黑客如何摧毁2000万美元的墨西哥银行抢劫案


2018年1月 一群黑客,​​现在被认为是为朝鲜国家赞助的拉扎鲁斯集团工作,试图从墨西哥商业银行Bancomext窃取1.1亿美元。这种努力失败了。但就在几个月后,一系列较小但仍然精心设计的攻击让黑客从墨西哥银行中抽取了3亿至4亿比索,或大约1500万至2000万美元。他们是如何做到的。

在上周五旧金山举行的RSA安全会议上,渗透测试人员和安全顾问Josu Loza在四月袭击事件发生后成为事件响应者,他们就黑客如何在墨西哥数字和地面执行抢劫事件提出了调查结果。黑客的归属感仍然是公开的。 Loza强调,尽管这些攻击可能需要数月甚至数年的广泛专业知识和规划,但墨西哥金融体系中的草率和不安全的网络架构以及墨西哥中央银行Banco de运营的墨西哥国内汇款平台SPEI的安全监管使其成为可能。墨西哥,也被称为Banxico。

轻松挑选

由于目标银行系统存在安全漏洞,攻击者可能已经从公共互联网访问内部服务器或发起网络钓鱼攻击,以危及管理人员 – 甚至是普通员工 – 以获得立足点。许多网络没有强大的访问控制,因此黑客可以从受损的员工凭证中获得大量的里程数。这些网络也没有很好的分割,这意味着入侵者可以利用这种初始访问深入渗透到银行与SPEI的连接,最终渗透到SPEI的交易服务器,甚至其底层代码库。

更糟糕的是,内部银行网络中的交易数据并不总是得到充分保护,这意味着已经挖掘的攻击者可能会潜在地跟踪和操纵数据。虽然个人用户和他们的银行之间的通信渠道是加密的,但Loza还建议SPEI应用程序本身存在漏洞并且缺乏足够的验证检查,从而可以防止虚假交易。该应用甚至可能在供应链攻击中直接受到损害,以促进成功的恶意交易,因为他们在系统中移动。

所有这些漏洞共同使黑客有可能进行广泛的基础工作,最终建立他们开始进行实际现金争夺所需的基础设施。一旦到位,攻击就会迅速发生。

黑客会利用SPEI验证发件人帐户如何从“Joe Smith,账号:12345678”等非限制性来源发起汇款的漏洞。然后,他们会将幻影资金转到他们控制下的真实但匿名帐户并发送一个所谓的现金骡子,在银行意识到发生了什么之前撤回了这笔钱。每个恶意交易都相对较小,在数十或数十万比索的范围内。 “SPEI每天发送和接收数百万比索,这只占该操作的一小部分,”Loza说。

攻击者可能需要与数百骡子一起工作,以便随着时间的推移使所有这些撤回成为可能。 Loza说,招募和培训这个网络可能是资源密集型的,但激励他们不会花费太多。也许每人5000比索 – 不到260美元 – 就足够了。

叫醒服务

SPEI本身和应用程序周围的基础设施显然已成熟攻击。 WIRED未能达成评论的Banxico在8月底发布的一份法医分析报告中表示,这次袭击不是对Banxico中央系统的直接攻击,而是针对较大的被忽视或弱连接墨西哥金融体系。 Banxico写道,攻击者的方法要求“深入了解技术基础设施和受害机构的过程以及获取这些机构的过程”。 “这次袭击的目的并不是让SPEI无法操作或渗透中央银行的防御。”

使用国际汇款系统的类似欺诈Swift在全球范围内出现,包括厄瓜多尔,孟加拉国和智利的臭名昭着的事件。但SPEI由Banxico拥有和运营,仅在墨西哥境内使用。在四月袭击事件发生后,该银行收紧了有关资金转移的政策和控制措施,为墨西哥银行制定了最低的网络安全标准,将其系统与SPEI联系起来。

“墨西哥人需要开始合作。所有机构都需要更多合作,”洛扎说。 “网络安全的主要问题是我们不会分享知识和信息,也不会充分谈论攻击。人们不希望公开事件的详细信息。”

Loza补充说,尽管仍然存在新一轮袭击的威胁,但墨西哥银行去年在加强防御和改善网络卫生方面投入了大量资金。 “从去年到今天,重点一直是实施控制。控制,控制,控制,”他说。 “而且我认为今天的攻击并没有因此而发生。但最重要的是改变主意,使企业用户希望为更好的安全付费。”

然而,这些类型的抢劫案在全世界都是如此成功,以至于它们不容易停止。虽然他们努力让攻击者建立起来,但他们仍然可以获得数千万美元的收入。而且无需破解保险箱。


更多伟大的有线故事