Malware atakujący system przelewów SWIFT – blokada drukarek, patchowanie pamięci i… dalej nie wiadomo kto za tym stoi

27 kwietnia 2016, 18:51 | W biegu | 0 komentarzy
Tagi: , ,
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Jeszcze nie opadł kurz po ataku na bank w Bangladeszu (wykradziono $81 000 000), a tymczasem firma BAE Systems opublikowała raport pokazujący, że jednym z centralnych punktów ataku był malware zainstalowany w systemie obsługującym międzynarodowe przelewy.

ba

Źródło: BAE Systems

Malware był w stanie zmieniać transakcje w lokalnej bazie danych (po ich przechwyceniu) – np. zmieniać wysokości kwot. Co więcej, potrafił również usuwać pewne informacje z bazy (aby ukrywać swoją obecność) a także blokować wydruki (na fizycznej drukarce), które mogą służyć do wykrywania anomalii w przelewach:

In order to hide the fraudulent transactions carried out by the attacker(s), the database/message manipulations are not sufficient. SWIFT network also generates confirmation messages, and these messages are sent by the software for printing.

(…) the malware also intercepts the confirmation SWIFT messages and then sends for printing the ‚doctored’ (manipulated) copies of such messages in order to cover up the fraudulent transactions.

Wygląda to więc na atak APT na jeden z banków, a autorzy raportu podejrzewają, że całość jest elementem większego dedykowanego exploit kitu, który może być w łatwy sposób modyfikowany do ataku na inne banki.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz