Ukradli bankowi milion dolarów, chcieli wysłać na polskie konta

dodał 10 lutego 2015 o 20:38 w kategorii Prawo, Włamania  z tagami:
Ukradli bankowi milion dolarów, chcieli wysłać na polskie konta

Firewalle, IDSy, IPSy, antywirusy i VPNy nie pomogły amerykańskiemu bankowi uniknąć trywialnego włamania. Tradycyjnie zawiódł pracownik, który zniwelował niemal wszystkie zabezpieczenia i ułatwił życie przestępcom.

Pewnego październikowego poranka nieustalony do tej pory sprawca wysłał z konta banku dwa przelewy do dwóch banków w Polsce na łączną kwotę niecałego miliona dolarów. Pokażemy Wam krok po kroku jak do tego doszło.

Tajemnicze przelewy

Bank Stanowy w Bellingham to mała placówka, zatrudniająca zaledwie 5 pracowników. Mimo małej skali działalności wdrożyła ona wiele mechanizmów i procedur bezpieczeństwa, które okazały się być w omawianym przypadku całkowicie bezużyteczne. Środki finansowe banku chroniły następujące rozwiązania:

  • dedykowana stacja robocza do przelewów,
  • sprzętowy VPN do banku Rezerwy Federalnej, który pośredniczył w realizacji przelewów,
  • profil użytkownika o ograniczonych uprawnieniach do realizowania przelewów,
  • aktywny Windows Firewall,
  • zainstalowany na każdej stacji roboczej Symantec Small Business Endpoint Protection 12.5 (z modułami antywirusa, firewalla, IDSa i IPSa),
  • każdy przelew musiał być autoryzowany przez dwóch pracowników,
  • każdy pracownik dysponował własnym tokenem sprzętowym niezbędnym do realizacji przelewu,
  • token był zabezpieczony dodatkowym hasłem a każdy pracownik miał swój login i hasło,
  • sieć banku chroniona była przez sprzętowy firewall Sonic WALL NSA 240 (z modułami Gateway Antivirus, Gateway Anti-Spyware i Gateway Intrusion Protection),
  • siedziba banku objęta była monitoringiem wizyjnym.

Mimo wszystkich wymienionych powyżej mechanizmów bezpieczeństwa dnia 28 października 2011 roku we wczesnych godzinach porannych ktoś wysłał z banku dwa przelewy: o godzinie 7:12 na kwotę 485 tysięcy dolarów do warszawskiego oddziału Citibanku oraz o godzinie 7:21 na kwotę 455 tysięcy dolarów do katowickiego oddziału banku ING. W czasie wykonywania operacji nikogo w siedzibie banku nie było. Jak to możliwe? Aby to zrozumieć musimy prześledzić chronologię wydarzeń z raportu biegłego, badającego kluczową stację roboczą.

Wg Google gdzieś tutaj znajduje się siedziba banku

Wg Google gdzieś tutaj znajduje się siedziba banku

Historia wszystkich wpadek

Wyniki badania komputera, z którego dokonano przelewu oraz zeznania pracowników opowiadają następującą historię:

  • 30 lipca 2008 (ponad 3 lata przed incydentem) ostatni raz zaktualizowany został moduł Proactive Threat Protection Symanteca, dzięki czemu w dniu incydentu był nieaktywny
  • komputer był regularnie używany do przeglądania stron internetowych w tym Facebooka a jego użytkownik miał zwyczaj otwierania każdej wiadomości email, łącznie z tymi oznaczonymi jako spam
  • w bliżej nieustalonym momencie przed incydentem na adres poczty elektronicznej banku bellinghambank@farmers.net przyszła wiadomość zawierająca link do złośliwego oprogramowania, pracownik kliknął w link, pobrał oprogramowanie i zainstalował konia trojańskiego Zeus, który pobrał dodatkowe moduły
  • konta zarówno użytkownika jak i administratora nie były zabezpieczone hasłem
  • antywirus Symanteca ustawiony był na skanowanie całego dysku raz w tygodniu
  • 13 października Symantec wykrył Zeusa i powiadomił o tym pracownika, który zignorował ostrzeżenie
  • 18 października Symantec przeniósł jeden z elementów Zeusa do kwarantanny i powiadomił o tym użytkownika, który zignorował ostrzeżenie
  • 26 października Zeus pobrał dodatkowy program który został użyty w bezpośrednim ataku
  • 27 października, dzień przed incydentem, pracownica banku wykonała prawidłowy przelew, korzystając ze swojego tokena, loginu i hasła oraz z identycznego zestawu innego pracownika, po czym oba tokeny zostawiła podłączone do komputera a komputer zostawiła włączony i poszła do domu.

Następnego dnia rano przestępca skorzystał z okazji, połączył się z komputerem w banku i wygenerował oba przelewy.

Wydarzenia po incydencie

To jeszcze nie koniec historii, ponieważ przestępca zadbał o zwiększenie szansy na to, że przelewy nie zostaną na czas cofnięte:

  • 28 października rano pracownica zorientowała się, że doszło do nieautoryzowanych przelewów i próbowała je anulować drogą elektroniczną, jednak okazało się to niemożliwe, ponieważ dostawca usług internetowej banku padł ofiarą ataku DDoS,
  • pracownia próbowała anulować przelewy telefonicznie, ale bank Rezerwy Federalnej odmówił wstrzymania przelewów,
  • 30 października bank Rezerwy Federalnej w końcu spróbował zatrzymać oba przelewy, ale odniósł sukces tylko w jednym przypadku, a kwota 485 000 dolarów powędrowała na polskie konto (jej dalszy los pozostaje nieznany),
  • w momencie badania dysku, wiele miesięcy po incydencie, na dysku nadal znajdowały się moduły Zeusa niewykryte przez Symanteca.

Epilog

O całym incydencie dowiedzieliśmy się tylko i wyłącznie dlatego, że bank pozwał swojego ubezpieczyciela. Co ciekawe, sąd nakazał wypłatę odszkodowania. Co prawda uznał, że bank był winien wielu zaniedbań, ale stwierdził też, że mimo wszystkich zaniedbań do straty by nie doszło, gdyby nie działanie włamywacza. Jako że bank był ubezpieczony od włamań, to ubezpieczyciel powinien wypłacić odszkodowanie. Taka sytuacja.