Kako so hekerji lani mehiškim bankam ukradli 20 milijonov dolarjev

Lanskega aprila so neznani napadalci, ki jih strokovnjaki povezujejo s severnokorejsko hekersko skupino Lazarus, več mehiškim bankam ukradli okrog 20 milijonov dolarjev. Napad, ki je spominjal na vdor v bangladeške banke pred tremi leti, je bil posledica malomarne zaščite sistema, je na konferenci RSA v San Franciscu razkril Josu Loza, ki je po vdoru preiskoval situacijo.

Loza je povedal, je priprava na napad verjetno trajala mesece ali leta, a da napada ne bi bilo brez površne zaščite in varnostnih pomanjkljivosti v sistemu. Hekerji so izrabili luknje v povezavi do mehiškega poravnalnega sistem SPEI, ki ga upravlja mehiška centralna banka Banxico.

Prvi korak napada je bila zagotovitev dostopa do računalnikov zaposlenih, kar je bilo možno kar z interneta s ciljanim pošiljanjem okužene elektronske pošte (phishing). Ker omrežja niso bila ustrezno segmentirana in ločena, so lahko napadalci s teh računalnikov pridobili dostop do strežnikov, ki so komunicirali z omrežjem SPEI, od tam pa vse do strežnikov v sistemu SPEI. Ker podatki v internih omrežjih posameznih bank niso bili ustrezno zavarovani, so jih napadalci zlahka prestrezali in spreminjali. Ranljivosti v SPEI pa so napadalcem omogočile, da so v sistem vpisovali lažne transakcije.

To pomeni, da so napadalci enostavno pripravili vse potrebno in začeli izvajati napade. V SPEI so uspeli vriniti lažne transakcije, ki so z neobstoječih računov nakazovale manjše vsote denarja na račune, ki so jih nadzorovali napadalci. Ko je denar tja prispel, ker SPEI ni preverjal avtentičnosti transakcij in kritja, so ga njihovi sodelavci, tako imenovane mule, hitro dvignili. Šlo je za transakcije, ki so obsegale nekaj deset dolarjev (v valuti peso), zato niso sprožile alarmov. Napadalci so potrebovali večjo mrežo mul, ki so širom Mehike dvignile 20 milijonov dolarjev.

V svojem poročilu Banxico sicer trdi, da napadalci niso napadali sistem SPEI, temveč pristopne točke do sistema. Krive naj bi bile torej mehiške banke, ki so slabo zavarovale svoje sisteme. Toda SPEI teče izključno v Mehiki in je pod nadzorom mehiške centralne banke. Tudi zato so po napadu zaostrili pogoje, ki jih morajo banke izpolnjevati, da se lahko priključijo v SPEI.