北朝鮮のサイバースパイ組織ラザルスグループによる詐欺的なSWIFT送金指示を通じた8100万ドルの窃取は、国家主導の攻撃モデルを変え、財政的利益を含めるようになり、民間企業に警告を発した。
10年経った今、バングラデシュ銀行のサイバー強盗は、国家が後援するハッキングのルールを書き直した画期的なサイバーセキュリティ事件であり、サイバーセキュリティコミュニティに教訓を提供し続けている。
サイバースパイがバングラデシュ銀行の内部ネットワークとSWIFT(世界銀行間通信協会)メッセージング環境にハッキングしてから、35件の詐欺的なSWIFT送金指示を送信し、バングラデシュの外貨準備から9億5100万ドルを盗もうとしました。これらはすべてニューヨーク連邦準備銀行のアカウントに保管されていたものです。
受取人名のスペル間違いと米国の経済制裁スクリーニングにより、35件の取引のうち5件のみが処理されましたが、それでも8100万ドルをフィリピンのアカウントに送るのに十分でした。その後、その金は急速に引き出され、その後マカオ、中国のカジノを通じてマネーロンダリングされました。
スリランカの慈善団体に送られたさらに2000万ドルはすぐに回収されました。
西側の諜報機関、SWIFTおよび民間企業による調査により、ラザルスグループ(北朝鮮のサイバースパイ組織で、以前はソニー・ピクチャーズのハッキングにリンクされていた)が特定されました。攻撃中に使用されたマルウェア、インフラストラクチャ、および戦術は、他のラザルス関連のハッキングの戦術と一致していました。
2018年9月、米国の検察官は北朝鮮のパク・ジンヒョクを起訴し、北朝鮮の前線企業チョスン・エクスポ・ジョイント・ベンチャーにバングラデシュ銀行への襲撃、ソニー・ピクチャーズのハッキング、およびWannaCryマルウェアを主導したとして制裁を加えました。
北朝鮮の偵察総局セキュリティ機関のハッカーとされるパクは、今もなお逮捕されておらず、FBIの最も指名手配されるリストに載っています。
攻撃の解剖
初期の調査により、槍式フィッシングメールがマルウェアを満載して2015年12月またはそれ以前にバングラデシュ銀行の従業員に送信されていることが判明しました。これは主要な攻撃の数ヶ月前のことでした。これらの侵入により、マルウェアを植え付けることに成功し、バックドアと、ネットワークをマッピングしてSWIFT接続システムを識別する手段の両方を作成しました。
攻撃者は有効なSWIFTオペレーター認証情報を取得し、データベースへのアクセスを侵害し、SWIFT取引ログを印刷するプリンターを破壊して空白のページを印刷するようにしました。攻撃は2016年2月4日木曜日、バングラデシュの週末の開始直前、およびフィリピンの旧正月休暇の直前にトリガーされるように慎重に時間調整されました。
バングラデシュ中央銀行総裁はWorld Informatix Cyber Securityの最高経営責任者であるラケッシュ・アスタナに2月18日の違反について電話しました。これはハッキングの約2週間後でした。
「その電話は不可思議で、彼は電話で議論できない緊急ビジネスのため直ちにダッカに旅行すべきであることを示唆していました」と、World Informatix Cyber SecurityのスポークスマンはCSOに語りました。
世界銀行のIT前任ディレクターであるアスタナは、以前に中央銀行とのITコンサルティング契約に署名していたため、電話がありました。彼がバングラデシュに到着したときに彼が発見した問題の規模のために、何も彼を準備することができなかったでしょう。
「到着後、状況が説明されました:2月4日にSWIFTネットワークを通じて9億5100万ドル相当の35件の支払取引が処理され、中央銀行のFRBNYアカウントから1億100万ドルが行方不明でした」とスポークスマンは付け加えます。「銀行は何が起こったかを理解していませんでした。または、さらに重要なことに、これがどのように起こったのか、このような規模および方法のサイバー攻撃は当時未知のものでした。」
World Informatixは、その後の調査とインシデント対応を処理するためにMandiantを連れてきました。これはSWIFTによるハッキングのタイムラインを含むブログ投稿で説明されています。
「バングラデシュで見たことは、私たちの調査の結果として、業界のパートナー、FBI、および第三者の実体によって行われた調査とともに、深い偵察、国際的なSWIFTメッセージングのグローバルシステムの操作、巧妙な運用上の欺瞞、および戦略的に構成された攻撃計画を含む新しい波の行動様式を特定しました」と、World Informatixのスポークスマンは述べました。
セキュリティの欠陥
エイドリアン・チーク(脅威露出管理企業Flareのシニアサイバー犯罪研究員)は、バングラデシュ銀行強盗が重要なインフラストラクチャをエアギャップするための失敗を含む多くのセキュリティの欠陥のために可能であったと述べています。
「バングラデシュ銀行には4台のサーバーと同じ数のデスクトップがSWIFTに接続していました」とチークは言います。「しかし、このインフラストラクチャは、より広いバンキングネットワークにも接続していたため、インターネットにさらされていました。」
「重要なインフラストラクチャは、エアギャップされるべき、または、最も少なくとも、複数のファイアウォールとロバストなSWIFT[アイデンティティとアクセス管理]ポリシー、SWIFT[多要素認証]を含む任意の中央ネットワークから分離されるべきです」とチークは付け加えています。「銀行はこれらのいずれも持っていませんでした。」
中央銀行での基本的なサイバーセキュリティの他の要素も不十分でした。
「攻撃者は、銀行ネットワークにキーロガー(ユーザーの認証情報とアクティビティを記録するマルウェアの一種)をインストールし、銀行ネットワークに接続されたアクティビティを記録するプリンターを無効にすることができました」とチークによると。「銀行はこのマルウェアを識別または検出する機能を持っていませんでした。」
チークは付け加えます:「ロガーは、銀行の国際送金システムへのパスワードを含む認証情報を収集することができました。」
攻撃にリンクされているマルウェアの株には、Lazarus/BeagleBoyzツールセット(カスタムローダー、バックドア、およびワイパーのミックス)およびDridexバンキングトロイが含まれます。
セキュリティ情報とイベント管理(SIEM)プラットフォームは2000年代後半に登場し、最初のバージョンのエンドポイント検出と応答(EDR)ツールは2010年代初期に利用可能でした。
「これらのソリューションの両方が、初期の侵入、プリンターエラー、または制限されたエリアへのアクセスを検出した可能性があります」とチークは言います。「銀行は、送金システムのアクセスアクティビティを印刷した物理的なプリンターに依存していました。プリンターがオフラインの場合、銀行は盲目でした。」
コリン・スピアーズ(アプリケーションセキュリティ企業Black Duck Softwareのシニアプロダクトマネジメント担当ディレクター)は、バングラデシュ銀行の攻撃者がほとんどの正当なソフトウェアチームを上回る国家的な運用規律のレベルを示したと述べています。
「彼らはOracleデータベースライブラリに対してマルウェアをテストし、永続性を維持するためにカスタム埋め込みを構築し、3つの国の銀行休暇を横切る72時間のウィンドウを悪用するために実行をタイミングしました」とスピアーズは言います。「それは日和見主義的な犯罪ではありません。それは、私が評価した半分のフィンテックよりも優れたリリース管理を持つ資金提供されたエンジニアリング組織です。」
2016年以前、SWIFTネットワークは貫通不可能と考えられていたか考えられていたため、SWIFTシステムを経由して到着したものは表面的には受け入れられ、多くの場合、監視されずに動作することが許可されていました。
バングラデシュ銀行強盗の直後、SWIFTはハッキングがメッセージングネットワークへの攻撃というよりも、顧客環境への攻撃の広範な一連の一部であることを顧客に警告しました。エクアドルのBanco del AustroとベトナムのTPBankは2015年に同様だが小規模な攻撃の犠牲者となった。
セキュリティ管理の厳格化は進化する脅威を排除することに失敗
SWIFTは2016年5月に顧客セキュリティプログラム(CSP)を必須フレームワークとして導入しました。このプログラムでは、加盟銀行が顧客セキュリティ管理フレームワーク(SWIFT)と呼ばれる必須セキュリティ管理のセットを実装し、毎年適合性を証明することが必要です。
ニック・ケール(シスコシステムズのプリンシパルエンジニア)はCSOに、バングラデシュ銀行のサイバー強盗以来セキュリティ管理が厳格化されましたが、より広い問題は対処されていないままであると述べました。
「多くの機関は、SWIFTおよび同様の鉄道の周りの管理を改善しました — より良い監視、より厳しい監査、エンドポイント侵害リスクに関するより現実的な仮定」とケールによると。
ただし、マイナス面では、バングラデシュ銀行のサイバー強盗中に悪用されたワークフロートラストの問題は引き続き問題を引き起こしています。
「テクニックは進化しますが、根本的な脆弱性は安定しています」とケールは述べています。「そして注目すべきことに、同じパターン — 信頼できるワークフロー鉄道を信頼する一方でエンドポイントが侵害される — は現在、AI と自動化のコンテキストで再び浮上しており、自律エージェントは認証情報を継承し、適切な検証境界なしに信頼できるチャネルで行動します。」
暗号資産を標的とするための攻撃者のピボット
ジェイソン・ベイカー(GuidePoint Securityのシニア脅威インテリジェンスコンサルタント)は、北朝鮮が後援する攻撃者がバングラデシュ銀行のサイバー強盗以来、金融および暗号通貨組織をターゲットにし続けていることをCSOに述べています。
「DPRK[朝鮮民主主義人民共和国]の行為者は従来のバンキング資産に対する暗号通貨に大きくピボットしており、Chainalysisは2025年にDPRK行為者による暗号通貨の盗難で20億ドル、より少ない攻撃にもかかわらず史上最高の合計で67.5億ドルを報告しています」とベイカーによると。
攻撃的なセキュリティサービス企業suzu labsの創設者兼CEOであるマイケル・ベルは、攻撃者が学んだことは暗号交換が従来の銀行よりもセキュリティが弱く、流動性が速く、規制上の監視が少ないということです。
「業界は2016年に悪用された脆弱性にパッチを当て、敵はそこで防御がより弱いところに移動しました」とベルは言います。
CISOはより良い脅威インテルプログラムが必要
拡張脅威インテリジェンスプラットフォームプロバイダーSOCRadarのCISO、Ensar Sekerは、バングラデシュ銀行強盗が財政的に動機付けられた攻撃が忍耐強く、ステルス的で、十分に資金提供される可能性があることを示していると主張しています。ディフェンダーは、進行中の脅威を表すため、そのようなステルス攻撃の課題に対処するため、彼らのゲームをアップする必要があります。
「攻撃者は手動チェック、フォールバック手順、および人間の遅延を予想していました」とセケルは言います。「最新の脅威インテルプログラムは、攻撃者ツールだけでなく、ディフェンダーワークフローの攻撃者の理解をモデル化する必要があります。」
