Pull to refresh

Еще одна кража через SWIFT. Теперь в России

Reading time 4 min
Views 11K

UPD2. По данным Центробанка в 2017 году было похищено 339,5 млн.р. Нетрудно догадаться, что речь именно про Глобэкс. В обзоре FinCERT говорится: «В Банк России направлена информация об одной успешной атаке на рабочее место оператора системы SWIFT. Объем несанкционированных операций в результате данной атаки составил 339,5 миллиона рублей».

UPD. Банк-жертва — Глобэкс. Размер украденного исчисляют десятками миллионов рублей.

Один из российских банков стал жертвой кибератаки, направленной на кражу денег через международную межбанковскую систему платежей SWIFT. Про атаку известно, что она была произведена 15 декабря. Однако, название банка и размер ущерба пока не озвучиваются. Развитие атаки, организованной предположительно группировкой Cobalt, началось с рассылки вредоносного ПО за несколько недель до инцидента. Причем по сообщению заместителя начальника главного управления безопасности и защиты информации ЦБ Артема Сычева, хакеры получили широкий доступ к инфраструктуре и могли использовать и другие каналы вывода средств. Однако, их интересовал вывод средств в иностранный банк, поэтому целью хакеров стал доступ к SWIFT.

Как сообщили в SWIFT, доказательств, что имел место несанкционированный доступ, нет. А значит, что вероятнее всего, был получен контроль над учетной записью оператора SWIFT. История уже знает несколько подобных случаев с банками из разных стран, в том числе нашумевший случай с ЦБ Бангладеш, где хакерам удалось украсть информацию, необходимую для авторизации при проведении транзакций. Тогда успели украсть $81 млн, а всего пытались вывести денег общей суммой в $951 млн. Аналогичная атака была предпринята в конце 2015 года на вьетнамский банк Tien Phon Bank, но тогда банк вовремя заблокировал операции на $1 млн. А в начале 2015 года было украден $9 млн из эквадорского Banco del Austro. Летом 2016 года было похищено $10 млн уже у украинского банка. Каждый раз злоумышленникам удается получить доступ к системе SWIFT обойдя защитные барьеры, реализованные в банках.

Я немного в курсе активностей SWIFT и некоторых банков, так как для нескольких банков уже настраивал двухфакторную аутентификацию доступа к интерфейсам SWIFT. Поэтому расскажу, что вижу сам. После наиболее крупного хищения, произошедшего как раз в ЦБ Бангладеш, наметился достаточно устойчивый курс компании SWIFT на повышение безопасности доступа к сетям SWIFT и ее службам обмена сообщениями. Почти сразу одним из требований к дальнейшей сертификации, позволяющей использовать SWIFT, стало требование двухфакторной аутентификации. Эта мера должна останавливать злоумышленников, которым удалось перехватить пароль оператора. Причем банкам на первых порах достаточно было отчитаться, что они взялись реализовывать двухфакторную аутентификацию. Некоторые участники, чья активная сертификация истекала нескоро, вообще решили отложить какие-либо действия.
Тем временем SWIFT в 2017 году была разработана программа информационной безопасности клиентов (Customer Security Programme) и были задокументированны организационные и технические рекомендации по информационной безопасности. Среди мер по безопасности такие, как защита физического доступа, разделение полномочий, регулярные обновления, ограничение доступа и, конечно, защита учетных записей. Теперь финансовые организации должны провести сначала самоаттестацию, а позже, надеюсь, и внешний аудит на предмет соответствия новым требованиям.

Уже около года в SWIFT доступна собственная реализация двухфакторной аутентификации по одноразовым кодам. В качестве основы был взят открытый стандарт OATH TOTP, то есть одноразовые коды существуют в своем временном окне. Секретный seed отображается на мониторе оператора при регистрации в виде QR кода по аналогии с Google Authenticator. Кстати использовать в качестве генератора можно любое мобильное приложение, поддерживающее стандарт TOTP, в том числе тот же Google Authenticator. Мое мнение — замечательно, что SWIFT предлагает такое базовое решение. Но в их реализации есть и подводные камни. Для начала сам QR код, который содержит в себе основной секрет передается на ПК оператора и отображается на экране, а значит, может быть перехвачен или подсмотрен. Но большей проблемой является то, что сервера SWIFT обычно (и это тоже рекомендация) изолированы от локальной сети и просто не имеют доступа к NTP-серверам — источникам точного времени, так нужным для корректной работы TOTP. В итоге рассинхронизация токенов может произойти в самый непредсказуемый момент. Некоторые службы информационной безопасности, например, предпочитают использовать аппаратные генераторы одноразовых паролей, а не не смартфоны. Такое требование несовместимо с тем, что предлагает SWIFT. Есть в решении, предлагаемом SWIFT и другие недостатки, из-за которых некоторые финансовые организации выбирают стороннее решение, но, повторюсь, это все же лучше, чем ничего. В любом случае все описанное говорит о попытках SWIFT противостоять существующим угрозам, а не зарывать голову в песок.

Замечу, что сейчас двухфакторная аутентификация требуется не только для учетной записи оператора, но и для остальных сервисов в защищенной сети SWIFT, например, RDP или SSH доступ к серверам.

Не известно, соответствовала ли инфраструктура банка, который стал жертвой последней атаки, рекомендациям SWIFT, но я предполагаю, что нет. Судя по имеющейся в СМИ информации, ЦБ так же выдавал рекомендации этому банку по повышению уровню безопасности, но подробности вряд ли будут известны широкой общественности.
Tags:
Hubs:
If this publication inspired you and you want to support the author, do not hesitate to click on the button
+10
Comments 45
Comments Comments 45

Articles