Um grupo de cibercriminosos violou e mapeou o sistema bancário global, e numa série de ataques roubou até agora 81 milhões de dólares do Banco Central de Bangladesh. Especialistas acreditam que os ataques foram feitos usando mensagens fraudulentas numa rede de transferência de dinheiro conectada ao sistema bancário.
As investigações sobre os ataques em curso ainda estão em andamento e ataques relacionados a outros bancos também estão sendo descobertos. Alguns especialistas sugerem que os ataques provêm de hackers da Coreia do Norte, uma vez que as ferramentas usadas compartilham características com o ataque a Sony Pictures Entertainment em novembro de 2014.
De acordo com uma fonte com conhecimento direto dos ataques recentes, no entanto, o culpado por trás dos assaltos a bancos digitais é bem outro. A fonte pediu anonimato por questões de segurança e foi capaz de fornecer evidências para apoiar suas reivindicações.
Hackers estatais chineses identificaram uma vulnerabilidade inicial e usaram-na para se infiltrar e infectar o sistema financeiro global, de acordo com a fonte. Quando seu contrato com o regime chinês terminou no ano passado, eles venderam a vulnerabilidade a grupos de cibercrime num mercado privado na darknet na tentativa de impedir a detecção, disse ele. A darknet é uma internet alternativa que só é acessível usando software especializado. Embora a darknet seja para usos legítimos, grupos criminosos compram, vendem e conspiram em fóruns na darknet.
O regime chinês gerencia uma grande rede de hackers sob o Departamento de Estado-Maior, o Terceiro Departamento de suas forças armadas. Esses hackers cumprem ordens do regime chinês e frequentemente também realizam operações adicionais ou vendem dados para ganho financeiro pessoal. O Epoch Times expôs este sistema numa série investigativa anterior.
Os grupos de cibercrime que compraram a vulnerabilidade são supostamente os que realizaram os ataques recentes e as transferências de dinheiro ilegal.
“Os chineses já obtiveram acesso permanente às redes financeiras visadas e extraíram todos os dados que queriam para satisfazer o contrato com seus patrocinadores”, disse a fonte. “Agora eles têm essa vulnerabilidade, e podem continuar ganhando dinheiro com isso, então agora eles estão vendendo-a para grupos criminosos.”
Processo da violação
O código usado na vulnerabilidade tem origem em vários locais, o que também poderia significar que investigadores olhando apenas na superfície da violação podem chegar a conclusões falsas. Ele disse que parte do código foi desenvolvida pelos próprios hackers chineses, mas eles também compraram parte do código de universidades russas.
A fonte disse que os hackers chineses não vendem a vulnerabilidade para qualquer grupo específico de cibercrime. “Eles vendem [o acesso a] um banco para um grupo”, disse ele, e observou que a maioria dos hackers que tem realizado os ataques recentes é relativamente pouco qualificada. “Eles não são programadores”, disse ele. “Eles apenas sabem como utilizar os pacotes [de dados] e implantá-los.”
A fonte foi capaz de fornecer dados forenses e capturas de tela que sustentam suas reivindicações. A fonte também foi capaz de fornecer uma lista de bancos visados, que ele observou estar crescendo, e que inclui uma longa lista de bancos e sistemas financeiros que estão conectados a rede de um parceiro bancário comprometido – incluindo vários nos Estados Unidos, América Latina e Ásia.
Os hackers estatais chineses começaram seus ataques contra as redes de bancos já em 2006, segundo o informante, e começaram a infiltrar malwares nas redes bancárias em 2013.
Ele disse que os hackers chineses também violaram a rede de transferência de dinheiro do UniTeller, que é de propriedade do Banorte, o terceiro maior banco do México.
“Basicamente, a infraestrutura crítica do México [agora] é de propriedade do mesmo grupo de APA”, disse ele, usando o termo APA (ameaças persistentes avançadas) para se referir aos hackers estatais chineses. “Eles estão envolvidos em tudo por lá”, disse o informante, referindo-se ao nível de acesso que os hackers estatais chineses obtiveram nas redes de infraestruturas críticas no México.
Apenas por volta de junho de 2015, os hackers estatais chineses venderam a vulnerabilidade às organizações cibercriminosas, e estas organizações imediatamente usaram-na para iniciar o mapeamento, teste e infecção dos bancos e sistemas financeiros.
A fonte disse que os hackers exploraram uma vulnerabilidade no código que é usado para construir aplicações web com o nome Apache Struts v2, que apresentava vulnerabilidades desde 2006 e foi corrigido em 2013. Ele também observou que, depois de ganhar acesso, os hackers desde então percorreram inúmeras redes financeiras adicionais que visavam.
Embora apenas recentemente os hackers estatais chineses tenham vendido o acesso às redes bancárias, o informante observou que eles têm mapeado e infectado o sistema bancário global ao longo dos últimos oito anos.
Quando eles decidiram vender a vulnerabilidade, eles não perderam o acesso às redes. No momento em que eles venderam seu acesso, este já havia servido ao seu propósito, afirmou a fonte. Em outras palavras, os hackers estatais chineses ainda têm acesso às redes, e não apenas a alguns bancos, mas a maior parte do sistema bancário global.
O informante especulou que os hackers estatais chineses estão vendendo a vulnerabilidade original tanto para o lucro com para usar os grupos cibercriminosos como uma distração deliberada a suas violações mais comprometedoras. Ele concluiu dizendo que isso poderia ser o início de uma crise bancária global.