Sistemul bancar global infiltrat de hackeri ai statului chinez. Accesul la bănci vândut către grupuri criminale
Hackerii angajaţi de statul chinez au obţinut un mare profit din vânzarea către grupurile criminale organizate a accesului la băncile în care s-au infiltrat.
(Captură Foto)
Un grup de criminali cibernetici au pătruns ilegal şi au “cartografiat” sistemul bancar global şi, într-o serie de atacuri, au furat până acum 81 milioane de dolari de la Banca Centrală din Bangladesh folosind platforma interbancară SWIFT. Experţii consideră că atacurile au fost comise prin utilizarea unor mesaje ilegale şi malformate trimise pe reţeaua de transferuri monetare, care conectează sistemul bancar internaţional.
În prezent, au loc investigaţii asupra acestor atacuri cibernetice continue şi sunt descoperite noi atacuri ce au fost comise asupra altor bănci - care, însă, au scăpat atenţiei mass-media.
Unii experţi consideră că atacul a fost comis de hackeri din Coreea de Nord, deoarece programele malware folosite au unele similarităţi cu atacul cibernetic desfăşurat în noiembrie 2014 asupra Sony Pictures Entertainment.
Conform unei surse ce deţine informaţii directe asupra atacurilor recente, vinovatul din spatele jafurilor bancare cibernetice ar fi, însă, mult mai mare. Sursa, care a cerut să rămână anonimă, a fost capabilă să furnizeze dovezi pentru a-şi susţine afirmaţiile.
Conform mărturiei sale, cei care au identificat vulnerabilitatea iniţială au fost nişte hackeri angajaţi de statul chinez. Ei au folosit-o pentru a infecta şi a se infiltra în sistemul bancar global. Când contractul lor cu regimul comunist din Beijing s-a încheiat, hackerii au vândut vulnerabilitatea unor grupuri specializate în crime cibernetice. Vânzarea a avut loc pe o piaţă privată în Darknet.
Darknetul este o zonă de Internet alternativ accesibilă doar prin utilizarea unor programe specializate. În timp ce Darknetul are utilizări legitime, grupurile criminale cumpără, vând şi conspiră pe forumurile darknet.
Regimul chinez conduce o reţea extinsă şi complexă de hackeri prin Departamentul General de Personal, Departamentul Nr. 3, din cadrul armatei sale. Hackerii îndeplinesc ordinele regimului chinez, dar deseori desfăşoară operaţiuni de tip rogue sau vând date pentru a câştiga bani suplimentari. Ziarul Epoch Times a expus acest sistem într-o serie de articole precedente.
Aparent, grupurile specializate în infracţiuni cibernetice care au cumpărat vulnerabilitatea de la hackerii chinezi sunt cele care desfăşoară acum atacuri şi transferuri ilegale de bani.
“Chinezii au obţinut deja o cale acces permanent pentru a ataca reţele financiare şi au extras toate datele cerute de contractorul lor. Acum, ei au această vulnerabilitate [la dispoziţie], şi pot continua să obţină bani, astfel că o vând reţelelor criminale”, a susţinut sursa.
Procesul infiltrării
Conform declaraţiei sursei, codul folosit în exploatarea vulnerabilităţii a fost luat din mai multe surse, ceea ce înseamnă că analiştii în probleme de securitate care examinează cazul superficial pot trage concluzii greşite. Conform sursei codul a fost dezvoltat in house de către hackeri chinezi, dar bucăţi de cod puteau fi cumpărate şi de la universităţi din Rusia.
Sursa citată a afirmat că hackerii chinezi nu au vândut vulnerabilitatea cu totul vreunui anumit grup specializat în crime cibernetice. “Ei vând accesul la o bancă unui grup”, a declarat sursa, adăugând că majoritatea hackerilor cumpărători sunt, prin comparaţie, mai puţin sofisticaţi. “Ei nu pot crea cod”, a susţinut sursa. “doar că ştiu cum să elibereze pachetele şi să le aplice”.
Sursa a reuşit să ofere dovezi post-incident şi screenshot-uri pentru a-şi susţine afirmaţiile. În plus, sursa a reuşit să furnizeze o listă cu băncile vizate, susţinând că această listă - care momentan conţine bănci şi sisteme financiare conectate la o reţea bancară compromisă – inclusiv în SUA, America Latină şi Asia - se extinde.
Ecran pe care o sursă care face declaraţii sub anonomat l-a arătat pentru a dovedi acces de nivel root pe o platformă Uniteller
Hackerii angajaţi de statul chinez şi-au început atacurile asupra reţelelor bancare la începutul anului 2006, conform sursei, şi au început să infecteze reţelele bancare cu malware în 2013.
Sursa a susţinut că hackerii chinezi au atacat de asemenea reţeaua de transfer monetar Uniteller, care este deţinută de Banorte, cea de-a treia bancă din Mexic.
“Practic, infrastructura critică a Mexicului este deţinută de acelaşi grup APT”, a declarat sursa, folosind ATP (advanced persistent threat) pentru a face referire la hackerii statului chinez. "Sunt peste tot", a mai precizat sursa, făcând referire la nivelul de acces obţinut în cazul reţelelor critice din Mexic.
Aparent, hackerii statului chinez au început să vândă vulnerabilitatea organizaţiilor criminale abia în 2015, iar acestea au folosit-o imediat pentru a “cartografia”, pentru a testa şi pentru a infecta băncile şi sistemele financiare.
Sursa a declarat că hackerii au exploatat o vulnerabilitate în Apache Struts v2 - folosit pentru a construi aplicaţii web cu ajutorul tehnologiei Java Server Pages. Codul a fost vulnerabil încă de la începutul anului 2006 şi a fost actualizat în 2013. De asemenea, sursa a notat că, după ce au obţinut accesul în sistem, hackerii au cercetat numeroase reţele financiare suplimentare pe care le au în vizor.
Când au decis să vândă vulnerabilitatea, hackerii chinezi nu şi-au pierdut accesul la reţele. Cu alte cuvinte, hackerii chinezi încă au acces la reţele – şi nu doar la câteva bănci ci la majoritatea sistemului bancar global.
Sursa a speculat că hackerii angajaţi de statul chinez vând vulnerabilitatea originală atât pentru profit cât şi pentru a fi folosită de grupurile criminale ca o distragere deliberată a atenţiei de la unele infiltrări de nivel mai înalt. Sursa a mai declarat că ne-am putea afla în primele etape ale unei crize bancare globale.
