EXCLUSIV: Hackerii compromit sistemul bancar global la cel mai înalt nivel

Criminalii pot modifica cele mai sensibile date ale băncilor, permiţând transferuri false sau fraude enorme cu cărţi de credit.
(Captură Foto)
Joshua Philipp
20.06.2016

Sistemul bancar global a fost compromis de infractorii cibernetici care au demonstrat că au acces de nivel înalt pe servere bancare, lucru care le oferă un control aproape deplin - inclusiv posibilitatea de a modifica datele bancare şi a fura din bănci, conform unui expert care a investigat pe Darknet incidente cibernetice majore din ultimele luni.

Ed Alexander este un specialist cyberHUMINT şi un expert al Darknet-ului – o colecţie de forumuri private administrate de hackeri. Accesibil doar cu programe speciale, Darknet-ul, pe lângă aplicaţii legitime, este folosit de grupuri criminale pentru a conspira şi a vinde produse ilegale.

Într-un interviu anterior, Alexander a oferit ziarului Epoch Times dovezi extensive asupra jafului care se desfăşoară în prezent asupra sistemului bancar global. El a cerut iniţial să rămână anonim pentru a-şi proteja investigaţiile, dar acum iese în public pentru a expune două grupuri de hackeri care se află în spatele atacurilor.

Atacurile cibernetice au legătură cu o serie de jafuri de la bănci care au fost hăckuite, inclusiv furtul a 81 milioane de dolari de la Banca Centrală a Bangladeshului, efectuat via un cont al Federal Reserve - incident care a implicat o reţea de transferuri interbancare foarte cunoscută.

Alexander a furnizat dovezi că acest caz este doar vârful icebergului şi că hackerii au descoperit o vulnerabilitate ce le oferă acces la mii de bănci din jurul lumii şi de pe cuprinsul SUA.

Într-un articol precedent, dovezile oferite de Alexander au arătat că atacurile cibernetice au început în preajma anului 2006, când hackeri care lucrau pentru armata chineză au acţionat la ordinele statului chinez pentru a pătrunde ilegal în reţelele critice din Mexic. De acolo, hackerii au reuşit să obţină acces la serverele unei bănci majore şi ulterior s-au infiltrat într-o reţea majoră de transferuri bancare şi apoi în multe alte instituţii bancare ale lumii.

Hackerii chinezi şi-au încheiat misiunea şi aproximativ în iunie 2015 au vândut vulnerabilitatea infractorilor cibernetici obişnuiţi de pe Darknet. Alexander a reuşit să furnizeze screenshot-uri cu postările efectuate pe o piaţă Darknet frecventată de infractori cibernetici. Conform screenshot-urilor, hackerii vindeau accesul la reţelele financiare mexicane.

Infractorii cibernetici care au cumpărat vulnerabilitatea de la hackerii chinezi sunt cei care desfăşoară în prezent atacuri asupra sistemului bancar global. Alexander a furnizat noi dovezi care arată că aceşti infractori au acces de nivel înalt la reţelele bancare şi că folosesc acel acces pentru a modifica datele.

Ziarul Epoch Times a discutat cu trei experţi în crime cibernetice (unul în condiţii de anonimat) care au reuşit să analizeze screenshot-urile privind atacurile. În opinia lor, screenshot-urile sunt legitime şi conţinutul lor susţine afirmaţiile lui Alexander.

James Scott, membru senior al Institute for Critical Infrastructure Technology (ICIT), este de părere că screenshot-urile “sugerează faptul că un atacator ar putea exploata o vulnerabilitate a sistemului pentru a crea o prezenţă permanentă şi pentru a extrage documente”.

“În cazul în care [vulnerabilitatea] nu este descoperită şi dacă atacatorul nu este scos din sistem”, a declarat Scott, “acesta va continua să folosească vulnerabilitatea sau să o vândă altor atacatori”.

ICIT este un think tank din Washington specializat în securitate cibernetică şi ameninţări la infrastructura critică, precum sistemul financiar.

Pe baza screenshot-urilor furnizate de Alexander, Scott a speculat că infractorii cibernetici şi-ar putea folosi accesul în reţea ca pe o uşă spre alte reţelele de transferuri bancare sau pentru crea comenzi de transferuri bancare false, adresate altor bănci, permiţând hackerilor să fure sume imense fără a putea fi uşor descoperiţi.

Keith Furst, fondatorul firmei de consultanţă Data Derivatives, specializată în crime financiare cibernetice, a declarat că screenshot-urile arată că hackerii au acces de nivel înalt în reţelele bancare. Când vine vorba de bănci, a declarat el, doar accesul de nivel înalt poate permite modificarea datelor în maniera prezentată de screenshoturi.

“Dacă ei pot schimba informaţiile la un asemenea nivel, au acces la celelalte informaţii”, a mai susţinut Furst.

O privire în interior

În continuare prezentăm screenshot-uri oferite ziarului Epoch Times de către Alexander, despre care a declarat că sugerează modul în care infractorii cibernetici accesează şi modifică datele în mod activ pe reţelele care aparţin companiei UniTeller, o reţea de transfer monetar deţinută de Banorte, cea de-a treia bancă din Mexic.

Alexander a adăugat note cu roşu pentru a arăta că momentul atacurilor se potriveşte cu cel al atacurilor care se desfăşoară asupra băncilor din jurul lumii.

 (Captură Foto)
(Captură Foto)

Screenshot-ul de deasupra aparent arată cum infractorii cibernetici fură date dintr-o reţea bancară. Alexander a declarat că imaginea arată cum hackerii execută comenzi dintr-o gazdă aflată la distanţă, situată în afara domeniului de securitate al băncii, şi sugerează că aceştia au accesat datele fără să aibă informaţiile pentru logare directă la servere.

“Execuţia de programe de la distanţă a permis atacatorilor să execute orice comandă în sistem. De asemenea, facilitează încărcarea de fişiere virusate, care oferă [hackerilor] un acces mai larg şi mai permanent”, a susţinut Alexander.

Alexander a notat că screenshot-ul respectiv surprinde numai un singur moment al atacului. El a adăugat că, după ce au executat comanda prezentată în screenshot, hackerii au executat alte comenzi care le-au permis să modifice fişiere şi să fure date din sistem.

 (Captură Foto)
(Captură Foto)

Screenshot-ul de mai sus arată cum hackerii încearcă să dovedească, pentru viitorii clienţi de pe Darknet, că pot manipula sistemele de baze de date back-end ale reţelei bancare, ceea ce le-ar permite, conform lui Alexander, să schimbe - de exemplu - limitele de pe carduri de credit.

Schimbând limitele de pe cardurile de credit, hackerii pot fura sume mari de bani prin tranzacţii monetare ilegale folosind cărţi de credit.

“Lucrul important aici este faptul că hackerii au avut acces la bazele de date de tip back-end şi au putut manipula, schimba sau distruge cu uşurinţă datele şi setările [reţelei] UniTeller, după bunul lor plac”, a declarat Alexander.

El a mai susţinut că screenshot-ul a fost făcut în 26 mai, dar a adăugat că time stamp-ul de 2 martie sugerează că hackerii puteau modifica serverele de aproape trei luni.

 (Captură Foto)
(Captură Foto)

Alexander a precizat că screenshot-ul de mai sus este o dovadă a momentului şi nivelului de acces obţinut de hackeri în sistemul bancar.

Hackerii au produs chiar un screenshot cu rezultatul comenzii Unix "uname -a" care arată numele sistemului, a comenzii de configurare a interfeţei de re'ea "ipconfig" şi o copie a celebrului fisier /etc/passwd, care conţine parolele de sistem. Toate aceste comenzi necesită accesul de nivel root (super înalt) pe sisteme Unix.

 (Captură Foto)
(Captură Foto)

Screenshot-ul de deasupra arată că hackerii au un acces “root” (administrativ) la serverul bancar. De asemenea, arată documentele şi directoarele pe care hackerii aparent le modificau în momentul în care a fost făcut screenshot-ul.

“În plus, este important să ne amintim că vulnerabilitatea folosită aici a fost executată din afara domeniului de securitate al UniTeller. Astfel, atacatorii au executat de la distanţă codul pe acel server, după cum se şi lăudau”, a susţinut Alexander.

 (Captură Foto)
(Captură Foto)

Screenshot-ul de mai sus prezintă un director şi o structură de fişiere, despre care Alexander a declarat că a fost oferită de hackeri pentru a arăta că sunt capabili să se mişte printre directoare.

Hackerii au fost interesaţi de acest director în special, a afirmat Alexander, pentru că după cum declarau, le-a oferit acces la o bancă americană cu care are legătură UniTeller.

Alexander a mai susţinut că screenshot-ul este important din moment ce hackerii au demonstrat anterior “că aveau accces deplin în sistemele şi serviciile UniTeller şi că puteau schimba după bunul lor plac”.

În plus, Alexander susţine că screenshot-urile de mai sus descriu doar un moment dintr-un atac cibernetic de lungă durată care se desfăşoară în prezent.

România are nevoie de o presă neaservită politic şi integră, care să-i asigure viitorul. Vă invităm să ne sprijiniţi prin donaţii: folosind PayPal
sau prin transfer bancar direct în contul (lei) RO56 BTRL RONC RT03 0493 9101 deschis la Banca Transilvania pe numele Asociația Timpuri Epocale
sau prin transfer bancar direct în contul (euro) RO06 BTRL EURC RT03 0493 9101, SWIFT CODE BTRLRO22 deschis la Banca Transilvania pe numele Asociația Timpuri Epocale
O presă independentă nu poate exista fără sprijinul cititorilor