UPD2。 中央銀行によると、2017年には3億3,950万ルーブルが盗まれました。 Globexについてだと推測するのは簡単です。 FinCERTの
レビューでは、次のように述べています。 この攻撃の結果としての不正操作の量は、3億3,950万ルーブルに達しました。」
UPD。 被害者の銀行はGlobexです。 盗まれたサイズは数千万ルーブルと推定されます。
ロシアの銀行の1つは、国際銀行間決済システムSWIFTを介してお金を盗むことを目的としたサイバー攻撃の犠牲になりました。 攻撃については、12月15日に実行されたことが知られています。 ただし、銀行名と被害額はまだ発表されていません。 Cobaltグループが組織したとされる攻撃の開発は、事件の数週間前にマルウェアの配布から始まりました。 さらに、中央銀行の中央セキュリティおよび情報保護局の副長であるアルテムシチェフによると、ハッカーはインフラストラクチャへの幅広いアクセスを獲得し、他の引き出しチャネルを使用する可能性がありました。 しかし、彼らは外国の銀行に資金を引き出すことに興味があったので、ハッカーの目標はSWIFTへのアクセスでした。
SWIFTによると、不正アクセスがあったという証拠はありません。 これは、ほとんどの場合、SWIFTオペレーターのアカウントに対して制御が取得されたことを意味します。 バングラデシュ中央銀行のセンセーショナルな
ケースを含む、さまざまな国の銀行での同様のケースがいくつかあります。ハッカーが取引中に承認に必要な情報を盗むことができました。 その後、彼らはなんとか8100万ドルを盗み、合計で9億5100万ドルの資金を引き出しようとしました。2015年の終わりにベトナムの銀行Tien Phon Bankに対して同様の攻撃が行われました。エクアドルのバンコデルアウストロから数百万。 2016年の夏、ウクライナの銀行から1,000万ドルが盗まれました。 攻撃者は毎回、銀行に実装されている保護バリアをバイパスして、SWIFTシステムにアクセスします。
いくつかの銀行については、SWIFTインターフェースへのアクセスの2要素認証を既に設定しているため、SWIFTと一部の銀行の活動については少し知っています。 したがって、私が自分自身を見るものを教えてくれます。 バングラデシュ中央銀行で発生した最大の盗難の後、SWIFTネットワークとそのメッセージングサービスへのアクセスのセキュリティを強化するために、SWIFT企業の比較的安定したコースが概説されました。 すぐに、SWIFTの使用を許可するさらなる認証の要件の1つは、2要素認証の要件でした。 この対策により、オペレータのパスワードを傍受した攻撃者を阻止する必要があります。 さらに、最初は銀行が2要素認証の実装に着手したことを報告するだけで十分でした。 アクティブな認証の有効期限が切れていない一部の参加者は、すぐにアクションを延期することにしました。
一方、2017年のSWIFTは、顧客セキュリティプログラムを開発し、情報セキュリティに関する組織的および技術的な推奨事項を文書化しました。 セキュリティ対策には、物理的なアクセスの保護、権限の分離、定期的な更新、アクセスの制限、そしてもちろんアカウントの保護が含まれます。 現在、金融機関はまず自己認証を実施する必要があり、その後、新しい要件へのコンプライアンスを確保するために外部監査を行う必要があります。
約1年間、SWIFTには、ワンタイムコードを使用した2要素認証の独自の実装があります。 オープンスタンダードのOATH TOTPが基礎として採用されました。つまり、ワンタイムコードがタイムウィンドウに存在します。 Googleオーセンティケーターとの類推によりQRコードとして登録すると、シークレットシードがオペレーターのモニターに表示されます。 ちなみに、同じGoogle認証システムを含め、ジェネレーターとしてTOTP標準をサポートする任意のモバイルアプリケーションを使用できます。 私の意見では、SWIFTはそのような基本的なソリューションを提供しています。 しかし、実装には落とし穴があります。 まず、メインシークレットを含むQRコード自体がオペレーターのPCに送信され、画面に表示されます。つまり、傍受またはスパイされる可能性があります。 しかし、最大の問題は、SWIFTサーバーが通常ローカルネットワークから隔離され(これも推奨事項である)、NTPサーバーにアクセスできないことです。 その結果、最も予測不可能な瞬間に、同期していないトークンが発生する可能性があります。 たとえば、一部の情報セキュリティサービスは、スマートフォンではなくワンタイムパスワードのハードウェアジェネレーターを使用することを好みます。 この要件は、SWIFTが提供するものと互換性がありません。 SWIFTが提案するソリューションには他の欠点もあります。これは、一部の金融機関がサードパーティのソリューションを選択しているためです。 いずれにせよ、上記のすべては、頭を砂に埋めるのではなく、既存の脅威に対抗するSWIFTの試みについて語っています。
オペレーターのアカウントだけでなく、セキュリティで保護されたSWIFTネットワーク内の他のサービス(サーバーへのRDPまたはSSHアクセスなど)にも2要素認証が必要になりました。
最新の攻撃の被害者であった銀行のインフラストラクチャがSWIFTの推奨事項と一致していたかどうかは不明ですが、そうではないと思います。 メディアで入手可能な情報から判断すると、中央銀行はこの銀行に対してセキュリティレベルの改善に関する勧告も発行しましたが、詳細は一般の人々には知られていません。