Conheça os detalhes do ataque ao Banco do Chile via Sistema SWIFT
18 de junho de 2018US $ 10 milhões foram roubados do Banco do Chile e canalizados para uma conta em Hong Kong
Em 24 de maio houve um ciberataque contra a maior instituição financeira do Chile, que supostamente destruiu 9.000 estações de trabalho e 500 servidores, acredita-se que o objetivo do ataque foi comprometer os endpoints que lidam com transações na rede SWIFT.
Eduardo Ebensperger – Foto: Latercera
No domingo, o gerente-geral do banco, Eduardo Ebensperger, disse à mídia chilena Latercera que o ataque no final de maio permitiu que hachers completassem quatro transações fraudulentas no sistema SWIFT antes que o ataque fosse descoberto.
“Encontramos algumas transações estranhas no sistema SWIFT (onde os bancos remetem internacionalmente suas transações para diferentes países)”, disse Ebensperger à emissora Chilena. “Então percebemos que o vírus não era necessariamente o problema subjacente, mas aparentemente os atacantes queriam defraudar o banco”.
Banco de Chile relata em 28 de maio de 2018 Santiago, 28 de mayo de 2018. En relación a la contingencia originada el pasado 24 de mayo, Banco de Chile informa lo siguiente:
• Luego de una exhaustiva investigación, se determinó que el origen de la falla detectada fue un virus, presumiblemente proveniente de redes internacionales, que afectó directamente estaciones de trabajo de Banco de Chile, tales como mesón en oficinas y terminales de nuestros ejecutivos y del personal de caja, entre otros, provocando dificultades en el servicio en las sucursales y banca telefónica.
• Tras identificar la falla, se activó de inmediato nuestro protocolo de contingencia diseñado para mantener la continuidad y seguridad de nuestros productos y servicios. Esto implicó, entre otros, desconectar las estaciones de trabajo y dejar de operar algunos procesos habituales con el fin de controlar la eventual propagación de este virus.
• Si bien estas medidas afectaron la calidad de nuestros servicios, permitieron asegurar en todo momento la integridad de la información y de los datos, de manera que nunca se afectara la seguridad de las transacciones, fondos y registros de nuestros clientes.
• El portal de internet personas, aplicativos móviles y cajeros automáticos estuvieron operativos con normalidad. • La investigación desarrollada ha permitido establecer que este virus estaba dirigido a dañar directamente al Banco y no a nuestros clientes, ni a sus cuentas y productos. Reiteramos que en todo momento los saldos e inversiones de los clientes, incluidos los registros e integridad de todos sus productos, han estado resguardados y no han sido afectados. • Asimismo, hemos mantenido informada a la Superintendencia de Bancos e Instituciones Financieras (SBIF) acerca de la contingencia y de las medidas y acciones que estamos desarrollando, además de mantener una comunicación permanente con otros actores relevantes del sistema financiero.
• Lamentamos los inconvenientes que esta situación generó. Seguimos trabajando, en conjunto con asesores locales e internacionales, con la finalidad de normalizar la totalidad de nuestros productos y servicios, teniendo siempre como máxima prioridad mantener la seguridad, aunque esto pueda producir, transitoriamente, una disminución en la calidad del servicio.
O ataque inicial foi realizado usando um malware de limpeza que Ebensperger descreveu como um ” vírus de dia zero ” que nunca havia sido visto. No entanto, em relatório publicado terça-feira por Flashpoint, os analistas descobriram que o código é na verdade uma versão modificada do componente de malware Buhtrap conhecido como kill_os. O módulo renderiza o sistema operacional local e o registro mestre de inicialização (MBR) ilegível, apagando-os.
Após a engenharia reversa da base de código, os analistas do Flashpoint descobriram que o malware de ataque ao Chile, apelidado de “MBR Killer”, era idêntico a apenas pequenas modificações nos kill_os de Buhtrap. Por exemplo, o código Buhtrap, que vazou na Dark Web em fevereiro, contém um script quase idêntico do Nullsoft Scriptable Install System (NSIS) como o malware desmembrado do Banco de Chile (o NSIS é um sistema de código aberto usado para instalar instaladores do Windows) .
Essa revelação poderia ajudar na atribuição: o malware Buhtrap e seus componentes, incluindo o MBR Killer, foram usados anteriormente por um grupo de hackers, utilizando o idioma em russo, em ataques contra múltiplas instituições financeiras na Rússia e na Ucrânia, observou a Flashpoint.
No entanto, a atribuição por trás do ataque do Banco de Chile permanece incerta.
“É notável, no entanto, que as instituições financeiras chilenas foram entidades-alvo do Grupo Lazarus, ligado à Coreia do Norte, durante o compromisso do site da Autoridade de Supervisão Financeira da Polônia em 2017”, disse Vitali Kremez, diretor de pesquisa do Threatpost. uma entrevista. “Mais especificamente, o site violado foi filtrado para servir cargas úteis apenas a intervalos de IP direcionados associados a instituições financeiras de interesse do grupo.”
Ele acrescentou: “os indicadores acima mencionados apontam para dois grupos possíveis: o suposto grupo afegão norte-coreano Lazarus e o conhecido grupo criminoso de língua russa Buhtrap”.
Também é possível, segundo os pesquisadores, que seja um grupo de copycat totalmente diferente que faz uso do código-fonte vazado da Buhtrap.
Enquanto isso, Ebensperger disse que uma análise forense conduzida pela Microsoft atribuiu o ataque a grupos da Europa Oriental ou da Ásia. Além disso, Ofer Israeli, CEO da Illusive Networks, disse por e-mail que também acredita que o Grupo Lazarus, ligado à Coreia do Norte, que supostamente realizou os ataques SWIFT em Bangladesh em 2016, está por trás de tudo.
“A segmentação das organizações financeiras faz parte de sua estratégia de longo prazo e compromete as redes financeiras globais através de bancos pequenos e médios da América Central e do Sul, cujas defesas cibernéticas podem ser menos sofisticadas e têm maior probabilidade de sucesso”, explicou.
Em qualquer caso, o Banco de Chile é a última vítima em uma série de ataques cibernéticos direcionados a sistemas de transferência de pagamento. Por exemplo, em maio, algo entre US $ 18 milhões e US $ 20 milhões desapareceu durante transferências interbancárias de dinheiro não autorizadas no sistema bancário central do México.
“Provedores terceirizados de sistemas de pagamento e transferência tornaram-se um dos vetores de ataque mais eficazes para hackers que tentam extrair dinheiro dos bancos”, disse Fred Kneip, CEO da CyberGRX, via e-mail. “Temos visto a Rede SWIFT sob ataque há anos, e no mês passado os hackers atacaram o sistema de transferência interbancária SPEI do Banco Central mexicano.”
Ele acrescentou: “Um grande banco internacional tem dezenas de milhares de terceiros em seu ecossistema digital, mas hackers descobriram que basta apenas um elo fraco para fazer milhões de dólares. Entender o nível de exposição ao risco introduzido por todos os terceiros é importante, mas isso se torna ainda mais crítico para um parceiro Tier 1, como um provedor de sistema de transferência.”
Fonte: Latecera e Threatpost.com
