseen. Banxico, jota WIRED ei voinut saada kommentoitavaksi, sanoi elokuun lopussa julkaistussa oikeuslääketieteen analyysiraportissa, että hyökkäykset eivät olleet suora hyökkäys Banxicon keskusjärjestelmiin, vaan kohdistettiin sen sijaan suuriin Meksikon rahoitusjärjestelmä. Hyökkääjien lähestymistapa edellytti "syvällistä tietämystä teknologian infrastruktuurista ja uhrien toimielinten prosesseista sekä niiden saatavuudesta", Banxico kirjoitti. "Hyökkäyksen ei ollut tarkoitus tehdä SPEI: stä käyttökelvoton tai tunkeutua keskuspankin puolustukseen."

Samankaltainen petos, jossa käytetään kansainvälistä rahansiirtojärjestelmää Swift, on kasvanut ympäri maailmaa, mukaan lukien pahamaineiset tapahtumat Ecuadorissa, Bangladeshissa ja Chilessä. Mutta SPEI: n omistaa ja käyttää Banxico, ja sitä käytetään vain Meksikossa. Huhtikuun iskujen jälkeen pankki tiukensi rahansiirtoja koskevaa politiikkaansa ja valvontaa, jotta Meksikon pankeille vahvistettaisiin vähimmäisoikeudelliset turvallisuusvaatimukset, jotka yhdistävät järjestelmänsä SPEI: hen.

"Meksikon kansan täytyy alkaa toimia yhdessä. Kaikkien toimielinten on tehtävä enemmän yhteistyötä", Loza sanoo. "Suurin ongelma kyberturvallisuudessa on se, että emme jaa tietoa ja tietoja tai puhu tarpeeksi hyökkäyksistä. Ihmiset eivät halua tehdä tietoja julkisista tapahtumista."

Loza lisää, että vaikka hyökkäysten uusi ihottuma on edelleen olemassa, Meksikon pankit ovat viime vuoden aikana panostaneet voimakkaasti puolustuksensa parantamiseen ja verkkohygienian parantamiseen. "Viime vuodesta nykyään keskitytään valvonnan toteuttamiseen. Valvonta, valvonta, valvonta", hän sanoo. "Ja mielestäni hyökkäykset eivät tapahdu tänään sen takia. Mutta tärkeintä on mielenvaihto, joka tekee yrityskäyttäjät haluavat maksaa paremmasta turvallisuudesta."

Tämäntyyppiset heistit ovat olleet niin menestyksekkäitä kaikkialla maailmassa, että niitä ei ole helppo pysäyttää. Ja vaikka he ottavat hyökkääjiä ponnistelemaan, he voivat silti nettoa kymmeniä miljoonia dollareita. Ja kaikki ilman, että sinun täytyy murtaa turvallinen.


Lisää suuria WIRED-tarinoita