Группа киберпреступников взломала мировую банковскую систему и нанесла её на карту. В результате серии атак она украла $81 млн у центробанка Бангладеш. По мнению экспертов, атаки совершены через уязвимое место в банковской системе SWIFT, соединяющей свыше 11 тысяч финансовых учреждений по всему миру.
В ходе расследования всплыла информация об атаках и на другие банки. Некоторые эксперты считают, что атаки осуществляют хакеры из Северной Кореи, поскольку использованный ими инструментарий схож с хакерской атакой на Sony Pictures Entertainment в ноябре 2014 года.
Однако, по словам инсайдера, непосредственно знакомого с недавними атаками, за цифровыми ограблениями банков стоят гораздо более крупные фигуры.
На скриншоте, который предоставил инсайдер, показано, как взламывается сертификат сети денежных переводов одного из принадлежащих Мексике банков в американском Нью-Джерси. Хакеры могут использовать этот сертификат для отправки сообщений через сети этой компании, которые будут автоматически подтверждать получатели.
Китайские хакеры, нанятые китайскими властями, выявили уязвимое место и использовали его, чтобы проникнуть в мировую финансовую систему и заразить её, говорит инсайдер. Когда в прошлом году закончился их контракт с китайскими властями, чтобы избежать обнаружения, они продали данные киберпреступным группировкам на частном рынке в даркнете. Даркнет [англ. «тёмный интернет»] — альтернативный Интернет, в который можно попасть, используя специальные компьютерные программы. И хотя даркнет имеет и законное использование, на его форумах покупают, продают и строят заговоры преступные группировки.
Под началом государства в Китае работает большая сеть хакеров — при Генштабе, Третьем управлении армии КНР. Эти хакеры выполняют приказы китайских властей, а также часто занимаются и другими вещами или продают данные посторонним, чтобы получить личную финансовую выгоду. Мы разоблачили эту систему в предыдущей серии расследований.
Утверждается, что киберпреступные группировки, купившие данные об уязвимом месте в мировой банковской системе, как раз и осуществляют нынешние атаки и незаконные денежные переводы.
«Китайцы получили постоянный доступ к нужным им финансовым сетям и извлекли все данные, которые им нужны для выполнения контракта с их спонсором, — говорит инсайдер. — Получив в своё распоряжение данные, они могут продолжать их монетизировать, поэтому сейчас они продают их преступным сообществам».
Процесс пробития бреши
Код, который используется для входа в систему через уязвимое место, берётся из множества мест, и если исследователи посмотрят на эту брешь с поверхности, то могут прийти к ложным выводам. По словам инсайдера, часть кода китайские хакеры написали сами, а часть купили у российских университетов.
По информации нашего источника, китайские хакеры не продают данные об уязвимом месте какой-то одной конкретной группировке киберпреступников.
Инсайдер предоставил криминалистические данные и скриншоты в доказательство своих слов, а также список банков, ставших мишенями такой деятельности, и отметил, что этот список продолжает расти. Он включает длинный перечень банков и финансовых систем, связанных со взломанной банковской сетью-партнёром, среди них несколько в США, Латинской Америке и Азии.
Китайские государственные хакеры начали атаки на банковские сети ещё в 2006 году, говорит инсайдер, а загружать вредоносное ПО в банковские сети начали в 2013 году.
И хотя брешь в SWIFT предали гласности, по его словам, китайские хакеры также взломали сеть денежных переводов, которая находится в ведении банка, принадлежащего Мексике, который расположен в американском Нью-Джерси.
«В принципе, ключевая инфраструктура Мексики находится во владении той же самой группировки ЦУУ, — отметил он. ЦУУ — целенаправленная устойчивая угроза — [целенаправленная, хорошо спланированная многоходовая кибератака с использованием методов социальной инженерии (социотехники)] для обозначения китайских государственных хакеров.
«Они проникли повсюду», — сказал инсайдер, имея в виду уровень доступа, который китайские государственные хакеры получили к критически важным сетям в Мексике.
Пост на форуме киберпреступников в даркнете предлагает доступ в сети правительства Мексики, утверждая, что этот элемент «идеально подходит для кибершпиона». Скриншот предоставлен инсайдером.
Пост на форуме киберпреступников в даркнете продаёт доступ в мексиканский телекоммуникационный сервис, соединяющий 32 страны. Скриншот предоставлен инсайдером
Пост на форуме киберпреступников в даркнете продаёт доступ в мексиканскую Федеральную комиссию по электроэнергии. Скриншот предоставлен инсайдером
Пост на форуме киберпреступников в даркнете продаёт доступ ко «всей информации» по Мексике, он содержит новый метод взлома сетей, а также включает «крупные компании» в финансовом секторе. Скриншот предоставлен инсайдером
Китайские государственные хакеры начали продавать данные организациям киберпреступников в июне 2015 года. И эти организации сразу же использовали его, чтобы начать составлять карты, тестировать и заражать банки и финансовые системы.
По словам нашего источника, хакеры пользуются уязвимым местом в коде, который использовался для создания веб-приложений под названием Apache Struts v2. Оно было уязвимо ещё в 2006 году, а залатали дыру только в 2013 году. Инсайдер также отметил, что после получения доступа хакеры с тех пор вошли во многие другие финансовые сети, которые сделали своей мишенью.
И хотя китайские государственные хакеры продали доступ в банковские сети, инсайдер отметил, что они всё ещё обладают доступом в большую часть мировой банковской системы, составляют карты и заражают её на протяжении последних восьми лет.
Инсайдер предположил, что китайские государственные хакеры продают доступ и для получения прибыли, и чтобы использовать банду киберпреступников как отвлекающий фактор от своих брешей более высокого уровня. Он утверждает, что это может быть ранней стадией всемирного банковского кризиса.