Podajanje krivde za vdor v bangladeško centralno banko se nadaljuje

Matej Huš

11. maj 2016 ob 19:54:41

Še vedno ni popolnoma jasno, kako in predvsem zakaj so hekerji uspeli vdreti v bangladeško centralno banko in ukrasti 81 milijonov dolarjev, se je pa že začela igra podajanje žogice, kdo je kriv za na stežaj odprta vrata v sistem. Bangladeška centralna banka obtožuje SWIFT, slednji pa vsakršno krivdo zavrača.

Dejstvo je, da so napadalci pridobili dostop do sistema SWIFT in pri newyorški podružnici ameriške centralne banke FED naročili prenos skoraj milijarde dolarjev, kar predstavlja približno petino tam deponiranih rezerv bangladeške centralne banke. Po prenosu 81 milijonov dolarja denarja je posredniška banka Deutsche Bank našla tipkarsko napako pri imenu upravičenca (Fandation namesto Foundation), zato so nakazila zaustavili.

Rezultati preiskave, ki jih je minuli mesec objavil BAE Systems, kažejo, da so bile v informacijskem sistemu bangladeške centralne banke hude luknje. Prav tako kažejo, da so napadalci spisali posebej prilagojen namenski program, ki je v sistemu SWIFT izvajal nepooblaščene transakcije.

Sedaj pa sta se oglasili bangladeška centralna banka in tamkajšnja policija ter soglasno obtožili tehnike iz SWIFT-a, ki so povezovali bangladeški sistem za bruto poravnavo transakcij v realnem času (RTGS) s SWIFT-om. Bangladeška policija trdi, da so v nasprotju z uveljavljenimi praksami tehniki povezali SWIFT neposredno z glavnim bančnim informacijskim sistemom, posredno pa kar z internetom. Namesto da bi uporabili ustrezne požarne zidove in VLAN za segmentacijo in ločitev omrežij, naj bi uporabili kar navadne cenene usmerjevalnike, ki so bili v banki pri roki. Postavili naj bi celo slabo zaščiteno brezžično omrežje, ki jim je med delom omogočilo dostop do omrežja SWIFT-a, potem pa ga niso odstranili.

V SWIFT-u zanikajo kakršnekoli malomarnosti. Poudarjajo, da SWIFT ni bil pristojen za nobeno od ranljivosti, ki jih navaja poročilo bangladeške policije. Dodajajo, da so vse banke same odgovorne za varnost njihovih sistemov in povezavo s sistemom SWIFT. Medtem ameriški preiskovalci dodajajo, da so pri napadu zelo verjetno sodelovali tudi nekateri zaposleni v bangladeški centralni banki, česar bangladeška policija ni mogla potrditi.