Trwa sprzątanie po udanych atakach na banki

Trwa sprzątanie po udanych atakach na banki

Artykuły, Banking, Compliance/AML, Cybersecurity, Hot News Brak komentarzy do Trwa sprzątanie po udanych atakach na banki
Trwa sprzątanie po udanych atakach na banki
Tomasz Świderek
Co najmniej kilkadziesiąt milionów dolarów straciły ostatnio banki w cyberatakach, w których przestępcy znaleźli drogę do transferu pieniędzy wykorzystując system SWIFT. Często to błędy pracowników otwierają przestępcom drzwi do systemów informatycznych. Także tych z pozoru dobrze zabezpieczonych.

Pierwszą znaną ofiarą cyberataku, w którym do przesłania skradzionych pieniędzy wykorzystano infrastrukturę SWIFT, był bank centralny Bangladeszu. Niezidentyfikowani przestępcy skradli z niego 101 mln dol. Z kont Bangladesh Bank znajdujących się w Banku Rezerw Federalnych w Nowym Jorku usiłowali wyprowadzić wielokrotnie więcej.

Ocaleni dzięki literówce

W grę wchodziło w sumie niemal 1 mld dol. Przypadek, a dokładnie literówka w jednej z wiadomości autoryzującej przelewy wysłanej przez SWIFT sprawił, że 30 przelewów na łączną kwotę 850 mln dol. nie zostało zrealizowanych. 20 mln dol., które trafiło do jednego z banków na Sri Lance, odzyskano. Pozostałych 81 mln dol. przesłanych na cztery konta w banku na Filipinach nie udało się do tej pory odzyskać.

Początkowo bank centralny Bangladeszu winą za straty obarczał nowojorski bank. Ten odpowiadał, że zrealizował przesłane mu dyspozycje. Wyjaśniał przy tym, że odbiorcy pieniędzy nie znajdowali się na listach instytucji podejrzanych o pranie pieniędzy.

Society for Worldwide Interbank Financial Telecommunication’s (SWIFT), międzynarodowe stowarzyszenie instytucji finansowych utrzymujące infrastrukturę telekomunikacyjną służącą do wymiany informacji między bankami, od samego początku twierdzi, że atakujący nie złamali jego sieci i że cyberprzestępcy musieli się włamać do systemów bankowych.

O udanym ataku, w którym do autoryzacji przelewów wykorzystano infrastrukturę SWIFT, zrobiło się głośno. W końcu maja Gottfried Leibbrandt, szef SWIFT, przyznał, że jest to „przełomowe wydarzenie dla sektora bankowego” i dodał, że nie jest to „odosobniony przypadek”.

Codziennie z wykorzystaniem SWIFT realizuje się transakcje warte ok. 6 bln dol. Jak na swych stronach internetowych informuje agencje Reuters, SWIFT używany jest m.in. przez europejskie banki wykorzystujące Target2, paneuropejski międzybankowych system rozliczeń w euro. Działający od listopada 2007 r. system wykorzystywany jest w 25 krajach (Narodowy Bank Polski przystąpił do niego w maju 2008 r.). Jak wynika z informacji ze strony internetowej Target2, przez ten system realizowane są średnio 354 263 transakcje dziennie (łącznie na 1,9 bln euro). Jak informuje NBP, w systemie Target2-NBP w 2015 r. realizowano średnio 5293 zlecenia dziennie, a średnie obroty wynosiły 3 mld euro.

Bangladesh Bank nie był jedyny

Dochodzenie ujawniło, że zabezpieczenia banku centralnego Bangladeszu były po prostu słabe. Bank nie korzystał z firewalla, wykorzystywał tanie – kosztujące ok. 10 dol. za sztukę – i podatne na ataki routery. W mediach pojawiły się też informacje, że na kilka miesięcy przed atakiem bezskutecznie starał się o pieniądze na poprawę bezpieczeństwa infrastruktury teleinformatycznej z ministerstwa finansów.

Badający atak eksperci z zajmujących się cyberbezpieczeństwem firm FireEye i World Informatix ustalili, że przestępcy penetrowali systemy informatyczne banku przynajmniej przez dwa tygodnie i przejęli m.in. uprawnienia administratora oraz kontrolę nad serwerami banku. Szkodliwe oprogramowanie typu malware było specjalnie przygotowane do działania ze znajdującymi się w banku systemami umożliwiającymi dostęp do SWIFT.

Eksperci z firmy BAE Systems ustalili, że cyberprzestępcy uzyskali dostęp do bankowych systemów dzięki szkodliwemu oprogramowaniu zaszytemu w plikach PDF przesłanych pocztą elektroniczną pracownikom banku. Według FireEye szkodliwe oprogramowanie może być ukryte także w zawierających makra plikach Excela.

Dość szybko okazało się, że bank centralny Bangladeszu nie był jedynym, z którego wyprowadzono pieniądze, wykorzystując dostęp do SWIFT. Ujawniono, że podobne zdarzenie miało miejsce w ekwadorskim Banco del Austro, gdzie skradziono ponad 12 mln dol., a atak na wietnamski Tien Phong Commercial Bank – usiłowano wyprowadzić ok. 1 mln dol. – się nie udał. Pieniądze miały trafić do jednego z banków w Słowenii.

