孟加拉黑客 SWIFT软件被黑客攻击,没有防火墙,10美元交换机

admin 2018-07-15

孟加拉国中央银行没有防火墙,今年早些时候遭到黑客攻击时,它正在使用一个二手的10美元网络。英国国防承包商BAE Systems的调查也显示,用于支付的SWIFT软件遭到了破坏,黑客得以在孟加拉国不留下任何痕迹地向世界各地汇款。

二月份,不明身份的黑客闯入孟加拉银行,几乎侥幸逃脱,只差10亿美元。结果,当一个打字错误引起对其中一笔交易的担忧时,他们成功转移了8100万美元,从而取消了欺诈交易。这笔钱还没有收回,但BAE已经公布了一些发现。

SWIFT组织由3,000家金融公司拥有,经营金融机构间金融交易发送网络。使用网络的机构必须有现有的银行关系;SWIFT transactions实际上并不发送货币,而是发送支付指令,然后必须通过让相关机构在账户之间转移货币来结算。

SWIFT的安全源自两个主要来源。名义上,这是一个私人网络,大多数银行都设立了账户,只允许特定方之间的某些交易。网络隐私意味着银行之外的人应该很难攻击网络,但是如果黑客闯入银行——就像这里的情况——那么这种保护就消失了。孟加拉国中央银行拥有所有必要的SWIFT软件,并有权访问SWIFT网络。孟加拉银行内运行代码的黑客也可以访问软件和网络。

如果一个组织不能保证其端点的安全,那么它就很容易遭到电子抢劫。这里似乎就是这样——孟加拉警方调查人员告诉路透社,该银行没有任何防火墙,在其网络上使用二手10美元交换机。这些开关不允许常规LAN与SWIFT系统分段或隔离。网络安全基础设施的缺乏阻碍了调查。黑客是如何渗透到网络中的,目前还不清楚,但看来银行并没有让他们很难做到这一点。

黑客一旦进入网络,就会修改名为Alliance Access的软件,以便进行交易并隐藏证据。alliance将SWIFT消息读写到文件系统上的文件,并将交易信息记录在Oracle数据库中。黑客创建了恶意软件,删除联盟软件中的完整性检查,然后监控通过系统发送的交易文件,搜索支付订单和确认特定条款。这些术语和对它们的响应是由埃及的一个指挥和控制服务器指定的。

当发现包含其中一个搜索词的消息时,恶意软件将根据消息的类型执行不同的操作。修改付款单以增加移动的金额,用新值更新联盟数据库。SWIFT网络的确认消息也进行了修改。确认被打印并存储在数据库中。在打印之前,恶意软件将更改确认以显示原始的、正确的交易值;它还从联盟数据库中完全删除了一致性。

目前还不清楚最初的交易是如何进入系统来首先触发恶意软件的。

拿钱也很难。它正在通过菲律宾进行清洗,菲律宾参议院目前正在对清洗进行调查。被成功盗窃的8100万美元被送到菲律宾的Rizal商业银行股份有限公司( RCBC )账户,该公司由在澳门和菲律宾组织博彩中介的两名中国公民持有。这笔钱被转移到几个菲律宾赌场,然后转移到国际银行账户。菲律宾赌场被豁免遵守反洗钱法,该法要求赌场举报可疑交易,成为此类犯罪的诱人目标。RCBC司库已辞职,其中一家分行的经理因从与盗窃案有关的账户中提取427,000美元而面临刑事指控。孟加拉银行行长拉赫曼也因抢劫案于三月份辞职。

BAE系统列出映像


点赞: