Exclusivo: Hackers comprometem sistema bancário mundial

O sistema bancário global está sendo comprometido por cibercriminosos que têm demonstrado possuir alto nível de acesso, com controle quase total para alterar dados e roubar bancos, de acordo com o especialista Ed Alexander, que vem investigando-os no submundo da internet, a Darknet.

Ed Alexander é especialista em cyberHUMINT (inteligência humana na web) e expert em fóruns privados administrados por Hackers. Muitas vezes acessada apenas com um software especial, a darknet é usada por grupos criminosos para conspirar e vender mercadorias ilícitas.

Em uma entrevista anterior, Alexander forneceu ao Epoch Times amplas evidências do atual assalto ao Banco Mundial. Anteriormente, decidiu que permaneceria anônimo, a fim de proteger suas investigações, mas agora veio a público com o objetivo de expor os dois grupos de hackers que estão por trás dos ataques.

Os ciberataques referem-se a uma série de roubos a bancos que foram recentemente invadidos por hackers. Destaca-se um roubo no valor de 81 milhões de dólares ao Banco Central de Bangladesh.

Alexander forneceu evidências que estes bancos são apenas a ponta do iceberg, e que os hackers descobriram uma vulnerabilidade que lhes garante acesso a milhares de bancos nos Estados Unidos e em todo o mundo.

No artigo anterior, as provas apresentadas por Alexander mostraram que os ciberataques começaram por volta de 2006, quando hackers que trabalham para os militares chineses agiram sob ordens estatais para violar redes críticas no México. A partir daí, os hackers se tornaram capazes de obter acesso aos sistemas computacionais de um grande banco, e em seguida, se infiltraram numa grande rede de transferência de dinheiro, na qual este banco e muitas outras instituições bancárias estavam conectados.

Por volta de junho de 2015, os hackers chineses completaram sua tarefa e venderam a vulnerabilidade que tinham explorado para cibercriminosos na darknet. Alexander conseguiu fornecer capturas de tela de “posts” das vendas de acesso às redes financeiras mexicanas.

Os cibercriminosos que compraram a vulnerabilidade dos hackers chineses são os que atualmente estão realizando ataques contra o sistema bancário global. Alexander forneceu novas evidências que mostram que os cibercriminosos têm acesso de alto nível às redes bancárias e que eles estão usando o acesso para alterar dados.

O Epoch Times conversou com três especialistas em cibercriminalidade (dois foram gravados, um não foi), que conseguiram analisar as imagens dos ataques fornecidas como prova. Em suas opiniões, as imagens são legítimas e seus conteúdos dão suporte às afirmações de Alexander.

Leia também:
Sistema bancário internacional foi infiltrado por hackers do governo chinês
Hackers patrocinados pelo governo chinês abrem negócios na darknet
EXCLUSIVO: Ciberpirataria e espionagem sustentam crescimento na China

De acordo com James Scott, membro sênior do Institute for Critical Infrastructure Technology (Instituto de Tecnologia de Infraestruturas Críticas – ICIT), as imagens “sugerem que um intruso pode estar explorando uma vulnerabilidade no sistema para estabelecer uma presença persistente e extrair arquivos”.

“A menos que seja corrigido e o atacante removido do sistema”, disse Scott, “o atacante pode continuar a capitalizar com a vulnerabilidade ou vendê-la a outros invasores”.

O ICIT é um forte de inteligência de cibersegurança com sede em Washington, focado em ameaças a infraestruturas críticas, tais como o sistema financeiro.

Com base nas imagens fornecidas por Alexander, Scott especulou que os cibercriminosos podem estar usando o seu acesso à rede como uma porta de entrada para outras redes de transferência de dinheiro, ou para falsificar pedidos de transferência de dinheiro para bancos adicionais, permitindo o roubo dos hackers.

Keith Furst, fundador da Data Derivatives, uma empresa de consultoria focada em cibercriminalidade financeira, observou que as imagens mostram que os cibercriminosos estão obtendo um acesso de nível muito alto às redes bancárias.

Quando se trata de bancos, devido ao risco, disse ele, apenas permissões de nível superior podem alterar os dados como mostrado nas imagens.  Uma pessoa poderia, por exemplo, eliminar a sua dívida ou ilegalmente transferir dinheiro.

“Se podem alterar as informações a este nível, isso implica que eles têm acesso a outras informações”, disse Furst.

Analisando as imagens

A seguir estão as capturas de tela providas ao Epoch Times por Alexander, que segundo ele, mostram os cibercriminosos acessando ativamente e alterando dados em redes pertencentes à UniTeller, uma rede de transferência de dinheiro de propriedade do Banorte, o terceiro maior banco do México.

Ele acrescentou círculos de cor vermelha nas imagens para mostrar que as datas dos ataques estão batendo com os ataques atuais aos bancos globais.

A imagem mostra os cibercriminosos roubando dados de uma rede bancária. Hackers têm violado o sistema bancário global e atualmente detêm acesso de alto nível (Cortesia de Ed Alexander)
A imagem mostra os cibercriminosos roubando dados de uma rede bancária. Hackers têm violado o sistema bancário global e atualmente detêm acesso de alto nível (Cortesia de Ed Alexander)

A imagem acima supostamente mostra os cibercriminosos roubando dados de uma rede bancária. Alexander disse que ela mostra a execução de um comando em um host remoto, fora do domínio do banco de segurança, e sugere que os hackers acessaram os dados sem ter credenciais de login diretas para a rede.

A vulnerabilidade também permitiu que os hackers enviassem comandos para os servidores remotamente. “A execução de código remoto permitiu aos atacantes entrarem com qualquer comando no sistema”, disse Alexander. “Isso também facilitou o upload de outros arquivos maliciosos, o que proporcionou um maior e mais permanente acesso.”

Ele marcou a imagem que captura o momento do ataque, e disse que depois que os hackers executaram o comando que exibia os dados mostrados na imagem, eles rodaram outro comando que lhes permitia mexer com os arquivos e roubar dados do sistema.

A imagem mostra os cibercriminosos manipulando o sistema de banco de dados back-end de uma rede bancária (Cortesia de Ed Alexander)
A imagem mostra os cibercriminosos manipulando o sistema de banco de dados back-end de uma rede bancária (Cortesia de Ed Alexander)

A imagem acima é dos cibercriminosos tentando provar que podem manipular os sistemas de banco de dados back-end na rede bancária, o que lhes permite, de acordo com Alexander, “mudar efetivamente os limites de crédito em diferentes tipos de cartão”.

Ao alterar os limites de cartões de crédito, os cibercriminosos são capazes de roubar grandes quantias de dinheiro por meio de transações fraudulentas.

“O importante aqui é que os atacantes tinham acesso aos bancos de dados back-end e poderiam facilmente manipular, alterar ou destruir os registros de dados e configurações da UniTeller à vontade”, disse ele.

Também disse que a captura de tela foi tirada no dia 26 de maio, mas marcou a data de 02 de março, que sugere que os cibercriminosos poderiam estar alterando o sistema há cerca de três meses.

A imagem mostra a data e o horário dos ciberataques em um sistema bancário crítico, e mostra também os hackers rodando com sucesso os comandos na rede (Cortesia de Ed Alexander)
A imagem mostra a data e o horário dos ciberataques em um sistema bancário crítico, e mostra também os hackers rodando com sucesso os comandos na rede (Cortesia de Ed Alexander)

Alexander disse que a imagem acima são os cibercriminosos mostrando a prova, com a hora, a data e o nível de acesso que tinham ganho ao sistema bancário.

Ele observou que “juntamente com a data, houve uma captura de tela relacionada ao ‘string’ do nome de sistema (comando uname -a), seus dados de configuração IP (comando ifconfig) e uma cópia do arquivo de senha local para esse servidor particular (/ etc / passwd)”.

A imagem mostra os cibercriminosos com o acesso de administrador "root" a um grande sistema financeiro (Cortesia de Ed Alexander)
A imagem mostra os cibercriminosos com o acesso de administrador “root” a um grande sistema financeiro (Cortesia de Ed Alexander)

A imagem acima mostra os cibercriminosos com o acesso “root” (administrativo) ao servidor bancário. Ele também mostra os arquivos e diretórios, que os cibercriminosos estariam modificando quando a imagem foi tirada.

“Além disso, é importante lembrar, que a vulnerabilidade que está sendo usada aqui foi executada fora do domínio de segurança do UniTeller”, disse Alexander. “Assim, os atacantes executaram remotamente o código neste servidor, como alegaram.”

md-exclusivo-hackers5

A imagem acima mostra um arquivo diretório e de estrutura, que Alexander disse ter sido fornecido pelos cibercriminosos para mostrar que eles conseguiam se mover entre os diretórios.

Os cibercriminosos estavam interessados neste diretório em particular, alegando que lhes permitia acessar um banco nos EUA que a UniTeller se relacionava.

Ele disse que esta captura de tela também foi importante, uma vez que os cibercriminosos tinham demonstrado anteriormente “que eles tinham credenciais completas para sistemas e serviços da UniTeller, e tinham a capacidade de mudá-los à vontade”.

Ele também afirma que este é apenas um registro instantâneo de um cibercrime significativo que está atualmente em processo.

 
Matérias Relacionadas