Преступники использовали вредоносный код для удаления из базы данных SWIFT следов нелегальных транзакций.
Злоумышленники, похитившие $81 млн у Центробанка Бангладеш, скомпрометировали программное обеспечение системы для передачи финансовой информации SWIFT. Об этом в понедельник, 25 апреля, сообщает Reuters со ссылкой на ИБ-экспертов компании BAE Systems.
Согласно версии следователей, неизвестные хакеры взломали компьютеры Центробанка Бангладеш и похитили учетные данные для авторизации в системе SWIFT. Как обнаружили исследователи BAE Systems, для удаления записей о нелегальных переводах похищенных средств злоумышленники скомпрометировали ПО SWIFT.
В ходе атаки использовался вредоносный код evtdiag.exe, внесший изменения в базу данных SWIFT в ЦБ Бангладеш. По мнению экспертов, вредоносное ПО, скорее всего, является частью более обширного инструментария для осуществления атак, установленного хакерами после похищения учетных данных администратора.
Попав на систему, вредонос внес незначительные изменения в код используемого в ЦБ Бангладеш ПО Access Alliance. Это дало злоумышленникам возможность модифицировать базу данных, куда через сеть SWIFT записывалась информация об осуществляемых банком денежных переводах. Вредоносное ПО разом стирало исходящие запросы на трансфер средств и перехватывало входящие сообщения, подтверждающие транзакцию. Вредонос также управлял хранящимися на счету суммами с целью предотвратить обнаружение атаки, пока все средства не будут переведены. Более того, ПО манипулировало принтерами, печатающими физические копии запросов на трансфер денег.
Эксперты BAE Systems не исследовали серверы банка, а нашли evtdiag.exe в репозитории вредоносного ПО. Тем не менее, они уверены, что это тот самый код, использовавшийся в атаке на ЦБ Бангладеш, поскольку он был скомпилирован незадолго до атаки, загружен с Бангладеш и содержал подробную информацию об операциях банка.
Вредоносное ПО было разработано специально для атаки на ЦБ Бангладеш, однако злоумышленники могут в дальнейшем использовать те же инструменты и техники, считают в BAE Systems.
В понедельник, 25 апреля, SWIFT выпустит обновление для своего ПО.5778 К? Пф! У нас градус знаний зашкаливает!