به‎روزرسانی SWIFT پس از حمله به بانک بنگلادش

در پی تلاش برای نفوذ به بانک مرکزی بنگلادش و سرقت ۸۱ میلیون دلار، شرکت‌های امنیتی به دنبال بهبود و پیشرفت سامانه پیام‎رسانی تراکنش‌های مالی بین بانکی بین‎المللی SWIFT هستند.
سرقت ۸۱ میلیون دلار (که تنها بخشی از ۹۵۰ میلیون دلار به سرقت رفته است) از بانک بنگلادش در ماه فوریه (که بزرگترین سرقت تاریخ نام گرفت) مربوط به استفاده بانک از مسیریاب‎های ۱۰ دلاری‌ و دست دوم روی شبکه‌ و همچنین نبود دیواره‌ی آتش است. مهاجمانی که در این سرقت دست داشتند با استفاده از ضعف زیرساخت شبکه‌ای و بدافزارها، تراکنش‌های SWIFT را مورد حمله قرار دادند.
این کد مخرب گزارشات چاپ شده‌ی سامانه‌ی SWIFT را دستکاری کرد تا تراکنش‌های جعلی و کلاهبرداری را از حساب بانک مرکزی بنگلادش در بانک مرکزی دولت فدرال نیویورک، پنهان کند.
محققان امنیتی سامانه‌های BAE توانستند بدافزار استفاده شده در این حمله را شناسایی کنند. مهاجمان قبل از ارسال پیام‌های جعلی، کلید مرکزی بانک بنگلادش را بدست آوردند. آ‌ن‎ها با به دست آوردن گواهی‎نامه‎های معتبر توانستند پیام‌ها را ایجاد، تایید و به عنوان سازمان‌های در معرض خطر، ارسال کنند. سپس مهاجمان به عنوان بانک مرکزی بنگلادش خود را جا زده و از طریق ارسال مجموعه‌ای از پیام‌ها با استفاده از گواهی‎نامه‎های بدست آمده، شروع به انتقال پول به حساب‌های تحت کنترل خود کردند.
SWIFT که یک مؤسسه تعاونی تحت مالکیت ۳۰۰۰ موسسه مالی است، نقش بدافزار را تائید کرد، بدون اینکه اسمی از شرکت‎هایی که در معرض خطر بودند ببرد.
SWIFT از وجود بدافزاری که تلاش می‌کند قابلیت‌های مؤسسه‎های مالی را کاهش دهد تا آن‌ها نتوانند تراکنش‌های تقلبی را روی سامانه‌های محلی‌شان شناسایی کنند آگاه است. برخلاف گزارشاتی که منتشر شده این بدافزار هیچ تاثیری روی شبکه یا خدمات پیام‎رسان مرکزی SWIFT نداشته است.
این بدافزار برای این طراحی شده است که ردپای تراکنش‌های جعلی را از برنامه‌های پایگاه داده‌ی محلی مشتریان پنهان کند. تنها مهاجمانی که به خوبی توانسته‌اند ضعف امنیتی سامانه‌های محلی کاربران را شناسایی و از آن سوءاستفاده کنند، می‎توانند بدافزار را روی این سامانه‌های محلی نصب کنند. متاسفانه حادثه بنگلادش اولین و اخرین حادثه نیست. SWIFT اعتراف کرد که سرقت‌های دیگری نیز از اعتبارات متصدیان صورت گرفته است؛ البته تعداد این سرقت‌ها را عنوان نکرد.
SWIFT گفت: «به منظور اشاره به اهمیت بسیار امن کردن سامانه‌های مشتریان، به مشتریانمان اطلاع داده بودیم که خطا و آسیب‎پذیری‌های درونی وجود داشته است که ممکن است مورد سوءاستفاده قرار گیرد». در واکنش به حادثه‌ی بنگلادش یک به‎روزرسانی امنیتی فوری منتشر شد.
SWIFT می‌گوید یک به‎روزرسانی نرم‎افزاری ضروری منتشر کردیم که در دسترس مشتریان است و مشتریان با کمک آن می‌‌توانند امنیت سامانه خود را افزایش داده و ناسازگاری‎های موجود در اطلاعات پایگاه‎داده‌ محلی سامانه را بررسی و برطرف کنند. اگرچه دفاع کلیدی علیه چنین حملاتی نیازمند این است که کابران بر روی سامانه‎های محلی خود از روش‌های امنیتی مناسبی استفاده کنند، (به خصوص افرادی که از SWIFT استفاده می‌کنند) تا بتوانند امنیت سامانه‌ خود را در برابر چنین تهدیدهایی افزایش دهند. کاربران باید چنین حفاظت‌هایی را به کار گیرند تا از تزریق یا هرگونه استفاده نامناسب از بدافزارها به درون سامانه‌شان جلوگیری کنند.
متخصصان امنیتی می‌گویند این به‎روزرسانی نمی‌تواند مشکلات سامانه‎ها را به خوبی برطرف نماید. چند متخصص نیز در بین روش‌های کنترل کننده، با اشاره به استفاده از فرآیند احراز هویت دو مرحله‎ای گفتند که این روش برای مقابله با مشکلات آینده لازم و ضروری است.
استفن کب محقق ارشد امنیتی در شرکت امنیتی ESET گفت: «با اینکه SWIFT در پاسخ به این نفوذ نرم‎افزار خود را ارتقاء داده است اما به نظر می‌رسد سازمان‌ها نیاز به امنیت بخش بازرسی نیز دارند. سوءاستفاده از اعتبارات حساب در بانک مرکزی بنگلادش و در اصل در سامانه SWIFT و شناسایی ضعف فعالیت‌های مخرب شبکه‌ای، به نیازمندی به کنترل بهتر بر روی امنیت سامانه‌ها اشاره می‌کند».
متخصصان امنیت اطلاعات در حال بررسی نقص سامانه SWIFT هستند زیرا ممکن است این نقص نیز یکی از عاملان این حادثه باشد. ویتالی کریمز مشاور شرکت امنیتی FlashPoint افزود: «بدافزار کشف شده در زیرساخت SWIFT در محیطی عمل کرده است که مجموعه نرم‎افزار SWIFT را راه‎‏‏اندازی کرده و توسط پایگاه‎داده‌ اوراکل نیز تقویت شده است. بنابراین مؤسسه‌های مالی که این برنامه را راه‏‎اندازی می‌کنند در معرض خطر این گروه مهاجم هستند.»
وی افزود: «با کشف حملاتی تازه توسط گروه Buhtrap که بانک‌های روسیه را هدف قرار داده بود، ماموریت طولانی مربوط به کشف عامل تائیدکننده تراکنش به پابان رسید. چندین هفته مهاجمان مخفیانه فرایندهای داخلی را مشاهده کردند و تا حد امکان فرایند تراکنش‌ها را یاد گرفتند. همانند سوءاستفاده از SWIFT هنگامی که انتقالات کامل شد پرونده‌های رویدادهای نام نیز بی درنگ حذف می‌شدند».
El Reg از SWIFT خواست که مستقیماً راجع به این صحبت Flashpoint نظری بدهد اما هنوز جوابی از آن‌ها دریافت نشده است. کریمز هشدار داد که این گروه مهاجم ناشناس پشت حمله بنگلادش همچنان در حال برنامه‎ریزی برای حملات بعدی هستند. تلاش‌های بعدی برای سرقت اعتبارات بانکی و سوءاستفاده از شبکه مالی جهانی SWIFT توسط گروه دیگری یا همان مهاجمان قبلی نشان می‌دهد که ظاهراً گذشته راهنمایی برای آینده نیست».
کریمز گفت: «این بدافزار مخصوص همین نفوذ طراحی شده است و نشان می‌‌دهد که مهاجمان توانسته‌اند چندین بار به سامانه دسترسی نامحدود داشته باشند. احتمالاً آن‎ها چند بار توانسته‌اند تراکنش‌های نرم‎افزار SWIFT را بررسی و کنترل کنند. کنترل و بررسی دقیق گزارشات راجع به موارد غیرعادی درون محیط SWIFT ممکن است نشان‌‎دهنده‌ی جعل تراکنش‌های آن توسط این گروه مجرمان باشد».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.