За даними Reuters, прогалина в Alliance Access дозволяла вірусу evtdiag.exe зтирати записи про недозволені перекази
Уразливість у міжнародній міжбанківській системі передачі інформації SWIFT, якою користуються тисячі фінансових інститутів і кредитних орагнізацій, могла стати причиною, через яку хакерам вдалося вкрасти 81 мільйон у Центрального банку Бангладеш. Про це з посиланням на висновки британської компанії BAE Systems, що займається розробками у галузі озброєнь та інформаційної безпеки, повідомляє агентство Reuters.
Як зазначається, представники BAE Systems підтвердили, що їм вдалося виявити шкідливу програму, яку зловмисники використовували для управління клієнтським програмним забезпеченням, так званим Alliance Access.
Зокрема, британська компанія заявила про плани представити у своєму блозі висновки, які стосуються крадіжки із ЦБ Бангладеш. Як розраховують у BAE Systems, вони допоможуть іншим банкам запобігти подібні кібератаки.
За версією слідства, хакери проникли в комп'ютерну мережу Центробанку і взяли під контроль облікові дані, які використовуються для виходу до SWIFT. Однак, на думку BAE, мова йде про уразливість у програмному забезпеченні, яка дозволила стерти записи про недозволені перекази.
Вірус, що має назву evtdiag.exe, дозволяє приховати сліди атаки за допомогою зміни даних у базі, яка відстежує відомості про запити на транзакції. Програма може як видаляти записи про вихідні запити, так і перехоплювати вхідні повідомлення, що підтверджують проведення переказів.
При цьому програму було написано спеціально для атаки на ЦБ Бангладеш. "Але загальні інструменти, методи і алгоритми, які використовувалися при атаці, можуть дозволити зловмисникам завдати нового удару", - йдеться у прес-релізі BAE.
Як додала прес-секретар SWIFT, розробники були обізнані про зловмисні програми, які загрожують клієнтському програмному забезпеченню. Своєю чергою, Організація всесвітніх міжбанківських фінансових телекомунікацій (SWIFT) пообіцяла випустити оновлення, яке "допоможе клієнтам у підвищенні безпеки та виявленні невідповідностей у локальних базах даних".
"Водночас ми тримаємо всі продукти інтерфейсу під постійним контролем і рекомендуємо іншим виробникам робити те ж саме: головним способом захиститися від таких атак є застосування користувачами належних заходів безпеки в конкретних умовах для захисту систем", — заявив представник SWIFT.
Про велике виведення коштів ЦБ Бангладеш стало відомо на початку березня. Хакери намагалися вивести 951 млн доларів з коррахунків у Федеральному резервному банку Нью-Йорка. Велику частину операцій було заблоковано, однак 81 мільйон був переведений на Філіппіни.
Як раніше повідомляв Bloomberg, один із топ-менеджерів центробанку Бангладеш виявив, що лоток принтера, який автоматично роздруковує підтвердження переказів від міжбанківської системи SWIFT, спорожнів. Наступного дня з'ясувалося, що програма обміну з терміналом SWIFT не реагує на команди. Після перезапуску з'ясувалося, що Федеральний резервний банк Нью-Йорка направив ЦБ запити про понад 40 сумнівних переказів.
Згодом керуючий центробанку Бангладеш Атіур Рахман подав у відставку у зв'язку з подією, заявивши, що бере на себе моральну відповідальність за те, що негайно не доповів Міністерству фінансів Народної Республіки Бангладеш про розкрадання.
Нагадаємо, Україна випередила Росію за кількістю зафіксованих DDoS-атак за підсумками I кварталу.
Раніше Kaspersky виявив хакерів-мисливців за даними топ-менеджерів.