Allarme per banche sotto attacco hacker
All’inizio era sembrata una prodezza da banda del buco in versione digitale, o almeno così era stata trattata. Ora invece sta diventando una sorta di intrigo internazionale, che nel contempo apre un grosso punto interrogativo sulla sicurezza delle transazioni bancarie.
Tutto ha inizio venerdì 5 febbraio. La Federal Reserve di New York riceve una serie di ordini di pagamento da parte della banca centrale del Bangladesh, che controlla un conto nell’istituto americano. I trasferimenti di denaro, “pienamente autenticati” con i corretti codici bancari, dice la Federal Reserve, vanno in direzione di alcuni conti privati nelle Filippine e nello Sri Lanka. Tutto ciò è avvenuto in un giorno in cui gli uffici del Paese asiatico erano chiusi. Quando gli impiegati della banca centrale del Bangladesh a Dhaka sono tornati al lavoro, si sono accorti che qualcuno aveva tentato di trasferire quasi un miliardo di dollari dal conto aperto alla Federal Reserve di New York. Gran parte dei soldi sono stati infine bloccati dalle banche, anche per un banale errore di battitura commesso dai ladri. Ma non tutti. Venti milioni di dollari sono stati stati trasferiti in Sri Lanka dove sono stati poi fermati dalle autorità locali. Mentre 81 milioni sono stati dirottati nelle Filippine per poi essere inghiottiti dal giro dei casinò. Ad oggi una buona parte di questi soldi sono dati per persi.
ATTACCO VIA SWIFT
Come hanno fatto gli hacker a sottrarre un simile bottino? Inviando fino a 35 richieste di trasferimento alla Federal Reserve attraverso quel fondamentale sistema di servizi e messaggistica interbancari noto come Swift e fornito a 11mila istituti di credito in tutto il mondo dall’omonima società (Society for Worldwide lnterbank Financial Telecommunication) con sede a Bruxelles. E utilizzando anche uno specifico malware, un software malevolo, per infettare il PDF reader usato dai bancari per convalidare le transazioni.
L’episodio aveva generato un rimpallo di responsabilità fra la banca del Bangladesh e la Federal Reserve, e in un primo tempo era stato liquidato solo come un problema dell’istituto di Dhaka – i cui sistemi di sicurezza sembravano lasciare alquanto a desiderare. In realtà la polizia locale sostiene che l’errore sarebbe dei tecnici che, dopo aver collegato mesi prima la banca al network Swift, avrebbero lasciato delle vulnerabilità. Accuse infondate per la società di Bruxelles, secondo la quale è responsabilità delle singole banche rendere sicuri i sistemi che si interfacciano con la sua rete.
Tra l’altro dalle indagini iniziali era emerso che l’istituto di Dhaka non possedeva robusti controlli di autenticazione, e non avrebbe avuto neppure un firewall.
Ora però si è saputo che anche una seconda banca, la TPBank in Vietnam, nel dicembre 2015 avrebbe bloccato per un pelo il trasferimento di 1,13 milioni di dollari dai suoi conti attraverso il sistema di messaggistica Swift. Secondo un comunicato della TPBank, le richieste di trasferimento fraudolente, dirette in Slovenia, sarebbero state fatte attraverso un fornitore esterno che la banca utilizzava per collegarsi con la rete Swift. I server del fornitore, di base a Singapore, sarebbero stati infettati dal malware usato dai cyber ladri.
ALLERTA ALLE BANCHE
Tutto ciò emerge pochi giorni dopo che la stessa Swift ha diffuso un alert in cui invitava le banche a revisionare i propri sistemi di sicurezza. “Swift non è e non può essere ritenuta responsabile per la vostra decisione di scegliere, implementare e mantenere firewall, o una appropriata segregazione della vostra rete interna”, ha scritto la società di Bruxelles in un messaggio riportato da Reuters, secondo la quale sarebbe la prima volta nella storia di Swift, cioè dal 1973, che viene diramato un avvertimento di questo tenore. La comunicazione interna riferisce anche che, oltre al caso in Bangladesh, si è registrato “un piccolo numero” di episodi simili in altre banche, pur senza nominarle. Anche qui la frode è stata tentata attraverso dei PDF reader infettati che potevano essere usati per alterare le transazioni. Per la società di ricercatori di cybersicurezza iSight Partners, il malware usato nell’attacco alla banca vietnamita “ha rimpiazzato il reader PDF Foxit per mascherare le registrazioni delle transazioni Swift quando lette”. In pratica il reader PDF alterava i dati delle richieste di transazione, riferisce DataBreachToday.
CHI SONO I LADRI?
In contemporanea, il colosso della difesa britannico BAE Systems pubblicava una ricerca secondo la quale il malware usato in Bangladesh sarebbe lo stesso utilizzato in Vietnam, e a sua volta avrebbe legami con un gruppo denominato Lazarus individuato da un’altra società specializzata in lotta alle frodi online, Novetta. Questo Lazarus group, secondo i ricercatori, sarebbe addirittura responsabile del clamoroso attacco del novembre 2014 a Sony Pictures. Ricordiamo però che il Sony Hack è stato attribuito dal governo Usa alla Corea del Nord.
INTRIGO INTERNAZIONALE?
Quindi ricapitolando: il caso Bangladesh non è isolato; ci sono altre banche colpite, una in particolare in Vietnam; alcuni ricercatori hanno individuato lo stesso malware alla base di almeno due attacchi; alcuni sembrano ricondurlo (anche se non esplicitamente, e comunque va ricordato che in questi casi l’attribuzione è una questione delicata e scivolosa) addirittura alla Corea del Nord. L’attacco sarebbe stato mosso attraverso il collegamento delle banche alla rete Swift, e portato a termine attraverso un malware che modificava il sistema di controllo delle transazioni, basato sulla stampa delle stesse attraverso un reader PDF. La banda del buco di Dhaka rischia di diventate quindi una questione di sicurezza internazionale con sfumature geopolitiche.
A complicare il tutto si aggiunge un’analisi della società di investigazioni digitali FireEye, ingaggiata dalla stessa banca del Bangladesh, secondo la quale a penetrare la rete dell’istituto di Dhaka sarebbero stati almeno tre diversi gruppi di hacker: uno legato al Pakistan, uno alla Corea del Nord, e un terzo non identificato. E sarebbe quest’ultimo che avrebbe probabilmente commesso il furto. Di sicuro, la vicenda – su cui sono mobilitati investigatori privati e governativi di mezzo mondo, inclusa Interpol ed Fbi – non è finita qua. (fonte)
