Un’organizzazione di criminali informatici ha violato il sistema bancario globale. Attraverso una serie di attacchi ripetuti finora ha rubato 81 milioni di dollari dalla Banca centrale del Bangladesh.
Gli esperti ritengono che gli attacchi siano passati attraverso una vulnerabilità nel codice SWIFT del sistema bancario internazionale, attraverso cui sono interconnesse 11 mila istituzioni finanziarie in tutto il mondo.
Gli attacchi e le indagini sono ancora in corso, e sono stati scoperti nuovi attacchi ad altre banche. Alcuni esperti hanno identificato l’origine degli attacchi nella Corea del Nord a causa della somiglianza con gli strumenti impiegati nell’attacco del novembre 2014 alla Sony Pictures Entertainment.
Secondo una fonte interna confidente di Epoch Times che ha diretta conoscenza degli ultimi attacchi, il mandante di queste rapine digitali sarebbe un soggetto ‘molto più importante’. La fonte interna ha chiesto di rimanere anonima per tutelare la propria sicurezza, ma ha fornito prove a sostegno delle sue dichiarazioni.
La fonte di Epoch Times, sostiene infatti che gli hacker statali cinesi hanno identificato la vulnerabilità e l’hanno usata per infettare il sistema finanziario globale. Quando, l’anno scorso, il loro contratto col regime cinese è terminato, hanno venduto la falla nel sistema a un’organizzazione di criminali informatici in un mercato privato nel darknet, con l’obiettivo di sventare i tentativi di identificazione.
Il ‘darknet’ è una sorta di internet occulto, accessibile unicamente attraverso l’utilizzo di uno specifico software. Nonostante il darknet sia di per sé uno strumento legale, è utilizzato da diverse organizzazioni criminali che comprano e vendono in particolari forum.
Le forze armate del regime cinese hanno ai loro ordini un grande network di hacker, che spesso agiscono anche per conto proprio, vendendo dati rubati.
Il gruppo di hacker che ha comprato la falla sarebbe quindi lo stesso che sta portando gli attacchi attualmente in corso ed effettuando i trasferimenti di denaro illegali: «I cinesi hanno già acquisito l’accesso permanente ai network finanziari che hanno attaccato e hanno anche già sottratto i dati richiesti dal loro ‘cliente’» spiega la fonte anonima, «ma, ora che possono accedere attraverso questa falla, hanno la possibilità di continuare a monetizzarla, per cui la stanno vendendo alle organizzazioni criminali».
COME È STATA APERTA LA FALLA
Il codice usato per la falla arriva da diverse parti, cosa che comporta anche che un’indagine superficiale potrebbe portare a conclusioni errate. La nostra fonte sostiene che il codice potrebbe essere stato sviluppato dagli hacker cinesi, che potrebbero però averne comprato una parte da alcune università russe. Ma i cinesi pare non lo abbiano venduto a nessuna organizzazione criminale: «Loro ai criminali ‘vendono’ una banca» spiega la fonte, osservando anche che la gran parte degli hacker che ora stanno attaccando dimostrano abilità relativamente poco elevate: «Non è gente capace di scrivere il codice: sanno solo rilasciare e mettere in funzione dei pacchetti predefiniti».
La fonte ha prodotto diverse istantanee di schermo e dati in grado di dimostrare quello che sostiene, e ha anche fornito una lista delle banche attaccate, che – sottolinea – è in crescita e comprende anche numerosi istituti finanziari e banche che hanno rapporti con il network che è stato bucato (di cui diverse sono in Sud America, Stati Uniti e Asia).
Gli hacker cinesi hanno iniziato ad attaccare i sistemi bancari all’inizio del 2006, continua la nostra fonte, e hanno iniziato a caricarvi i malware [virus, ndr] nel 2013.
Ma, mentre l’attacco al codice SWIFT è stato reso pubblico, gli hacker cinesi hanno anche bucato una società di trasferimento di denaro di proprietà messicana basata nel New Jersey: «In pratica, l’infrastruttura violata è controllata dallo stesso gruppo Apt», spiega la fonte; ‘Apt’ [advanced persistent threat, minaccia permanente avanzata, ndt] si riferisce agli hacker cinesi; «Là sono arrivati dappertutto» dice riferendosi alla portata del danno che gli hacker di Stato cinesi hanno causato riuscendo a violare le reti messicane.
Gli hacker di Stato cinesi non hanno venduto la falla ai criminali informatici fino al giugno 2015, ma hanno subito iniziato a mappare, testare e infettare i sistemi delle banche. Gli hacker avevano trovato un punto debole nel codice usato per costruire applicazioni web chiamato Apache Struts v2. La vulnerabilità esisteva da 2006 ed era stata ‘rinforzata’ nel 2013.
La fonte anonima continua spiegando che da allora gli hacker avevano imperversato attraverso numerosi altri sistemi finanziari: quindi, mentre vendevano accessi alle banche, allo stesso tempo stavano mappando e infettando l’intero sistema bancario mondiale.
È opinione dell’esperto confidente di Epoch Times, che gli hacker del governo cinese stiano vendendo questa vulnerabilità di sistema sia per guadagno, che per servirsi degli attacchi delle gang di criminali informatici per sviare l’attenzione dai loro attacchi di livello superiore. E che potremmo essere di fronte agli inizi di una crisi del sistema bancario globale.
Articolo in inglese: EXCLUSIVE: Global Banking System Infiltrated by Chinese Hackers
