Zaatakowali cały system płatności międzybankowych – ukradziono równowartość ~80 milionów PLN (Meksyk). Sprawca – nieznany

18 marca 2019, 11:44 | W biegu | komentarzy 5
Tagi: , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Historia działa się w 2018 roku, choć nikt takimi rzeczami mocno się nie chwali. Jak donosi Arstechnica, rąbka tajemnicy podczas tegorocznej konferencji RSA uchyliła jedna z osób analizujących incydent:

attacks (…) were enabled by sloppy and insecure network architecture within the Mexican financial system, and security oversights in SPEI, Mexico’s domestic money transfer platform run by central bank Banco de México, also known as Banxico.

Jak wyglądał atak? Prawdopodobnie według scenariusza:

  • Uzyskanie dostępu do mniej ważnych serwerów / stacji roboczych pracowników (często jest to względnie proste)
  • Brak mocnej segmentacji sieci (to też jest częsty problem)
  • Dalej dostęp do systemów SPEI (Interbank Electronic Payment System) – tutaj sugerowany jest wręcz dostęp napastników do kodu źródłowego systemu
  • W dalszym kroku spekuluje się o możliwości wykorzystania błędów (np. walidacyjnych) w SPEI czy wręcz dostarczanie do banków komponentów z odpowiednią „poprawką”. Bo jak wytłumaczyć fakt, że system „przepuszczał” przelewy od zupełnie nieistniejącego nadawcy typu „Marsjanin z Marsa, nr konta 133713371337133713371337”:

    The app may have even been directly compromised in a supply chain attack, to facilitate successful malicious transactions as they moved through the system.

  • Mając możliwość manipulacji transakcji, atakujący wypłacali pieniądze za pomocą „słupów” – stosunkowo małe jednorazowo kwoty – tak aby uniknąć szybkiego wykrycia. Po podsumowaniu wyszło tego jednak sporo: 300 do 400 millionów peso (czyli maksymalnie niemal 80 milionów PLN)

Jednym z większych problemów był też brak komunikacji dotyczących incydentów oraz komunikacji w tym temacie (pomiędzy bankami)

The main problem on cybersecurity is that we don’t share knowledge and information or talk about attacks enough. People don’t want to make details about incidents public.

Jak to wygląda w Polsce? Z tego co wiemy próby stworzenia takiej platformy były, ale cała idea była szybko pogrzebana przez osobę/osoby, dla których poufność wydawała się niezbyt istotnym składnikiem bezpieczeństwa…

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. OscpRules

    Tak, tak nmap, msvenom tak jak w piśmie napisano, a logi są najważniejsze to już mi mówili na pierwszym roku studiów, a co jeśli powiem ci że mogę zhakować twoją sieć nie wysyłając żadnego pakietu ?

    Odpowiedz
  2. Kropek

    Oj coś widzę, że autor nie zna jak współpracuje się na świecie w obszarze analizy zagrożeń i reagowania na incydenty. Wbrew temu co wieść gminna niesie w Polsce współpracuje się i wymienia informację. Natomiast co ważne – Banki w Polsce muszą działać w ramach norm prawnych (Prawo Bankowe, KSC, … i inne).

    Przekazywanie informacji o incydencie ma niską wartość operacyjną, ważniejsze są modus operandi i IoC oraz IoA.

    A jeśli chodzi o Meksyk … to nie było włamanie wykonane w ciągu jednego dnia … ram aktor był w infrastrukturze miesiące. Jeżeli ktoś interesuje się tematem to od maja do sierpnia 2018 było dużo publikacji na ten temat. A tu magle małe podsumowanie na RSA i znów temat wrócił.

    Odpowiedz
    • Kropek: 1) napiszesz jak wygląda ta współpraca na świecie i czy jest skuteczna? + opcja Polska 2) my średnio wierzymy w akcję – jest platforma / procedury – to załatwia sprawę – na pewno będzie działać spoko :-)

      To piszemy bez jakiś złośliwości czy coś.

      Odpowiedz
      • K.

        1) na świecie – sprowadźmy temat do FS-ISAC’a, CERT’ów i agencji rządowych (głównie USA). Kopalnie informacji, szybkie feedy o zagrożeniach i atakach …

        skuteczność … to coś co obecnie nie sposób ocenić. Na ile informacja jest skuteczna w ochronie przed atakiem? Czy jak w Sekuraku napiszesz artykuł o tym by paczować WinRAR’a czy CISCO ASA to jesteś w stanie ocenić skuteczność. To nie jest oczywiste. Bo informację trzeba umieć skonsumować. Kto ma potencjał do przetworzenia informacji i zarządza w swojej organizacji zagrożeniami, to u niego skuteczność otrzymywanych informacji choć by z CERT US czy FS-ISAC jest wysoka.

        2) no niestaty w Polsce zbyt dużo rzeczy bierze się na wiarę :-)
        Tu nie ma co opierać się na wierze … zachęcam do zatrudnienia się w organizacji i „dotknięcia” problemu, zobaczeniu – czy działa, czy jest to pusta platforma.

        Odpowiedz
        • 1) Co do mierzenia (w tym na sekuraku) – to wiesz, tutaj działanie hobbystyczne, paru ludzi i budżet bliski zero, a ‚tam’ pewnie sztaby ludzi i miliony USD. Mogliby się szarpnąć na jakaś ewaluację wydawanych $$$. Szczerze mówiąc to zdziwiłbym się gdyby tego nie było. Bo jakieś zręby teorii do mierzenia tego typu rzeczy to istnieją pewnie i z 15-20 lat: https://www.amazon.com/Security-Metrics-Replacing-Uncertainty-Doubt/dp/0321349989

          2) A rozwiniesz ten wątek polski? A jak system działa to nie wiem – nikt się nie chce pochwalić liczbami. Wiem za to z pierwszej ręki o pewnych problemach z których nikt nie chce dotknąć :)

          Wiele ludzi wskazuje SWOZ. To wygooglaj SWOZ i daj znać czy dla człowieka z zewnątrz wygląda to spoko. Polecam też zerknąć w src strony. Ta stronka jest całkiem z pupy oczywiście, ale okolice też nie są jakieś ‚piękne’.

          Odpowiedz

Odpowiedz