2018 metų sausį programišių grupė, kuri, kaip dabar manoma, dirba Šiaurės Korėjos valdžios finansuojamai grupuotei „Lazarus“, iš Meksikos komercinio banko „Bancomext“ bandė pavogti 97 mln. eurų. Nepavyko. Bet vos po kelių mėnesių po kelių mažesnių, bet gudresnių kibernetinių išpuolių programišiai iš Meksikos bankų sugebėjo nusiurbti tarp 300 ir 400 mln. pesų. Istoriją, kaip jie tai padarė, aprašė leidinys „Wired“.
2018 metų sausį programišių grupė, kuri, kaip dabar manoma, dirba Šiaurės Korėjos valdžios finansuojamai grupuotei „Lazarus“, iš Meksikos komercinio banko „Bancomext“ bandė pavogti 97 mln. eurų. Nepavyko. Bet vos po kelių mėnesių po kelių mažesnių, bet gudresnių kibernetinių išpuolių programišiai iš Meksikos bankų sugebėjo nusiurbti tarp 300 ir 400 mln. pesų (14–18 mln. eurų). Istoriją, kaip jie tai padarė, aprašė leidinys „Wired“.
Praėjusią savaitę San Fransiske vykusioje kibernetinio saugumo konferencijoje RSA konsultantas ir tinklų saugumo testuotojas Josu Loza, dalyvavęs balandį vykusio incidento tyrime, papasakojo, kaip programišiai skaitmeninėje ir realioje erdvėje įvykdė šią vagysčių seriją.
Ekspertai iki šiol negali vienareikšmiškai priskirti nusikaltimo vykdytojų kokiai nors aiškiai grupuotei ar valstybei. J.Loza pabrėžė, kad šios operacijos planavimui veikiausiai prireikė mėnesių ar net metų, be to, negalima abejoti išpuolio vykdytojų ekspertize, tačiau kibernetinio saugumo žinovas nurodė, kad pagrindinė priežastis, dėl ko šios vagystės įvyko – nesaugi Meksikos finansų sistemos tinklo architektūra ir Meksikos vietinių pinigų perlaidų platformos SPEI, kurią valdo centrinis bankas „Banco de México“ („Banxico“) saugumo priežiūros trūkumai.
Lengvi pinigai
Dėl bankų, į kuriuos buvo nusitaikyta, saugumo spragų vagys iš viešojo interneto galėjo gauti prieigą prie vidinių bankų serverių arba prieigą prie sistemų gavo vykdydami phishingo atakas prieš įstaigų vadovus ar net paprastus darbuotojus. Daugelyje tinklų nebuvo stiprios prieigos kontrolės, todėl programišiai, gavę darbuotojų ar vadovų prisijungimo duomenis, galėjo nuveikti labai daug ką. Be to, bankų tinklai nebuvo tinkamai segmentuoti, todėl kibernetiniai vagys su pavogtais prisijungimo duomenimis galėjo prieiti prie giliai paslėptų bankų susijungimų su SPEI platforma, o tuomet – ir prie SPEI platformoje perlaidas valdančių tarnybinių stočių ar netgi tose stotyse naudojamos programinės įrangos išeities kodo.
Dar blogiau – tarpbankinių perlaidų duomenys ne visada būdavo tinkamai apsaugoti, o tai reiškia, kad giliai nusikapstę programišiai teoriškai galėjo stebėti perlaidų duomenis ir jais manipuliuoti. Ir nors komunikacijų kanalai tarp paprastų banko klientų ir pačių bankų buvo šifruoti, J.Loza taip pat iškėlė hipotezę, kad pačioje SPEI programoje buvo klaidų ir trūko patikrinimo priemonių, dėl ko buvo įmanoma įterpti netikrų pinigų pervedimo nurodymų. Taip pat yra tikimybė, kad vagys gavo prieigą prie SPEI programos kažkur tiekimo grandinėje, tokiu būdu įgydami galimybę padidinti sėkmingą netikrų piniginių perlaidų (t. y. pinigų vagystės) tikimybę.
Kartu sudėjus visos šios klaidos ir saugumo spragos programišiams suteikė galimybę pasirengti operacijai ir susikurti visą infrastruktūrą, kuri buvo reikalinga galutiniam operacijos etapui – vagystei. O kai pasirengimas buvo užbaigtas, paskutinioji ataka buvo vykdoma labai staigiai.
Programišiai, pasinaudoję SPEI spragomis, patvirtino pinigų siuntėjų sąskaitas ir taip inicijuodavo pinigų perlaidas iš neegzistuojančių šaltinių, kaip, antai, „Joe Smithas, sąskaitos numeris 12345678“. Tuomet neegzistuojantys pinigai būdavo nukreipiami į tikras, tačiau pseudonimais maskuojamas sąskaitas, kurias jau valdė patys vagys ir nusiųsdavo „mulus“ išsigryninti pinigus dar prieš tai, kaip bankai suspėdavo sureaguoti į incidentą. Kiekvienos netikros perlaidos suma buvo santykinai nedidelė – nuo dešimčių iki šimtų tūkstančių pesų. „SPEI sistemoje kiekvieną dieną išsiunčiama ir gaunama daugybė milijonų pesų, tad netikros operacijos sudarė labai mažą procentinę viso tinklo veikimo dalį“, – sakė J.Loza.
Manoma, kad vagys „įdarbino“ šimtus pinigų išgrynintojų, kad būtų laiku suspėta paimti visus pinigus. J.Loza mano, kad daug laiko ir energijos turėjo pareikalauti būtent tokių „mulų“ samdymas, kiekvieno jų samdymas galėjo kainuoti apie 5000 pesų (230 eurų).
Prabudimas
Ir SPEI platforma, ir visa aplinkinė infrastruktūra, buvo puikiai parengta išpuoliui. Po vagysčių „Banxico“ skelbė, kad atliekant teisminę nusikaltimo analizę (jos duomenys publikuoti praėjusių metų rugpjūtį) nustatyta, kad skaitmeninių vagių taikinys buvo ne „Banxico“ centrinių sistemų serveriai, o menkai prižiūrimi, silpnai apsaugoti didesnės Meksikos finansų sistemos „mazgai“. „Užpuolikų pasitelkto būdo realizavimui buvo reikalingos gilios technologinės infrastruktūros ir procesų, taikomų institucijose, į kurias buvo nusitaikyta, žinios bei prieiga prie jų. Atakos tikslas nebuvo nutraukti SPEI veikimą ar įveikti Centrinio banko apsaugas“, – rašoma ataskaitoje.
Nemažai išpuolių visame pasaulyje yra įvykdyta ir per tarptautinę pinigų pervedimo sistemą SWIFT. Labiausiai pagarsėję incidentai vyko Ekvadore, Bangladeše bei Čilėje. Tačiau SPEI sistema yra valdoma „Banxico“, priklauso tik jam ir yra naudojama tik Meksikoje. Po balandį įvykdytų vagysčių Meksikos centrinis bankas sugriežtino pinigų pervedimo taisykles bei valdymą ir nustatė minimalius kibernetinio saugumo standartus, kurių privalo laikytis kiekvienas bankas, norintis sujungti savo sistemas su SPEI.
„Meksikos žmonėms reikia pradėti bendradarbiauti. Bendradarbiauti turi visos institucijos. Pagrindinė kibernetinio saugumo problema yra ta, jog nesidaliname žiniomis ir informacija, nepakankamai kalbame apie atakas. Žmonės nenori viešinti informacijos apie incidentus“, – sakė J.Loza.
Jis pridūrė, kad nors visuomet yra grėsmė, kad bus įvykdyta nauja vagysčių banga, per pastaruosius metus Meksikos bankai labai daug investavo į savo apsaugos stiprinimą ir tinklo higienos gerinimą. „Per praėjusius metus iki šios dienos daugiausiai dėmesio buvo skirta kontrolės priemonių diegimui. Kontrolė, kontrolė, kontrolė. Ir manau, kad būtent dėl to šiandien tokios vagystės nesikartoja. Tačiau svarbiausia šiuo atveju yra pokytis mąstyme: verslo klientai pradėjo noriai investuoti į geresnį saugumo užtikrinimą“, – pasakojo ekspertas.
Nepaisant to, kad pavagiamos sumos nėra menkos, pamoką įsisavino dar ne visos pasaulio finansinės institucijos, tad ir atpratinti programišius nuo tokio uždarbio būdo nebus lengva. Ir nors pasirengimas tokioms operacijoms nėra nei paprastas, nei pigus, vagių pelnas gali būti skaičiuojamas milijonais dolerių. Be didelės rizikos, be fizinio laužimosi į bankus, be ginklų ir kraujo.
