Хакерская группа Shadow Brokers опубликовала новую порцию инструментов, похищенных у Equation Group, группировки, аффилированной с АНБ США. Как выяснилось, у The Equation были эксплойты, нацеленные на систему SWIFT.
Взять под контроль SWIFT
Shadow Brokers опубликовала очередную порцию инструментов взлома, предположительно принадлежащих Equation Group, хакерской группировки, связанной с АНБ США.
Среди этих инструментов обнаружились средства для проведения атак на международную межбанковскую систему SWIFT и ее сервисных бюро. По-видимому, целью АНБ было заполучить возможность отслеживать любые транзакции, проводимые через эту систему.
Опубликованные инструменты также включают эксплойты для взлома систем на базе разных версий Windows, а также ряд презентаций и сопроводительных документов к этим и другим инструментам Equation.
Представители SWIFT заявили изданию Threatpost, что ни инфраструктура, ни данные SWIFT сами по себе не были скомпрометированы, но при этом «сторонние организации» могли получать несанкционированный доступ к каналам связи между сервисными бюро и их клиентами.
Сервисные бюро — это сторонние сервис-провайдеры, которые занимаются управлением и поддержкой подключений финансовых учреждений к сети SWIFTNet. В «сливе» Shadow Brokers в частности фигурируют подробные данные об архитектуре EastNets, крупнейшем сервисном бюро SWIFT на Ближнем Востоке, и данные для доступа к нему.
Стоит отметить, что американские спецслужбы после атак 11 сентября 2001 г. негласно получили доступ к финансовой информации в сети SWIFT — это было сделано с целью отслеживания возможных финансовых транзакций террористов.
В 2006 г. в The New York Times, The Wall Street Journal и Los Angeles Times были опубликованы материалы, посвященные возможности АНБ и ЦРУ мониторить транзакции в SWIFT, так что администрация этого сервиса подверглась жесткой критике за недостаточную защиту данных клиентов.
Впоследствии архитектуру всей системы начали обновлять — как раз с целью защитить тайну транзакций.
«В целом, нет ничего удивительного, что спецслужбы стремятся иметь доступ к данным SWIFT – это сильно упрощает им работу. Сейчас, когда стало известно, что Equation Group «ломали» сервисные бюро SWIFT, очевидно, что операторы SWIFT постараются минимизировать вероятность новых вторжений, поскольку они кровно в этом заинтересованы», — говорит Дмитрий Гвоздев, генеральный директор компании «Монитор Безопасности». – «Проблема в том, что усовершенствование безопасности потребует затрат времени, а инструментарий, которым пользовались Equation Group доступен всем желающим уже сейчас. И «желающими» будут отнюдь не только борцы с терроризмом».
Как подобраться к транзакциям SWIFT
Как поясняет в своей публикации французский эксперт по безопасности Мэтт Суиш (Matt Suiche), проанализировавший содержимое архива от Shadow Brokers, передача банковских данных производится через базу данных Oracle, на которую установлено специально ПО SWIFT. В архиве содержались эксплойты для Oracle, позволявшие вытягивать из БД различные сведения, включающие список пользователей и запросы SWIFT.
В EastNets, однако, отрицают, что их системы подверглись какой бы то ни было компрометации. «Сервисное бюро EastNets работает на отдельной безопасной сети, к которой невозможно получить доступ из публичных сетей. Изображения, опубликованные в твиттере с заявлениями о скомпрометированных данных, относятся к устаревшим страницам, сгенерированным на низкоуровневом внутреннем сервере, который не функционирует с 2013 г.» — утверждают в EastNets.
Впрочем, эксперт по безопасности Кевин Бомон (Kevin Beaumont) тотчас же опроверг тезис EastNets о недоступности их внутренних сетей извне. Высказываются предположения, что хакеры АНБ могли использовать эксплойты к файерволлам Cisco и системам, работающим на Solaris, чтобы получить доступ к внутренним сетям сервисных бюро SWIFT, а затем уже атаковать базы данных Oracle.
Сколько других сервис-бюро SWIFT могли быть взломаны, пока неизвестно.
«Увидимся после Третьей Мировой…»
Shadow Brokers – это группировка, выкравшая летом 2016 г. данные о хакерских инструментах АНБ и публиковавшая их в интернете. Некоторые попавшие к ней материалы она пытается продавать.
Нынешнее заявление Shadow Brokers по традиции написано на исковерканном английском языке. В конце говорится: «Может быть, если мы все переживать Третью Мировую, theshadowbrokers видеть вас следующая неделя. Кто знает, что у нас бывать в следующий раз».
Архив с инструментами The Equation Group был выложен на «Яндекс.Диск», однако к нынешнему моменту уже удален.
Неделей ранее Shadow Brokers опубликовали целый ряд инструментов взлома систем UNIX — в том числе эксплойты для удаленного запуска произвольного кода на Sun Solaris, Netscape Server, а также FTP-серверах и почтовых клиентах. Архив содержал также набор средств обеспечения скрытности, бэкдоров, кейлоггеров, средств мониторинга сетей и имплантов уровня ядра для UNIX.
Вдобавок Shadow Brokers опубликовали пароль к первому архиву Equation Group, который они хотели продать на аукционе. Поскольку желающих не нашлось, «теневые брокеры» раздали все бесплатно.
Источник: cnews.ru
