$140 миллионов за $920: хакеры купили доступ к банкам по цене телефона

Хакеры использовали бэкдор, который системы защиты даже не учитывали.


d5vikni3denp4b04wtrji10qlc5wjuze.jpg


Хакеры похитили почти 140 миллионов долларов из шести банков Бразилии, используя учётные данные сотрудника компании C&M, которая занимается обеспечением финансовой связности между банками и Центральным банком страны. Инцидент произошёл 30 июня и стал следствием тщательно спланированной атаки через подкуп инсайдера.

Как сообщают бразильские СМИ, доступ к закрытой системе C&M, связанной с Центральным банком, злоумышленники получили после того, как убедили сотрудника компании, Жуана Назарено Роке, продать свои корпоративные данные примерно за $920. Позднее он также выполнял команды, переданные ему через платформу Notion, получив за это ещё $1850. Всё это позволило злоумышленникам проникнуть во внутреннюю инфраструктуру и провести операцию по переводу средств.

Роке пытался замести следы, регулярно меняя мобильные телефоны — примерно раз в 2 недели. Однако его действия были обнаружены, и он был задержан полицией 3 июля в Сан-Паулу. По данным следствия, к участию в преступлении его склонили, когда он покидал бар, что свидетельствует о том, что хакеры заранее выявляли уязвимых сотрудников, на которых можно было воздействовать — стратегия, схожая с недавним инцидентом вокруг Coinbase, где аналогичным образом подкупали индийских специалистов службы поддержки.

Расследование в Бразилии ведётся сразу по трём направлениям, однако подробности о личности хакеров пока не раскрываются.

Параллельно с этим стали появляться данные о перемещении похищенных средств. Аналитик блокчейнов ZachXBT сообщил , что злоумышленники уже перевели от 30 до 40 миллионов долларов в криптовалюту, используя Bitcoin, Ethereum и Tether. Переводы осуществлялись через различные биржи и анонимные внебиржевые площадки в странах Латинской Америки. Исследователь заявил, что отслеживает криптовалютные кошельки участников атаки и помогает правоохранителям замораживать активы.

Компания C&M в официальном комментарии бразильским журналистам подчёркивает, что атака не была связана с уязвимостью в их программном обеспечении. По их словам, всё произошло исключительно из-за социальной инженерии, то есть манипуляций с сотрудником. Также в компании отмечают, что благодаря их системе защиты удалось оперативно выявить источник несанкционированного доступа и передать соответствующую информацию в полицию.

Несмотря на масштаб ущерба, детали о том, как именно проводились транзакции, какие банки пострадали, а также конечные цели вывода средств остаются неизвестными. Полиция пока не раскрывает этих сведений, а C&M ограничилась лишь общими заявлениями.