Cyber criminali colpiscono il sistema di pagamento SWIFT
05/03/2016
Proto: N010516.
Con la presente Yoroi desidera comunicarLe che è stato recentemente reso noto un importante attacco informatico che ha preso di mira SWIFT, un sistema di pagamenti molto utilizzato nell'ambiente bancario italiano.
I cyber criminali hanno ottenuto accesso ad un istituto della Banca del Bangladesh e, attraverso un malware scritto appositamente per modificare i pagamenti del sistema SWIFT, sono riusciti a generare alcune transazioni che hanno fatto in modo che la Federal Reserve di New York trasferisse 951 milioni di dollari dal conto della banca del Bangladesh verso alcuni conti nelle Filippine.
Il malware si è registrato come servizio sul sistema in cui è installato SWIFT ed ha modificato la libreria liboradb.dll, utilizzata per l'accesso al database Oracle, in modo da disabilitare alcuni controlli di sicurezza, come la verifica di validità delle chiavi o autorizzazioni.
Monitorando alcuni file di log dell'applicazione è stato poi in grado di raccogliere le informazioni necessarie a costruire query SQL che hanno generato le transazioni necessarie al furto del denaro.
Inoltre, per nascondere le proprie tracce, i criminali hanno fatto sì che il malware controllasse i messaggi di conferma che il sistema SWIFT genera ed invia automaticamente per la stampa, intercettando tutti i messaggi e sostituendoli con versioni opportunamente modificate per nascondere tutte le attività fraudolente che stava realizzando.
L'episodio rappresenta sicuramente un caso molto particolare in cui gli attaccanti hanno studiato approfonditamente l'infrastruttura della vittima al fine di colpirla nella maniera più precisa ed invisibile possibile. Nonostante questo però gli strumenti utilizzati possono prestarsi facilmente ad essere riutilizzati per attacchi verso altre realtà simili.
Gli autori del sistema di pagamenti, The SWIFT Institute, sottolineano in un comunicato stampa che questo tipo di attacchi è possibile solo avendo accesso locale alle macchine su cui risiede il loro software, pertanto è di fondamentale importanza verificare la solidità dei propri sistemi di difesa in modo da prevenire infezioni malware o accessi indesiderati ai loro sistemi.
Yoroi suggerisce pertanto di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
I cyber criminali hanno ottenuto accesso ad un istituto della Banca del Bangladesh e, attraverso un malware scritto appositamente per modificare i pagamenti del sistema SWIFT, sono riusciti a generare alcune transazioni che hanno fatto in modo che la Federal Reserve di New York trasferisse 951 milioni di dollari dal conto della banca del Bangladesh verso alcuni conti nelle Filippine.
Il malware si è registrato come servizio sul sistema in cui è installato SWIFT ed ha modificato la libreria liboradb.dll, utilizzata per l'accesso al database Oracle, in modo da disabilitare alcuni controlli di sicurezza, come la verifica di validità delle chiavi o autorizzazioni.
Monitorando alcuni file di log dell'applicazione è stato poi in grado di raccogliere le informazioni necessarie a costruire query SQL che hanno generato le transazioni necessarie al furto del denaro.
Inoltre, per nascondere le proprie tracce, i criminali hanno fatto sì che il malware controllasse i messaggi di conferma che il sistema SWIFT genera ed invia automaticamente per la stampa, intercettando tutti i messaggi e sostituendoli con versioni opportunamente modificate per nascondere tutte le attività fraudolente che stava realizzando.
L'episodio rappresenta sicuramente un caso molto particolare in cui gli attaccanti hanno studiato approfonditamente l'infrastruttura della vittima al fine di colpirla nella maniera più precisa ed invisibile possibile. Nonostante questo però gli strumenti utilizzati possono prestarsi facilmente ad essere riutilizzati per attacchi verso altre realtà simili.
Gli autori del sistema di pagamenti, The SWIFT Institute, sottolineano in un comunicato stampa che questo tipo di attacchi è possibile solo avendo accesso locale alle macchine su cui risiede il loro software, pertanto è di fondamentale importanza verificare la solidità dei propri sistemi di difesa in modo da prevenire infezioni malware o accessi indesiderati ai loro sistemi.
Yoroi suggerisce pertanto di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
