2013年の終わりに、キエフのATMは完全に任意の瞬間にお金を発行し始めました。 誰もカードを挿入せず、ボタンに触れませんでした。 カメラは、その瞬間に偶然近くに現れた人々によってお金が取られたことを記録しました。
しかし、調査のためにカスペルスキーが持ち込まれたとき、彼女は「ブランド化された」デバイスが銀行の最小の問題であることを発見しました。
従業員が毎日の送金や簿記を行うために使用する銀行のコンピューターには、サイバー犯罪者がすべてのステップを記録できる悪意のあるソフトウェアがありました。 調査の結果によると、ソフトウェアは数か月間そこに隠れていて、ロシア人、中国人、ヨーロッパ人を含む犯罪者グループに銀行が日常業務を行っている方法を知らせるビデオと画像を送信していました。
その後、攻撃者は銀行の従業員を装い、お金を発行するためのデバイスを含むだけでなく、銀行からロシア、日本、スイス、米国、オランダに数百万ドルを送金し、シェル口座に振り込みました。
月曜日に発行され、ニューヨークタイムズによって事前共有される予定のレポートで、カスペルスキーは、30か国の100以上の銀行およびその他の金融機関に対するこの攻撃の規模により、これが史上最大の銀行強盗になる可能性があると述べています-そして強盗の通常の兆候なし。
ラボは、影響を受けた銀行との非開示契約のため、それらに名前を付けることができないと言います。 米国ホワイトハウスとFBIには発見されたことが通知されましたが、データの確認と損失の推定には時間がかかると言われています。
同社は、顧客を通じて顧客から3億ドルの盗難証明書を受け取ったと主張しており、総損失は3倍になると考えています。 ただし、盗難中のトランザクションのサイズは1,000万ドルに制限されていたため(このような推定は検証できません(一部の銀行は複数回被害を受けました)。 多くの場合、引き出された金額はより控えめで、気付かれることはないでしょう。
影響を受ける組織のほとんどはロシアにありますが、多くは日本、アメリカ、ヨーロッパにもあります。
これまでのところ、盗難を認めた銀行はありません。スタンフォード大学で開催されたサイバーセキュリティと消費者保護に関する最初のホワイトハウスサミットに出席し、金曜日にオバマが注目した典型的な問題です。 彼は、個人情報または財務情報が盗まれたハッキングに関する情報の公開を要求する法律の採択に賛成しました。
しかし、悪意のある活動の銀行に警告するコンソーシアム(金融サービス間の分析と情報交換センター)は声明でこう述べています。「私たちのメンバーはこの活動を知っています。 この攻撃に関する情報を参加者に広めました。また、「法執行機関によっていくつかのブリーフィングが行われました。」
アメリカ銀行協会はコメントを避け、リーダーのダグラス・ジョンソンは、このグループはコンソーシアムの声明を唯一のコメントと見なすと述べた。 Interpolの調査官は、シンガポールに本拠を置くサイバー犯罪の専門家が、影響を受ける国の法執行機関と調査を調整していると述べました。 最も困難な金融サイバー犯罪のいくつかを調査している国家警察部隊であるオランダのハイテク犯罪部も通知を受けました。
調査を取り巻く沈黙は、銀行がシステムが非常に脆弱であることを認めたがらないことと、攻撃が進行しているという事実に一部起因しているようです。
ボストンにあるカスペルスキーラボの北米オフィスのマネージングディレクターであるクリス・ドゲットは、使用されている悪意のあるソフトウェアにちなんで名付けられたCarbanakグループが、金融会社に対するサイバー攻撃の巧妙化を示していると述べました。
「これはおそらく、サイバー犯罪者が気付かれずに使用する戦術と方法の観点から、史上最も難しい攻撃です」と彼は言いました。
オバマが金曜日に再び北朝鮮の手仕事と呼んだ最近のソニー・ピクチャーズの攻撃と同様に、攻撃者は非常に辛抱強く、システム管理者のコンピューターに追跡ソフトウェアを配置し、数か月間その行動を監視しました。 この場合、攻撃者は国ではなく、サイバー犯罪者のグループを代表していることを示す証拠があります。
しかし、銀行、規制当局、法執行機関が関与することなく、この規模の詐欺がほぼ2年間続く可能性があるという疑問が残っています。 調査員は、答えがハッカーの方法に隠れているかもしれないと言います。
多くの点で、このハッキングは標準として始まりました。 サイバー犯罪者は、感染した手紙-同僚からのニュースやメッセージ-を餌として被害者に送りました。 銀行員がクリックしたとき、彼らは不注意に悪意のあるコードをダウンロードしました。 これにより、ハッカーは、送金システムを制御する従業員またはリモートで制御されるATMに到達するまで、銀行のネットワークを介して拡散することができました。
その後、カスペルスキーの従業員によると、攻撃者はRAT(リモートアクセスツール)をインストールし、従業員のコンピューターからビデオ録画とスクリーンショットを受信できるようにしました。
「目標は彼らの行動を引き継ぐことでした」とカスペルスキー研究所の調査員であるセルゲイ・ゴロバノフはロシアからの電話でニューヨーク・タイムズに語った。 「この場合、すべてが通常の日常的な取引のように見えます。」
犯罪者は、各銀行のシステムの特徴を研究するために多くの努力を費やし、同時に米国と中国の銀行に口座を開設してお金を送金しました。 調査の進行を知らされた2人は、口座がJPモルガン・チェースと中国農業銀行で作成されたと言います。 コメントの要求に応じた銀行はありませんでした。
Kaspersky Labは1997年に設立され、ハイテクロシアの輸出の最も有名な例の1つになりましたが、米国での起源は市場シェアを妨げました。 創設者のユージンカスペルスキーは、KGBと国防省の一部が資金を提供している大学で暗号学を学び、会社が開くまでロシア軍で働いていました。
捜査が2か月から4か月に及ぶ期間である彼らの行動を現金化する時が来たとき、犯罪者はいくつかの経路を使用しました。 場合によっては、オンラインバンキングシステムを使用して口座に送金しました。 他のケースでは、共犯者の1人が待っている場所でお金を発行するようにATMに命令しました。
しかし、銀行の会計システムをハッキングし、残高を操作することにより、最大の金額が盗まれました。 従業員になりすましたことで、犯罪者は人為的に残高を過大評価しました-たとえば、1,000ドルの口座は10,000ドルの口座として処理され、その後9,000ドルが銀行から引き落とされました。 アカウントの本当の所有者は何も疑うことができず、銀行は何が起こったのかを理解するのに時間が必要でした。
「多くの銀行は10時間ごとに口座を確認するだけであることがわかりました」とGolovanov氏は言います。 「だから、その間で数字を変えてお金を引き出すことができます。」
ハッカーの成功は印象的です。 Kaspersky Labによると、顧客である企業の1つはATMだけで730万ドルを失いました。 場合によっては、銀行が国際送金に使用するSWIFTシステムを通じて送金しました。 長い間、彼女はハッカーの標的でした-そして長い間、特別なサービスが彼女を追いました。
Doggettは、ほとんどのサイバー犯罪をボニーおよびクライドスタイルの犯罪と比較しました。 そして、この場合、彼は、すべてが「オーシャンの11人の友人に似ている」と言いました。