Informacje o tych cyberatakach zostały ujawnione wiele miesięcy po incydentach. W maju wietnamski bank ujawnił, że atak nastąpił „w ostatnim kwartale ubiegłego roku”, a potem doprecyzował, że był to grudzień. Z kolei ekwadorski bank zaatakowano w styczniu 2015 r.

Przypomniano sobie także o udanym ataku na Sonali Bank w Bangladeszu, z którego w 2013 r. skradziono 250 tys. dol., a pieniądze trafiły do Turcji. Śledczy ustali wówczas, że niezbędne do autoryzacji w systemie SWIFT loginy i hasła zostały wykradzione z użyciem oprogramowania typu keylogger, które rejestruje klawisze naciskane przez użytkownika. Przedstawiciele Sonali Bank twierdzą, że o ataku poinformowali SWIFT.

Eksperci z FireEye uważają, że zaatakowanych zostało jeszcze kilkanaście innych banków w azjatyckich krajach rozwijających się (w tym na Filipinach), a także w Nowej Zelandii, oraz że cyberprzestępcy w ostatnich tygodniach testowali podatność na ataki banków na Bliskim Wschodzie. Testy polegały m.in. na przesyłaniu pracownikom maili z zainfekowanymi załącznikami.

Państwowy skok na bank?

Eksperci z firmy Trend Micro, którzy analizowali szkodliwe oprogramowanie wykorzystane do ataku na Tien Phong Commercial Bank, wykryli, że zawiera ono wykorzystywane w systemie SWIFT kody ośmiu banków. Sześć jest azjatyckich, a dwa pozostałe pochodzą z USA i Europy.

Z kolei eksperci z firmy Symantec w oprogramowaniu użytym do ataków na banki w Bangladeszu, na Filipinach i Wietnamie wykryli fragmenty kodu, który był wcześniej używany w udanych atakach na Sony Pictures oraz na media w Korei Południowej. O te przeprowadzone odpowiednio w 2014 r. i 2013 r. ataki rządy USA i Korei Południowej oskarżyły Koreę Północną.

– Jeśli wierzymy, że Korea Północna stała za tamtymi atakami, to oznacza to, że stoi i za obecnymi – stwierdził w szeroko cytowanej przez media wypowiedzi Eric Chien z Symantec. – Nigdy do tej pory nie widziałem cyberataku, w którym jakieś państwo skradło pieniądze. To się stało po raz pierwszy – dodał.

SWIFT zapowiada zmiany

Choć SWIFT cały czas twierdzi, że nie jest winny wykorzystania do przestępstwa jego infrastruktury, ale szybko pojawiły się głosy, że działający od ponad 40 lat system zbyt słabo informuje swoich klientów o sprawach związanych z cyberbezpieczeństwem. W dziennikarskim śledztwie przeprowadzonym przez agencję Reuters pojawiły się wiadomości, że SWIFT po prostu nie jest informowany przez banki o cyberatakach. Co więcej, nie wie, w ilu takich zdarzeniach do autoryzowania transakcji wykorzystano jego infrastrukturę.

Sam SWIFT najpierw wezwał banki do ujawniania ataków oraz do stosowania dostępnych w jego systemie bardziej zaawansowanych rozwiązań autoryzacji transakcji, a potem – w końcu maja 2016 r. – ogłosił plan działań zwiększających bezpieczeństwo infrastruktury. Chce też zaproponować swoim członkom stworzenie nowych procedur, które miałyby rozpoznawać fałszywe instrukcje przelewu. Takie rozwiązania w bankach detalicznych służą do wykrywania nietypowych transakcji kartami kredytowymi. Ponadto SWIFT chciałby, aby banki obowiązkowo korzystały z dwuskładnikowego uwierzytelniania transakcji. Dziś jest to rozwiązanie opcjonalne.

Organizacja chciałaby również zdalnie monitorować infrastrukturę klientów i jej zabezpieczenia, a także wprowadzić nową procedurę odwołania transakcji. Obecnie anulowanie transakcji możliwe jest tylko między bankami, które mają bezpośrednie relacje, co powoduje problemy przy odwoływaniu instrukcji wysłanej z wykorzystaniem banków pośredniczących.

– Choć każdy klient SWIFT odpowiada za bezpieczeństwo swojego środowiska informatycznego, bezpieczeństwo globalnej bankowości może być zapewnione jedynie zbiorowo. Wymaga to współpracy między SWIFT, naszymi klientami, nadzorcami (są nimi banki centralne 10 krajów rozwiniętych – przyp. t.św.) i dostawcami – mówił Gottfried Leibbrandt.

Światowy alert

Nie tylko SWFIT zareagował na rosnącą liczbę ataków. Jak informował w maju „Financial Times”, banki z krajów strefy euro będą zobowiązane do ujawniania Europejskiemu Bankowi Centralnemu „znaczących cyberataków”, a sam EBC chce uruchomić działający w czasie rzeczywistym system informacji o takich zdarzeniach. Według „FT” od lutego taki obowiązek ma 18 największych banków z krajów strefy euro, a od 2017 roku zostanie on rozszerzony na 130 banków. Za znaczące ataki uznawane są m.in. te, w których wyniku banki poniosły duże straty finansowe albo utraciły dane.

Z kolei Bank Anglii (BoE) nakazał brytyjskim bankom przedstawienie szczegółowych informacji o działaniach podjętych w celu zabezpieczenia komputerów łączących się z systemem SWIFT. Zapowiedział też przeprowadzenie testów, które mają sprawdzić, czy brytyjskie banki stosują się do wszystkich zaleceń bezpieczeństwa rekomendowanych przez SWIFT, m.in. czy zainstalowały wydaną przez tę organizację aktualizację oprogramowania.

Do stosowania się do zaleceń SWIFT wezwał także bank centralny Szwecji Riksbank. Z kolei bank centralny Singapuru nakazał podległym sobie instytucjom utrzymanie wysokiego poziomu bezpieczeństwa systemów, zaś bank centralny Hongkongu ogłosił Cybersecurity Fortification Initiative – plan zwiększenia cyberbezpieczeństwa działających tam banków.

Udane cyberataki, w których banki tracą bardzo duże kwoty, mogą być niebezpieczne dla systemu bankowego. W końcu maja Andrea Enria, przewodniczący Europejskiego Urzędu Nadzoru Bankowego, stwierdził, że państwa Unii Europejskiej powinny przeprowadzić stress-testy banków i instytucji finansowych, aby sprawdzić ich odporność na potencjalne ataki. Enria ostrzegł, ze banki mogą zostać zmuszone do pozyskania dodatkowego kapitału, by zabezpieczyć się przed skutkami cyberataków.

Z zebranych przez nas informacji wynika, że po ataku na Bangladesh Bank w polskim sektorze bankowym nie podjęto nadzwyczajnych działań.

– Od kilku lat ryzyko związane z systemami IT jest w naszej opinii ryzykiem numer dwa w bankach i je monitorujemy – mówi nam Łukasz Dajnowicz, rzecznik KNF.

Przypomina o wydanej w 2013 r. przez KNF rekomendacji D, która dotyczy bezpieczeństwa teleinformatycznego banków i dodaje, że komisja prowadzi audyty jej realizacji.

– Próbujemy zachęcać banki do współpracy i natychmiastowej wymiany informacji o cyberatakach – podkreśla.

Wymiana informacji to fundament

Specjaliści zajmujący się cyberbezpieczeństwem są przekonani, że wymiana informacji o udanych atakach sprzyja zapobieganiu kolejnym, które mogłyby zostać przeprowadzone z wykorzystaniem tych samych narzędzi. Jest też sygnałem alarmowym dla banków, które jeszcze nie zostały skutecznie zaatakowane.

Jak podkreślali w kwietniu eksperci z polskiego oddziału firmy doradczej Deloitte, ukrywanie informacji o udanych cyberatakach zwiększa ryzyko dla wszystkich banków. Podawali przykład jednego z krajów europejskich, w którym w trzy kolejne weekendy przeprowadzono skuteczne ataki tą samą metodą. Żadna z zaatakowanych instytucji nie informowała, że doszło do incydentu, co mogłoby pomóc innym bankom zabezpieczyć się przed zastosowanym schematem ataku.

Warto zauważyć, że gdyby Banco del Austro poinformował o incydencie w styczniu 2015 r. i gdyby dokładne zbadano wtedy jego przebieg, być może udałoby się zapobiec późniejszym cyberatakom, w których transakcje autoryzowano, wykorzystując SWIFT.

Jak nam powiedział Piotr Balcerzak, koordynator ds. bezpieczeństwa banków w Związku Banków Polskich, w „obszarze bezpieczeństwa banki ze sobą nie konkurują, tylko ze sobą współpracują”.

– Liczba i wartość oszukańczych transakcji, które są skutkiem cyberincydentów nakierowanych na klientów banków, skłoniła banki do współpracy i wymiany informacji w sprawach bezpieczeństwa – mówi Piotr Balcerzak i dodaje, że w Polsce banki wymieniają się informacjami o atakach od wielu lat.

Do działań prewencyjnych należy zaliczyć także prowadzone z udziałem banków ćwiczenia bezpieczeństwa. Bank Anglii prowadzi je regularnie, a w ostatnich tygodniach zapowiedział kolejne. BoE chce też przeprowadzić we współpracy z regulatorami z USA transatlantyckie ćwiczenia symulujące duży atak na system finansowy. W Polsce taki sprawdzian dla banków odbył się dwukrotnie i był organizowane przez fundację Bezpieczna Cyberprzestrzeń wraz z Rządowym Centrum Bezpieczeństwa i firmą doradczą Deloitte.

Otwarta-licencja

Autor

Dodaj komentarz

Back to Top