長年にわたり、サイバー犯罪者は、主に金融システムに努力を集中することにより、お金に注意を向けてきました。 10年以上にわたり、彼らは主にこのチェーンの最も弱いリンク、つまりオンラインバンキングサービスを使用する最終消費者に焦点を合わせてきました。 このアプローチには、攻撃者にとっていくつかの利点があります。エンドユーザーのセキュリティレベルがかなり低いこと、一定の期間中に気付かれない可能性がある少量のお金の盗難などです。 ただし、いくつかの欠点があります。必要な銀行の1つを使用している被害者を見つけて(感染させ)、アンチウイルスプログラムをバイパスできるツールを使用する必要があります。
言い換えれば、犯罪者は大金を稼ぐことができますが、同時に、かなりの努力が彼らに必要です。
そして、大金はどこにありますか? 金融機関自体で。 そして、他のオプションはありません。 しかし、それに入るのは非常に難しく、特定の内部システムがどのように機能するかを理解して、それらを完全に侵害し、金を取って痕跡を残さずに去るのはさらに困難です。 このすべては、この種の強盗に必要なすべての情報を収集するために多額の投資を必要とします。 さらに、このような攻撃を実行することは非常に困難であり、慎重な計画のためには数か月でなく数年かかる場合があります。 しかし、いずれにしても、一度に10億ドルを盗む価値はあります。
しかし、これはまさにバングラデシュ中央銀行で2月に起こったことであり、ハッカーはこの攻撃を実行するために特別に設計されたマルウェアの助けを借りて銀行のシステムに感染しました。 その結果、彼らは合計9億5100万ドルの不正な送金を試みました。 このお金は、ニューヨーク連邦準備銀行のバングラデシュ中央銀行の口座にありました。 幸いなことに、これらの操作のほとんどがブロックされたため、「わずか」8100万ドルが盗まれました。 しかし、これが唯一のケースではありません。
ベトナムのティエンフォン銀行は 、2015年の最後の四半期に同様の攻撃に直面しました。 その後、サイバー犯罪者もSWIFTを介して送金を試みましたが、銀行は何らかの問題を時間通りに認識し、進行中の送金100万ドルの完了を停止することができました。
そして2015年1月、 バンコデルアウストロ(エクアドル)は非常によく似た状況に陥り、約900万ドルが盗まれました。
これら3つのケースで一般的なものは何ですか? 悪意のあるソフトウェアが攻撃の実行に使用され、すべてのお金はSWIFTネットワークを使用して送金されました。 SWIFT( 世界銀行間金融通信協会 )。 銀行間の安全な送金は、SWIFTネットワークによって処理されるサービスの1つです。
最大の懸念は、安全であると考えられているSWIFTネットワークが侵害された場合です。 この場合、金融システム全体が危険にさらされる可能性があります。 しかし、これはこれらのケースでは発生しなかったようであり、SWIFTは、「SWIFTネットワーク、基本的なメッセージングサービス、およびソフトウェアは侵害されなかった 」と明記したプレスリリースを発行しました。
ただし、これをどの角度から見るかによって異なります。サイバー犯罪者は、SWIFTネットワークを使用してこのような盗難を犯しました。 そして、この記事の冒頭で説明したのと同じアプローチを使用しました。つまり、チェーン内の最も弱いリンクを目指します。
SWIFTは安全な環境を提供しますが、毎日の終わりには、すべての金融機関が独自の内部システムからSWIFTネットワークと通信します。 サイバー犯罪者が銀行のトロイの木馬を使用してエンドユーザーを標的にしたように、今ではSWIFTネットワーク自体を攻撃する代わりに、彼らはそれに接続している銀行を攻撃します。 したがって、SWIFTネットワーク全体は依然として安全であると言えますが、SWIFTネットワークに接続されている金融機関の数には潜在的に何千もの弱点があると言えます。
これらの攻撃はどのように実行されましたか?
