尽管攻击似乎需要很高的专业技术和几个月甚至几年的精心准备才能执行,但墨西哥金融系统的不安全网络架构才是攻击得以进行的罪魁祸首。
2018年1月,几名黑客(目前认为是朝鲜国家黑客组织Lazarus成员)尝试盗取墨西哥外贸银行1.1亿美元。那次行动以失败告终。但仅仅几个月后,一系列精心策划的小型攻击使黑客从墨西哥银行汲取了3-4亿墨西哥比索,折合1,500-2,000万美元。他们是怎么做到的呢?
本月在旧金山举行的RSA安全大会上,作为去年该起发生在4月攻击的事件响应人员,渗透测试员兼安全顾问 Josu Loza 讲述了黑客是怎样在网络空间和墨西哥本土执行这一系列银行劫案的。这些黑客的身份与从属关系至今尚未公开。Loza强调称,尽管攻击似乎需要很高的专业技术和几个月甚至几年的精心准备才能执行,但墨西哥金融系统的不安全网络架构,以及墨西哥央行监管下其国内汇款平台SPEI存在的安全漏洞才是攻击得以进行的罪魁祸首。
唾手可得
由于目标银行系统中存在安全漏洞,攻击者得以从互联网访问银行内部服务器,或者对银行高管甚至普遍员工发起网络钓鱼攻击,从而在系统中构筑立足点。很多网络并没有健壮的访问控制措施,黑客能利用被盗员工凭证获得大量好处。这些网络也没得到合理分隔,意味着入侵者借助初始立足点可渗透进银行与SPEI的连接,最终登录SPEI交易服务器,甚至其底层代码库。
更糟的是,银行内部网络中的交易数据并非总能得到足够的防护,深入到内部网络的攻击者有可能跟踪并篡改数据。尽管用户与银行间通信信道是加密的,但SPEI应用本身存在漏洞,且缺乏足够的验证核实,有可能混进虚假交易。该应用可能已经被供应链攻击直接入侵,帮助攻击者在系统内进行恶意交易。
所有这些漏洞和缺陷的存在,使黑客具备了奠定坚实基础设施,并最终开展实际资金劫持操作的可能。一旦基础设施就位,攻击的进展会很快。
黑客会利用SPEI在打款账户验证上的漏洞,从不存在的账户发起转账请求,然后将这笔幽灵资金导引到自身控制下的真实存在但身份虚假的账户中,再派遣所谓的钱骡在银行发现事情不对之前将钱取出。每笔恶意交易的数额都不大,在几十数百到几千比索之间。SPEI每天处理的交易额少说也得几千万比索,与之相比,这些小额虚假交易犹如沧海一粟,实在引不起什么注意。
想要一笔笔提取这些资金,攻击者需与成百上千名钱骡合作。招募和培训钱骡的工作相当耗费资源,但拉人下水的诱饵并不费多少钱——可能每人5,000(260美元)就够了。
警钟长鸣
SPEI本身及其周边基础设施明显易遭攻击。墨西哥央行在8月底发布的一份取证分析报告中称,该攻击并未直接针对墨西哥央行的中心系统,而是对整个墨西哥金融系统的一些薄弱环节发起的。攻击者的做法需要非常熟悉技术基础设施和受害机构的处理流程,并要能访问这些系统。该攻击的意图不是摧毁SPEI系统,也不是渗透中央银行的防御。
利用国际转账系统SWIFT的金融欺诈在世界各地也时有发生,最臭名昭著的当属厄瓜多尔、孟加拉和智利。但SPEI是墨西哥央行独有的。攻击事件发生后,墨西哥央行收紧了转账相关政策和控制,为连接SPEI的墨西哥银行设立了基本的网络安全标准。
墨西哥人民需团结一致。所有机构都要通力合作。当前网络安全的主要问题是我们没有共享信息或知识,也没有充分讨论这些攻击。大家都不想公开攻击细节。
虽然新一波攻击的威胁长存,但墨西哥银行从去年开始已经大力投入防御增强和网络安全改善工作。
去年至今的重点是加强控制。现今没有攻击发生正是因为我们去年加强了控制。但最重要的还是转变思想,让用户愿意为了更好的安全付账。
然而,此类银行网络劫案在全世界都很盛行,没那么容易扑灭。虽然攻击者要付出时间、精力和金钱来组织这种攻击,但仍能净赚几千万美元,而且不用像以往的飞天大盗那样亲自入户打开保险箱。
墨西哥央行取证分析报告:
相关阅读