Como se robaron U$S81m con un malware y una falla en SWIFT

Investigadores del contratista de defensa británico BAE Systems descubrieron que los delincuentes que robaron los U$S81 millones del Banco Central de Bangladesh, realmente lo hicieron a través del software de la plataforma financiera SWIFT, una parte clave del sistema financiero global.


SWIFT (Society for Worldwide Interbank Financial Telecommunications) es una red mundial de mensajería utilizada para transferencias internacional de dinero.

Con el sistema SWIFT comprometido, utilizaron un malware a medida para ocultar las pruebas y pasar desapercibidos para borrar los registros de las transferencias ilícitas.

Casi 11.000 bancos y otras instituciones financieras de todo el mundo utilizan sistema SWIFT para enviar y recibir "con seguridad" instrucciones de pago a través de un sistema estandarizado de códigos.

Los investigadores descubrieron evidencia que revela que el banco utilizaba switches de segunda mano con un valor de U$S10 y sin firewall, lo que ofreció a los delincuentes el acceso a toda la infraestructura del Banco, incluyendo los servidores de SWIFT. Luego utilizaron una pieza de malware sofisticado para manipular los logs y borrar el historial de las transacciones fraudulentas, incluso impide imprimir dichas transacciones.

El malware también tiene la capacidad para interceptar y destruir los mensajes entrantes confirmando las transferencias de dinero. Estas capacidades previno que el malware sea detectado por bastante tiempo.

"Este malware parece ser sólo una parte de un amplio conjunto de herramientas de ataque y habría sido utilizado para cubrir las pistas de los atacantes y el envio de las instrucciones de pago utilizadas hacer las transferencias" dijo el investigador de seguridad Sergei Shevchenko.

Los delincuentes habían tratado de transferir (robar) U$S951 millones en total de la cuenta del banco central de Bangladesh al Banco de Reserva Federal de Nueva York mediante transacciones fraudulentas, pero un simple (de ortografía) detuvo las transferencias de U$S 850 millones.

Los investigadores BAE creen el malware utilizado busca como objetivo Alliance Access, un software que permite a los bancos conectar a la red SWIFT y que tiene más de 2.000 instalaciones en todo el mundo. Así que a pesar de que el sistema financiero SWIFT es utilizado por alrededor de 11.000 bancos e instituciones financieras, todos ellos no serían afectados por el malware.

"Modificando la instancia local de software de SWIFT Alliance Access, el malware brinda la posibilidad de ejecutar transacciones de base de datos dentro de la red de la víctima", dijo Shevchenko.

Mientras tanto, SWIFT en Bruselas confirmó a Reuters que la compañía el lunes lanzó una actualización del software para solucionar el problema, junto con una advertencia especial a las instituciones financieras.

El análisis del malware se puede ver en el blog de BAE.

Fuente: InfoSegurity

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS