Tysiące komputerów banku uszkodzone, by ukryć przebieg prawdziwego ataku

dodał 8 czerwca 2018 o 21:04 w kategorii Włamania  z tagami:
Tysiące komputerów banku uszkodzone, by ukryć przebieg prawdziwego ataku

Wiele razy słyszeliśmy o rzekomych atakach na systemy różnych instytucji, które miały za zadanie ukryć przebieg zupełnie innych wydarzeń. Rzadko jednak dowody były tak przekonujące jak właśnie teraz.

Banco de Chile nie należy do małych instytucji finansowych. Kilka miliardów dolarów przychodu, ponad dziesięć tysięcy pracowników, kilkaset oddziałów i dwa tysiące bankomatów. Oraz dziesięć tysięcy komputerów – wszystkie unieruchomione na skutek tajemniczego ataku.

Ciemność, widzę ciemność, ciemność widzę

24 maja rano przed oddziałami Banco de Chile w całym kraju ustawiały się kolejki klientów i czekały, kiedy systemy informatyczne ponownie będą dostępne. Czekały bezskutecznie, ponieważ ekrany komputerów we wszystkich oddziałach były czarne – widniał na nich tylko mały biały komunikat informujący o problemach z dyskiem systemowym.

Źródło: https://www.seguridadyfirewall.cl/2018/05/desmienten-hackeo-informatico-del-banco.html

Bank tego samego dnia przyznał, że ma problemy i rekomendował klientom korzystanie z usług bankowości online oraz mobilnej, a także bankomatów. Te akurat działały.

Bank zadbał o wygłoszenie Mantry Wszystkich Bankowców, czyli „środki klientów były, są i pozostają bezpieczne”.

Analiza incydentu

Wygląd ekranu komputera w oddziale banku wskazuje, że coś uszkodziło sektory rozruchowe dysku. Po kilku dniach szperania po sieci znaleźliśmy ślady wskazujące, że faktycznie doszło do masowego uszkodzenia dysków w tysiącach komputerów. Na lokalnym forum natrafiliśmy na zrzut ekranu rozmowy z kimś, kto wydaje się mieć wiedzę o wydarzeniach wewnątrz banku. Osoba ta twierdzi, że 9000 komputerów i 500 serwerów uległo awarii na skutek ataku.

Te informacje pokrywają się z danymi, które posiadamy z innych źródeł. Banco de Chile potwierdził atak wirusa, jednak nie podał żadnych dodatkowych informacji.

Firma Trend Micro opublikowała porządną analizę pliku, który miał dokonać zniszczeń na bankowych komputerach. My również analizowaliśmy plik powiązany z tym atakiem i możemy potwierdzić, że było to trywialne narzędzie, nadpisujące kilka początkowych sektorów dysku i wymuszające restart komputera. Nic wyrafinowanego. Według naszych informacji złośliwy program został rozesłany za pomocą mechanizmów aktualizacji programu antywirusowego.

Zasłona dymna

Po co ktoś miałby uszkadzać tysiące komputerów banku? Szukaliśmy kolejnych wskazówek i natrafiliśmy na wpis lokalnego dziennikarza, który informuje, że z banku w trakcie ataku wirusa zniknęło 11 milionów dolarów. Inne źródła wskazują na sumę jeszcze wyższą.

Co prawda dziennikarz wskazuje na sprawców wewnątrz banku, jednak według naszych informacji na serwerach banku znaleziono ślady wskazujące na zestaw narzędzi używanych przez grupę Lazarus – tę samą, która nie tak dawno skutecznie hakowała polskie banki za pomocą strony Komisji Nadzoru Finansowego. Z kolei Trend Micro wskazuje, że już w styczniu obserwował inny wariant programu uszkadzającego dyski, powiązany ze sporym atakiem w Meksyku, w którym przestępcom prawie udało się wyprowadzić z banku ponad 100 milionów dolarów. Brzmi ciekawie.

Link do pliku wipera na VT