Как показал анализ нового дампа от Shadow Brokers, содержащего информацию о хакерском инструментарии Equation Group, АНБ использовало эксплойты в атаках на два сервисных бюро SWIFT, чтобы получить доступ к данным о банковских операциях ряда финансовых институтов Ближнего Востока. Эксперты не исключают, что этот доступ мог использоваться для отслеживания финансирования террористических операций.

Дамп был выложен на GitHub в пятницу, и исследователи принялись прилежно изучать не только детали взломов, связанных со SWIFT, но также инструментарий для компрометации систем Windows и ряд презентаций и документов по другим хакерским инструментам. Новый «дар» от Shadow Brokers появился спустя шесть дней после раскрытия взломов через UNIX-системы и эксплойтов для корпоративных и критически важных для бизнеса серверов.

«Если заверения Shadow Brokers имеют основания, в данном случае похоже, что АНБ стремилось к полному захвату магистрали международной финансовой системы, чтобы выполнять роль всевидящего ока по отношению к сервис-бюро SWIFT и в перспективе ко всей сети SWIFT, — пишет исследователь Мэтт Сюиш (Matt Suiche), представляя результаты анализа дампа. — Это вполне соответствует типовым методам засекреченной структуры, уполномоченной производить скрытные действия, даже такие, которые технически можно расценить как незаконные».

SWIFT тем временем стоит на том, что ее инфраструктура не скомпрометирована. «Инфраструктура или данные SWIFT не затронуты, — заявил журналистам Threatpost представитель провайдера. — Как мы поняли, речь идет о случаях стороннего неавторизованного доступа к коммуникациям между сервисными бюро и их клиентами».

SWIFT Service Bureaus — это сторонние сервис-провайдеры, организующие и размещающие соединения со SWIFTNet финансовых организаций, которые хотят иметь возможность подключения к этой сети, но предпочитают отдавать такие операции на аутсорсинг. По свидетельству SWIFT, подобный пакет услуг включает разделение, размещение и эксплуатацию компонентов для связи со SWIFT, а также обеспечение механизмов входа в систему, управление сеансами связи и гарантирование безопасности пользователям SWIFT.

По словам Сюиша, связанные со SWIFT архивы именуются JEEPFLEA и содержат учетные данные и детали архитектуры EastNets, крупнейшего сервисного бюро SWIFT на Ближнем Востоке. Поскольку банковские транзакции заносятся в базу данных Oracle, использующую софт SWIFT, в опубликованных архивах содержатся описания инструментов, которые помогали АНБ получать данные из этой базы, в том числе список пользователей и запросы в форме SWIFT-сообщений.

EastNets, предоставляющая также услуги по защите от отмывания денег и фрода, являлась мишенью АНБ в данном регионе. Архивные документы, слитые Shadow Brokers, содержат идентификаторы, информацию об учетных записях и данные административных аккаунтов. Однако в заявлении на сайте EastNets Хазем Мулхим (Hazem Mulhim), гендиректор и основатель компании, подчеркнул, что выводы о компрометации ресурсов EastNets неверны:

«Заключение о якобы имевшем место взломе сети EastNets Service Bureau (ENSB) абсолютно ложно и необоснованно. Внутренняя служба обеспечения информационной безопасности сети EastNets произвела полную проверку серверов и не выявила признаков компрометации или каких-либо уязвимостей. EastNets Service Bureau работает в отдельной надежной сети, недоступной через сети общего пользования. Приведенные в Twitter фото, якобы свидетельствующие о компрометации, демонстрируют утратившие актуальность, устаревшие страницы, сгенерированные на внутреннем сервере нижнего уровня, который был выведен из эксплуатации в 2013 году.

Удостоверить опубликованную информацию мы не в состоянии, однако можем заверить, что никакие данные клиентов EastNets скомпрометированы не были. EastNets по-прежнему гарантирует полную сохранность и безопасность клиентских данных с соблюдением самого высокого уровня защиты, предусмотренной для сертифицированного сервисного бюро SWIFT».

Исследователь Кевин Бомон (Kevin Beaumont) опроверг заявление EastNets об отсутствии публичного доступа к ее сети, опубликовав в Twitter скриншоты.

По мнению x0rz, АНБ могло проникать в сети SWIFT Service Bureaus, эксплуатируя уязвимости нулевого дня в межсетевых экранах Cisco. «Они могли взломать сети [сервисных бюро] через Cisco ASA и углубиться в сеть, используя эксплойты для Solaris (это лишь предположение), — заявил исследователь в комментарии Threatpost. — Затем они занялись сбором данных посредством SQL-запросов на серверах Oracle». X0rz также отметил, что обнаружил в дампе как минимум две уязвимости 0-day для Windows. Эти находки подтверждает и Сюиш, уточняя, что незакрытые бреши свойственны Windows 8 и Windows Server 2012. Следовательно, от Microsoft можно ожидать внеочередные патчи, хотя не исключено, что их выпуск будет отложен до 9 мая.

«Это самый содержательный дамп из всех опубликованных, — заявил Сюиш. — Куча информации о реальных целях и документов PowerPoint. В предыдущих дампах были лишь инструменты». Исследователь также не преминул отметить, что многие из слитых инструментов ориентированы на устаревшие версии Windows. Имплантам для Windows присвоено кодовое имя Oddjob; согласно документации АНБ, они практически не детектируются на VirusTotal. Использованные в атаках уязвимости нулевого дня в XP, Vista и Windows Server 2003/2008 вряд ли будут пропатчены, так как эти платформы сняты с поддержки.

Категории: аналитика, Главное, Уязвимости, хакеры

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *