El sistema bancario mundial se ha visto comprometido por ciberdelincuentes que han demostrado que tienen acceso de alto nivel que les da un control casi total para alterar la información y robar a los bancos, según un experto que los ha estado investigando en la red oscura.
Ed Alexander es un cyberHUMINT (inteligencia humana) especialista y un experto en la materia sobre los foros privados de la red oscura, dirigidos por los piratas informáticos. Sólo se puede acceder con un software especial, la red oscura, además de aplicaciones legítimas, es utilizado por los grupos criminales para conspirar y vender bienes ilícitos.
En una entrevista anterior, Alexander le proporcionó a La Gran Época amplia evidencia sobre el actual atraco a la banca global. Previamente pidió permanecer en el anonimato con el fin de proteger sus investigaciones, pero ahora se está mostrando con el fin de exponer a los dos grupos de piratas informáticos que están detrás de los ataques.
Los ciberataques se refieren a una serie de atracos de bancos que fueron recientemente atacados por piratas informáticos, incluyendo los 81 millones de dólares robados del Banco Central de Bangladesh. Alexander proporcionó pruebas de que estos bancos son sólo la punta del iceberg, y que los hackers encontraron una vulnerabilidad que les permite acceder a miles de bancos de todo el mundo y en todo Estados Unidos.
En el artículo anterior, la evidencia proporcionada por Alexander demostró que los ataques cibernéticos comenzaron alrededor del 2006, cuando los piratas informáticos que trabajan para los militares chinos actuaron bajo las órdenes del Estado para romper redes críticas en México. A partir de ahí, los hackers fueron capaces de obtener acceso a los sistemas informáticos de un banco importante, y luego infiltraron una importante red de transferencia de dinero a la que el banco y muchas otras instituciones bancarias, están conectados.
Los hackers chinos completaron su misión, y alrededor de junio de 2015 vendieron la vulnerabilidad que ellos habían explotado a criminales cibernéticos en la red oscura. Alexander fue capaz de proporcionar capturas de pantalla de publicaciones en un mercado cibercriminal en la red oscura que estaba vendiendo el acceso a las redes financieras del país.
Los delincuentes que compraron la vulnerabilidad de los piratas informáticos chinos son los que llevan actualmente ataques contra el sistema bancario mundial. Alexander proporcionó nueva evidencia mostrando que los cibercriminales tienen acceso de alto nivel a las redes bancarias y están utilizando ese acceso para alterar la información.
La Gran Época habló con tres expertos en ciberdelincuencia (dos en el expediente, uno extraoficial), quienes pudieron mirar las capturas de pantalla de los ataques, los cuales habían sido presentados como pruebas. En su opinión de expertos las capturas de pantalla son legítimos y sus contenidos ratifican las afirmaciones de Alexander.
De acuerdo con James Scott, miembro principal en el Instituto de Tecnología de Infraestructura Crítica (ICIT), las capturas de pantalla “sugieren que un atacante podría estar explotando una vulnerabilidad en el sistema para establecer una presencia persistente y retirar archivos”.
“A no ser que lo arreglen y saquen al atacante del sistema”, dijo Scott, “el atacante puede seguir capitalizando esta vulnerabilidad o venderla a otros atacantes”.
ICIT es un grupo experto en la seguridad cibernética con sede en Washington y su trabajo se centra en amenazas a infraestructuras importantes, como es el caso del sistema financiero.
Sobre la base de las capturas de pantalla entregadas por Alexander, Scott especula que los ciberdelincuentes pueden estar usando su acceso a la red como una puerta de entrada a otras redes de transferencia de dinero o de falsificar las solicitudes de transferencia de dinero a bancos adicionales, lo que permite a los hackers robar el dinero.
Keith Furst, fundador de Data Derivatives, una empresa de consultoría enfocada en la ciberdelincuencia financiera, señaló que las capturas de pantalla muestran que los cibercriminales tienen un acceso de muy alto nivel sobre las redes bancarias. Cuando se trata de bancos, dijo, sólo los permisos de nivel superior pueden alterar información, como lo que se muestra en las capturas de pantalla, debido al riesgo de que una persona pueda, por ejemplo, eliminar su deuda o transferir el dinero de forma ilegal.
“Si pueden cambiar información a este nivel, esto implica que tienen acceso a otra información”, dijo Furst.
Una mirada interior
Las siguientes son las capturas de pantalla otorgadas a La Gran Época por Alexander, las cuales muestran a los ciberdelincuentes activamente accediendo y alterando información en las redes pertenecientes a UniTeller, una red de transferencia de dinero propiedad de Banorte, el tercer banco más grande de México.
Resalto en color rojo en las capturas de pantalla para mostrar el horario de los ataques los cuales se alinean con los actuales ataques en contra de los bancos a nivel mundial.
Una captura de pantalla muestra a los ciberdelincuentes robando información de una red bancaria. Los piratas informáticos han vulnerado el sistema bancario mundial y en la actualidad tienen acceso de alto nivel. (Cortesía de Ed Alexander)
La imagen anterior muestra supuestamente a los delincuentes robando información de una red bancaria. Alexander dijo que muestra la ejecución de un comando en un remoto servidor fuera del dominio de seguridad del banco, y sugiere que los piratas informáticos acceden a la información sin tener credenciales de acceso directo a la red.
La vulnerabilidad también permite a los piratas informáticos enviar comandos a los servidores de forma remota. “La ejecución de código remoto permite a los atacantes ejecutar cualquier comando en el sistema”, dijo Alexander. “También facilita cargar otros archivos maliciosos, los cuales proporcionan un acceso más permanente”.
Señaló que las capturas de pantalla simplemente capturan un solo momento en el ataque. Dijo que después de que los piratas informáticos ejecutan el comando que despliega la información mostrada en las capturas de pantalla, ejecutan otro comando que les permite alterar los archivos y robar información del sistema.
Una captura de pantalla muestra a los ciberdelincuentes manipulando el sistema de base de datos Back-end (programas encargados de que todo funcione como debe ser) en una red bancaria. (Cortesía de Ed Alexander)
La imagen anterior fue el resultado de delincuentes intentando demostrar que podían manipular los sistemas de base de datos Back-end, en la red bancaria, lo que les permite, de acuerdo con Alexander, “cambiar con eficacia los límites de crédito en diversos tipos de tarjetas”.
Al cambiar los límites en las tarjetas de crédito, los ciberdelincuentes serían capaces de robar grandes cantidades de dinero a través de transacciones fraudulentas con tarjetas de crédito.
“Lo importante aquí es que los atacantes tenían acceso a las bases de datos back-end y fácilmente podían manipular, modificar o destruir a voluntad los registros de datos y la configuración de UniTeller”, dijo.
Dijo que la captura de pantalla fue tomada el 26 de mayo, pero señaló que la fecha y la hora del 2 de marzo sugiere que los ciberdelincuentes pudieron estar alterando el sistema durante cerca de tres meses.
Una captura de pantalla muestra el tiempo de los ataques informáticos en un crucial sistema bancario, y muestra a los hackers ejecutando con éxito un exploit en la red. (Cortesía de Ed Alexander)
Alexander explicó que la captura de pantalla de arriba fue el resultado de los cibercriminales demostrando la hora, la fecha y el nivel de acceso que obtuvieron dentro del sistema bancario.
Señaló que “junto con la fecha, habían devuelto una captura de pantalla con la secuencia del sistema (uname -a command), su configuración de datos IP (ifconfig command) y una copia del archivo de contraseñas local para ese servidor en particular (/ etc / passwd).”.
Una captura de pantalla muestra a los cibercriminales con acceso “root” a un importante sistema financiero. (Cortesía de Ed Alexander)
La imagen anterior muestra a los cibercriminales con acceso “root” (administrativo) al servidor bancario. También muestra archivos y directorios, los cuales los ciberdelincuentes presuntamente estaban modificando cuando se tomó la captura de pantalla.
“Además, es importante volver a recordar que la vulnerabilidad que se usa aquí fue generada por fuera del dominio de seguridad de UniTeller”, indicó Alexander. “Por lo tanto, los atacantes ejecutaron el código remotamente en ese servidor, tal como afirmaron”.
La imagen anterior muestra una estructura de directorios y archivos, lo cual Alexander dice fue proporcionado por los ciberdelincuentes para demostrar que eran capaces de moverse entre directorios.
Los cibercriminales estuvieron interesados en este directorio en particular, dijo, ya que consideraban que les permitió acceder a un banco de EE.UU. con el cual UniTeller tiene relación.
Dijo que esta captura de pantalla también fue importante, ya que los ciberdelincuentes habían demostrado previamente “que tenían credenciales completas a los sistemas y servicios de UniTeller y tenían la capacidad de cambiarlos a voluntad”.
También afirma que esto es sólo una toma instantánea de un significativo delito cibernético que actualmente está pasando.
