Come gli hacker hanno tirato fuori un colpo da $ 20 milioni di dollari messicani


Nel gennaio 2018 un gruppo di hacker, ora pensato per lavorare per il gruppo nordcoreano sponsorizzato dallo stato Lazarus, ha tentato di rubare $ 110 milioni dalla banca commerciale messicana Bancomext. Quel tentativo fallì. Ma pochi mesi dopo, una serie di attacchi più piccola ma ancora elaborata consentiva agli hacker di scaricare da 300 a 400 milioni di pesos, o approssimativamente da $ 15 a $ 20 milioni dalle banche messicane. Ecco come l'hanno fatto.

Alla conferenza sulla sicurezza della RSA a San Francisco lo scorso venerdì, il penetration tester e consulente per la sicurezza Josu Loza, che è stato intervistato in seguito agli attacchi di aprile, ha presentato i risultati di come gli hacker hanno eseguito i furti sia in digitale che a terra intorno al Messico. L'affiliazione degli hacker rimane pubblicamente sconosciuta. Loza sottolinea che mentre gli attacchi probabilmente richiedevano vaste competenze e pianificazione per mesi, o anche anni, erano abilitati da un'architettura di rete sciatta e insicura all'interno del sistema finanziario messicano e sviste sulla sicurezza in SPEI, la piattaforma di trasferimento di denaro domestico messicana gestita dalla banca centrale Banco de Messico, noto anche come Banxico.

Picking facili

Grazie alle falle nella sicurezza dei sistemi bancari mirati, gli hacker avrebbero potuto accedere ai server interni dalla rete pubblica o lanciare attacchi di phishing per compromettere i dirigenti, o anche i dipendenti regolari, per ottenere un punto d'appoggio. Molte reti non disponevano di controlli di accesso efficaci, quindi gli hacker potevano ricavare molto chilometraggio dalle credenziali dei dipendenti compromesse. Anche le reti non erano ben segmentate, il che significava che gli intrusi potevano utilizzare quell'accesso iniziale per penetrare in profondità nelle connessioni delle banche con SPEI e, infine, con i server di transazione di SPEI, o persino con la sua base di codice sottostante.

A peggiorare le cose, i dati sulle transazioni all'interno delle reti bancarie interne non sono sempre stati adeguatamente protetti, il che significa che gli aggressori che si erano intrufolati potevano potenzialmente rintracciare e manipolare i dati. E mentre i canali di comunicazione tra i singoli utenti e le loro banche sono stati crittografati, Loza suggerisce anche che l'app SPEI stessa presentava bug e mancavano adeguati controlli di convalida, rendendo possibile lo slittamento delle transazioni fittizie. L'app potrebbe persino essere stata direttamente compromessa in un attacco della supply chain, per facilitare transazioni maligne riuscite mentre si muovevano attraverso il sistema.

Tutte queste vulnerabilità collettivamente hanno reso possibile agli hacker di porre ampie basi di lavoro, alla fine stabilendo l'infrastruttura di cui avevano bisogno per iniziare a effettuare prelievi di denaro reali. Una volta che era a posto, gli attacchi si sono mossi rapidamente.

Gli hacker avrebbero sfruttato le falle nel modo in cui SPEI ha convalidato gli account dei mittenti per avviare un trasferimento di denaro da una fonte inesistente come "Joe Smith, numero di conto: 12345678". Avrebbero quindi diretto i fondi fantasma su un conto reale, ma pseudonimo, sotto il loro controllo e inviato un cosiddetto cash mule per ritirare i soldi prima che la banca realizzasse cosa era successo. Ogni transazione dannosa era relativamente piccola, nel raggio di decine o centinaia di migliaia di pesos. "SPEI invia e riceve milioni e milioni di pesos al giorno, questa sarebbe stata una percentuale molto piccola di tale operazione", dice Loza.

Gli aggressori avrebbero potenzialmente avuto bisogno di lavorare con centinaia di muli per rendere possibili tutti quei ritiri nel tempo. Loza afferma che il reclutamento e la formazione di tale rete potrebbero essere a uso intensivo di risorse, ma che non costerebbe molto incentivarli. Forse 5.000 pesos a persona – meno di $ 260 – sarebbero sufficienti.

Sveglia

La stessa SPEI e l'infrastruttura che circonda l'app erano apparentemente mature per l'attacco. Banxico, che non è stato raggiunto da WIRED per un commento, ha detto in un rapporto di analisi forense pubblicato a fine agosto che gli attacchi non erano un attacco diretto ai sistemi centrali di Banxico, ma erano invece mirati a interconnessioni trascurate o deboli nel più ampio Sistema finanziario messicano. L'approccio degli attaccanti richiedeva "una profonda conoscenza dell'infrastruttura tecnologica e dei processi delle istituzioni vittime, nonché l'accesso a loro", ha scritto Banxico. "L'attacco non aveva lo scopo di rendere inefficiente SPEI o penetrare le difese della Banca Centrale."

Frodi simili con il sistema internazionale di trasferimento di denaro Swift sono sorte in tutto il mondo, compresi incidenti famigerati in Ecuador, Bangladesh e Cile. Ma SPEI è di proprietà e gestito da Banxico e utilizzato solo in Messico. In seguito agli attacchi di aprile, la banca ha rafforzato le sue politiche e controlli sui trasferimenti di fondi, per stabilire standard minimi di sicurezza informatica per le banche messicane che collegano i loro sistemi allo SPEI.

"I messicani devono iniziare a lavorare insieme, tutte le istituzioni devono collaborare di più", dice Loza. "Il problema principale della sicurezza informatica è che non condividiamo conoscenze e informazioni o parliamo abbastanza di attacchi: le persone non vogliono rendere pubblici dettagli sugli incidenti".

Loza aggiunge che mentre c'è sempre la minaccia di una nuova ondata di attacchi, le banche messicane hanno investito molto nell'ultimo anno nel rafforzare le loro difese e migliorare l'igiene della rete. "Dallo scorso anno a oggi, l'attenzione si è concentrata sull'implementazione dei controlli: controllo, controllo, controllo", afferma. "E penso che gli attacchi non stiano accadendo oggi a causa di ciò, ma la cosa più importante è il cambiamento di mentalità che rende gli utenti business vogliono pagare per una maggiore sicurezza."

Questi tipi di violenze hanno avuto così tanto successo in tutto il mondo, tuttavia, che non saranno facili da fermare. E mentre loro si sforzano di attaccare gli attaccanti, possono ancora ottenere decine di milioni di dollari. E tutto senza dover rompere una cassaforte.


Altre grandi storie WIRED