これまでのところ、多くのポイントが理解できないままであり、それらのいくつかについては真実が決して確立されないでしょう。 犯罪者はなんとか自分の足跡をうまくカバーしました。 実際、強盗で使用されるマルウェアの1つの主な目標は、すべての痕跡を隠すことでした。 しかし、私たちが確実に知っていることの1つは、特別に設計されたマルウェアが使用されたことです。 どのようにしてシステムに侵入しましたか? 選択肢は2つあります。銀行員からの支援、またはインターネットを介した外部からの攻撃です。 特に、バングラデシュ中央銀行のセキュリティインフラストラクチャが明らかに最高レベルではないことがわかった後は、どちらの選択肢も非常に理にかなっています。
バングラデシュとの事件をもう少し詳しく見てみると、同国の中央銀行に対する攻撃の非常に複雑な性質に注目できます。 同時に、マルウェアがどのように構成されているか(この攻撃が1回だけ実行される場合は必要のない外部構成ファイルを使用)は、新しい犠牲者に直面することになることを示しています。 これらのハッカーは、ネットワーク上でのソフトウェアの起動の詳細な監視の欠如など、セキュリティモデルに弱点/弱点がある他の銀行に行くことができます。 これまでに他の攻撃に対して得た情報は、この仮説を確認するだけです。
ユーザーとのコミュニケーションにおいて、SWIFTはすべての銀行に、環境のセキュリティを確保するために、攻撃を検出および防止するためのすべてのツールと手段の導入と使用を優先事項とするよう指示しています。
これをどのように提供できますか? 新しい強盗を完全に防ぐものはありますか?
犯罪者は試みを続けますが、成功することもあります。 いずれにせよ、私たちは彼らが必要とするもの(お金)と彼らが努力を向けたいコンピューター(SWIFTネットワークに接続されているコンピューター)を知っています。 SWIFTネットワークへのアクセスは非常に制限されており、特定のコンピューターからのみ実行でき、特定のユーザーのみがアクセスできます。 したがって、これらのコンピューターは、タイムリーに更新されるソフトウェアとマルウェア対策ソリューションだけでなく、非常に適切に保護する必要があります。
- そのようなコンピューターでは、以前に慎重にチェックして許可したプログラムのみを実行する必要があります。
- すべての実行可能プロセスは、リアルタイムで注意深く監視する必要があります。また、それらで発生したすべての処理はログに記録して、異常な動作の検索に役立つようにします。 攻撃がインターネット経由で行われるか、インサイダーの助けを借りて行われるかは関係ありません。
- このような端末では、不正なソフトウェアの起動は許可されません。実行が許可されたソフトウェアは、不正利用技術を使用して保護し、異常な動作が観察された場合はリアルタイムで監視する必要があります。
もちろん、そのようなコンピューターに物理的にアクセスできる人は、ある時点でセキュリティソリューションをオフにすることができますが、セキュリティ担当者が使用するコンソールでこのことに関する通知を受け取ることができれば、それ自体は問題ではありません。 重要なシステムにインストールされたソフトウェアセキュリティソリューションを操作する人よりも、侵害のより良い指標はありますか?
そのようなサイバー攻撃を回避する方法
被害者が直面する最もイライラすることの1つは、インシデントの発生方法に関する知識の欠如です。 これはどのように起こりましたか? すべてはいつ始まりましたか? それはどのくらい続いていますか? コンピューターが侵害されたときにハッカーは何をしましたか? 機密情報の漏洩はありましたか? たとえば、バングラデシュ中央銀行の場合、インシデント後に3つのマルウェアが復元される可能性がありますが、これはそこに残っているだけです。 ハッカーは攻撃後に削除された他の多くのツールを使用でき、被害者はそれらについて何も知りません。
このレベルのサービスを提供できるソリューションはわずかしかありませんが、中でもPanda Adaptive Defenseはこの種のケース向けに設計されたソリューションです。 クライアントには、すでに大規模な金融機関、世界中の政府、経済のさまざまなセクター(ヘルスケア、ホテルチェーン、保険、ユーティリティなど)の大企業が既に存在します。
これらのすべての組織は、通常のサイバー攻撃だけでなく、資産に対する標的型攻撃にも直面しています。 当時、私たちはそのうちのいくつかに言及しただけでした。数週間前に書いた高級ホテルのチェーンと、 石油タンカーへの攻撃です。
このような攻撃を調査した結果、影響を受けた銀行のSWIFTに接続された端末に同様のセキュリティソリューションがあれば、これらの強盗は時間内に停止する可能性があると考えています。