¿Quién es responsable del ataque cibernético de atraco SWIFT de Bangladesh?

Buena pregunta ! ¡Se puede hacer un pequeño documental / una buena película sobre este interesante caso de estudio!

Muy interesante. Seguí de cerca este atraco desde febrero de 2016. Abrí algunas pestañas poco después de que Tanvir Hassan Zohah fuera secuestrado. Investigado un poco. Encontré información interesante más tarde.

Este crimen se organizó de manera adecuada y precisa con una combinación de Seguridad Cibernética. Un estudio de caso clásico en el que una unidad del crimen organizado utiliza prácticas ofensivas de seguridad cibernética. Muchas especulaciones, así que no hay una respuesta directa.

Aquí hay una respuesta elaborada. [Disculpas de antemano si te aburres mientras lees].

Breve introducción:

Inicialmente, el FBI y varias empresas de seguridad como Fireeye rastrearon este ciberataque de atraco SWIFT de Bangladesh hasta RCBC, Filipinas. El malware tenía similitudes genéricas con el pirateo de Sony y firmas genéricas con las herramientas de Lazarus. Una idea errónea del público en general: Corea del Norte detrás de este ataque; poco después de aprender el enlace a Lázaro.

FireEye resumió los ataques SWIFT: el malware era solo una RAT plantada por los empleados (algunos informes decían ‘correos electrónicos maliciosos’ pero no lo creo). Los atacantes recibieron asistencia con la firma SWIFT y el conocimiento de subred PCI. Los empleados incluso fueron procesados ​​por ayudar. Faltan $ 81 millones.

Serie de eventos para pintar una imagen clara:

  • 4 de febrero de 2016 (jueves):
    • ¿Que pasó?
      • ‘Solo’ $ 81 millones del dinero del banco central de Bangladesh se trasladaron de la Reserva Federal de Nueva York a RCBC, Filipinas. En realidad, se han hecho intentos para transferir $ 1 mil millones.
    • Ok, como?
      • Los atacantes obtuvieron acceso a SWIFT – segmento de red PCI.
      • Malware plantado para cubrir las pistas (fue diseñado específicamente para ejecutarse en servidores SWIFT Alliance Access que luego se unieron a Lazarus después de la investigación).
      • Y transferido a 4 cuentas bancarias (RCBC) para lavar el dinero. (En Filipinas, los casinos no están cubiertos por las leyes contra el lavado de dinero del país).
    • Ok, detalles?
      • Los atacantes inician sesión en el sistema de mensajería SWIFT alrededor de las 8:03 pm y comenzaron a enviar una serie de instrucciones utilizando códigos SWIFT autenticados para retirar fondos.
      • Detalles: 35 pedidos por valor de $ 951 millones; NY Feds rechazó 30 pedidos por valor de $ 850 millones. (¡Un funcionario dijo que rechazaron esas órdenes por valor de $ 850 millones por ‘casualidad total’; porque no se encontraron datos adecuados relacionados con los ‘datos del banco corresponsal’ en esas solicitudes! ¡¡De lo contrario, podrían haber aprobado esos $ 850 millones también !!! !).
    • ¿Qué pasa con el resto de cinco transferencias por valor de $ 101 millones?
      • Fue a los bancos corresponsales de la Fed de Nueva York en Sri Lanka (a través de PABC) y Filipinas (RCBC).
      • Se aprobaron cuatro solicitudes de transferencia ($ 6m + $ 30m + $ 20m + $ 25m) por un total de $ 81 millones. (¡Sorprendentemente, esos son para cuentas ‘individuales’ y los federales los aceptaron!). ¡Estos $ 81 millones se desembolsaron en cuatro cuentas ‘individuales’ de RCBC que terminaron siendo transferidas a dos casinos, Bloomberry Resorts ($ 29 millones) y Eastern Hawaii Leisure Company ($ 21 millones) y un chino Weikang Xu ($ 31 millones – en ‘efectivo’! !!).
      • Esas cuatro cuentas individuales en RCBC pertenecen a Michael Francisco Cruz, Jessie Christopher Lagrosas, Alfred Santos Vergara y Enrico Teodoro Vasquez,
      • Pero un quinto fue retenido en Srilanka. Cuando se hizo la solicitud de $ 20 millones para enviar los fondos a una ONG imaginaria llamada Shalika Foundation, pero accidentalmente deletreaba “fundación” como “fandatura”. Un personal de alerta del Deutsche Bank, que encontró el error tipográfico, cuestionó esta transacción sospechosa. Luego, los federales de Nueva York también enviaron múltiples consultas al Banco Central de Bangladesh, pero no recibieron respuesta.
    • ¿Por qué no hay respuesta del Banco Central de Bangladesh?
      • Malware en acción aquí: Comprueba el sistema de mensajería SWIFT y elimina cualquier mensaje entrante que pueda alertar al funcionario del banco sobre transferencias fraudulentas. También elimina cualquier mensaje de conformación antes de enviarlo a la impresora.
      • Por lo tanto, no hay mensajes en el sistema e impresiones en la bandeja de la impresora. Las transacciones financieras de SWIFT normalmente se imprimen automáticamente de la noche a la mañana.
  • 5 de febrero de 2016 (viernes):
    • ¿Qué está pasando en el Banco Central de Bangladesh?
      • El viernes es el fin de semana en Bangladesh y las oficinas del banco central estaban cerradas. Zubair Bin Huda, director conjunto del Bangladesh Bank, encontró la bandeja de la impresora vacía cuando buscó confirmaciones de transacciones financieras de SWIFT.
      • Huda asumió que simplemente había un problema con la impresora, que había sucedido en el pasado, y pidió a otros funcionarios que lo solucionen. Salió del trabajo alrededor de las 11:15 am ya que era viernes (para oraciones).
      • Como era viernes, todos los demás funcionarios salieron de la oficina alrededor de las 12:30 p.m., dejando sin resolver el problema de la impresora.
    • ¿Qué está pasando en RCBC, The Jupiter Street, Filipinas?
      • Gerente de sucursal: Maia Santos Deguito
      • Se retiraron $ 427,000 (20 millones de pesos) en efectivo de una de las cuatro cuentas que recibieron fondos ilícitos.
      • ¿Cómo? ¿Imágenes de CCTV?: Bueno, las cámaras de CCTV en la sucursal no estaban ‘funcionando’ exactamente cuando se retiró el dinero.
      • ¿Pero cómo? : La asistente de Deguito, Angela Torres, solicitó P20 millones al centro de efectivo del banco, que fue entregado en un vehículo blindado desde la oficina principal. El mensajero de la sucursal, cierto Jovy Morales, buscó una bolsa de papel para guardar el dinero y luego la llevó al auto del Deguito.
      • Se abrió una cuenta en moneda extranjera bajo el nombre de Centurytex Trading, una firma de corretaje local propiedad del empresario William Go.
  • 6 de febrero de 2016 (sábado):
    • Alrededor de las 9 a.m., Huda volvió al trabajo e intentó nuevamente usar la impresora. Descubrió que el software SWIFT no se estaba iniciando. Cada vez que intentaba arrancarlo, aparecía un mensaje en el monitor que decía “falta un archivo o ha cambiado”.
    • Alrededor de las 12:30 p.m., el personal del banco finalmente logró imprimir los mensajes SWIFT. Fue entonces cuando vieron por primera vez las transacciones fraudulentas y las consultas de la Reserva Federal, y se dieron cuenta de que algo había salido terriblemente mal. Modo de pánico activado! ¡Ni siquiera han informado al gobernador del banco, Atiur Rahman, hasta el día siguiente!
    • Huda había intentado todas las formas posibles (teléfono, correo electrónico y fax) para contactar a la Reserva Federal en Nueva York. Al carecer de un punto de contacto obvio, buscaron en el sitio web de la Fed y encontraron una dirección de correo electrónico, pero solo fue monitoreada durante el horario laboral de lunes a viernes (el sábado es feriado). Dispararon tres correos electrónicos a esa dirección durante varias horas. El primero incluía la línea: “Nuestro sistema ha sido pirateado. Detenga todas las instrucciones de pago (débito) de inmediato ”. El personal de la Fed no respondió. Es poco probable que esa dirección de correo electrónico se sincronice con sus teléfonos móviles.
  • 8 de febrero de 2016 (lunes) – (Día del Año Nuevo Chino):
    • SWIFT arregló remotamente el sistema de mensajería. Una vez que el sistema está en funcionamiento, estos funcionarios del Banco Central de Bangladesh se dieron cuenta claramente de dónde se había ido el dinero y dieron una orden directa a la oficina central de RCBC para detener las transacciones adicionales. Pero es un día festivo en Filipinas. Esos mensajes (mensajes de rutina, no cancelar solicitudes) no se leyeron hasta el martes por la mañana.
    • Deguito luego ignoró una orden directa del banco central de Bangladesh y la oficina central de Rizal para congelar las cuentas. En cambio, movió el dinero a una cuenta en moneda extranjera abierta bajo el nombre de Centurytex Trading.
    • $ 15 millones del dinero robado se remitieron de la cuenta a una compañía local de transferencia de dinero llamada Philrem. $ 66 millones fueron transferidos a Philrem. A partir de ahí, llegó a los casinos y a Weikang.

Está bien, ¿qué pasó después?

  • RCBC despidió a Deguito y su asistente Angela Torres, quienes solicitaron el dinero que luego terminó en el auto de su jefe.
  • El gobernador del banco central de Bangladesh, Atiur Rahma, asumió la “responsabilidad moral” por la pérdida y renunció.
  • El oficial de sucursal Romualdo Agarrado afirma que Deguito le dijo que temía por su vida y que por eso tenía que ignorar la orden de congelamiento en las cuentas. Su declaración: “Pero la que se me quedó grabada: ella dijo: ‘Prefiero hacer esto antes que que me maten a mí o a mi familia'”.
  • Deguito admitió más tarde, William Go solicitó el 10% de los $ 81 millones para guardar silencio sobre el plan. Go desde entonces ha amenazado con demandar a Deguito.
  • La agencia antilavado de dinero de Filipinas ha presentado denuncias penales contra Weikang Xu , el operador del casino que recibió $ 31 millones en efectivo en el Bloomberry, y otro empresario llamado Kim Wong, copropietario de Eastern Hawaii Leisure Co. ( ¡Aquí vamos, el personaje principal de este atraco!) .

¿Quién es este Kim Wong (nombre real Kam Sin Wong)?

  • Bueno, este Kim Wong tiene una larga, larga historia. Gran cantidad de conexiones criminales + políticas.
  • Su participación en esta historia:
    • Durante la investigación, no surgió gran parte de la información, sin embargo, sus abogados eran bastante “reputados” Kristoffer James Purisima (asesor legal del ex Director General Jefe de la Policía Nacional de Filipinas (PNP)), Victor C. Fernández (Defensor del Pueblo Adjunto para la Isla Luzón desde 2003 a 2010) e Inocencio Ferrer Jr (asesor legal del ex primer caballero José Miguel Arroyo).
    • Maia Santos Deguito Deguito (gerente de sucursal de RCBC, The Jupiter Street) admitió que Wong le presentó a esos cuatro ‘individuos’. Y le dijo que abriera la cuenta bajo el nombre de William Go.
  • Bueno, este tipo se pone bajo el radar como de costumbre. No se han encontrado conexiones legales / sólidas con el hack. Incluso, él no posee un casino legalmente. Supuestamente, está trabajando para Panfilo Lacson (Senado de Filipinas). Weikanu-Xu (que obtuvo $ 30min en efectivo) es uno de sus ‘tres’ amigos chinos.

Related Content

¿Alguna empresa se ha beneficiado alguna vez de la garantía de un certificado SSL?

¿Qué debo hacer cuando un hacker tiene el control de mi computadora?

¿El software antivirus realmente protege nuestros sistemas de las amenazas?

¿Qué tipo de trabajos obtienen las personas con habilidades ofensivas de seguridad cibernética?

¿Qué papel tan importante habría jugado la guerra cibernética si la guerra hubiera estallado en la década de 1980 entre la URSS y la OTAN?

More Interesting

¿Qué tan seguros son los archivos Zip encriptados?

¿Por qué se considera aceptable la guerra cibernética como los ataques de correo electrónico relacionados con las elecciones de EE. UU. Y Francia?

¿Cuál es el mejor anti-spyware?

¿Cómo hackear una computadora sin virus informáticos? Es imposible

¿Qué programa es mejor para una carrera orientada a la investigación en seguridad de la información?

Como hacer un buen juego

Después de un BSc (IT), ¿qué cursos / fuentes recomendaría para convertirse en un maestro en ciberseguridad?

¿Cuál es el método de autenticación más seguro para dispositivos móviles?

¿Con qué frecuencia se recomienda realmente cambiar la contraseña de mi correo electrónico?

¿Cómo pueden los desarrolladores trabajar para administrar el costo de la autenticación de 2 factores?

¿Cuánto puede la fuerza de ciberseguridad de la India capaz de defenderse de los ciberataques, como el ataque de ransomware en Inglaterra?

¿Debería especializarme en inglés o ciberseguridad?

¿Qué necesita saber el propietario de un sitio web para evitar que su sitio sea bloqueado y pirateado?

¿Qué antivirus es el mejor para una PC, ya sea Kaspersky Anti-Virus o Kaspersky Internet Security?

¿Cuál es la mejor configuración de seguridad informática? ¿Antivirus, cortafuegos, etc.?