Ciberataques a entidades financieras rusas y otros sistemas bancarios

rusos_fin4

Mucho se ha hablado durante todo el año de la supuesta involucración de Rusia en las recientes elecciones estadunidenses. De hecho, hace unos días la misma CIA afirmaba tener pruebas de que la filtración de correos electrónicos de la candidata demócrata Hillary Clinton había sido realizada por alguien afín al gobierno ruso, con la finalidad de favorecer al candidato republicano Donald Trump.

Pero no es solo en este caso. Muchas veces se acusa a Rusia (y a China) de perpetrar los mayores ciberataques contra las potencias occidentales, y aunque no dudamos de que todos los países tienen a su disposición mecanismos para influir u obtener información confidencial de otros países (incluso aliados), parece que en el subconsciente de la población va calando la idea de que los rusos y los chinos son los “malos” en el ciberespacio.

Dando la vuelta a la tortilla

Esta nueva guerra fría cibernética no tiene unos actores tan definidos como la tuvo la real, que enfrentó a las potencias de la OTAN contra las firmantes del Pacto de Varsovia y sus aliados durante buena parte de la segunda mitad del siglo XX; hay que tener en cuenta que aún hoy siguen habiendo rencillas entre ambos bloques.

Actualmente podemos leer en los medios cómo se producen un buen número de ciberataques contra todo tipo de objetivos situados en Europa o Estados Unidos, por poner solo dos ejemplos, pero pocas veces se comentan incidentes que tienen como objetivos a empresas y administraciones públicas de Rusia o China.

Parecería que estos países cumplen a la perfección su rol de “atacantes” cuando esto no es del todo cierto y también están en el punto de mira de ciberdelincuentes y, por supuesto, de potencias extranjeras. Un buen ejemplo de esto es la investigación que han realizado nuestros compañeros de ESET Anton Cherepanov y Jean-Ian Boutin, investigación que presentaron en la pasada edición de Virus Bulletin y donde se analizaron los ataques a instituciones financieras en Rusia y los sistemas que tenían los atacantes en su punto de mira.

Ataques a entidades financieras rusas

A pesar de que no suelen aparecer en las noticias, los ataques a las entidades financieras rusas se han incrementado durante los últimos años. En varios casos, estos ataques han sido realizados por grupos altamente especializados y han permitido, por ejemplo, alterar la cotización del rublo tomando el control de una terminal de venta para enviar órdenes de compra/venta y conseguir así que la moneda rusa tuviese una elevada volatilidad durante unas horas.

rusos_fin1

En la investigación de nuestros compañeros de ESET se identificaron varios grupos que han estado actuando durante los últimos años y que cuentan con la capacidad necesaria para lanzar ataques sofisticados contra las instituciones financieras rusas. En varios casos se demostró que grupos como Buhtrap o Corkow guardaban ciertas similitudes a la hora de conseguir infiltrarse en las empresas, así como en su plan a largo plazo, consistente en pasar desapercibidos el máximo tiempo posible para conseguir su objetivo.

La mayoría de estos grupos utilizan técnicas que han probado su eficacia, como el spear phishing o enviar emails dirigidos a personas, en concreto con documentos maliciosos que contienen supuesta información que podría ser de su interés. Estos documentos, que por lo general se incluyen como adjuntos en correos electrónicos, suelen aprovechar alguna vulnerabilidad del sistema para infectarlo.

rusos_fin2b

Una vez han conseguido penetrar en el sistema de su objetivo, los atacantes suelen descargar utilidades adicionales como herramientas de control remoto, las cuales que permiten acceder a la máquina infectada y utilizarla de forma remota sin limitaciones. Una vez han accedido a la empresa objetivo, el siguiente paso es intentar acceder a otros sistemas de la red en búsqueda de información o sistemas de gran valor.

Ejemplo de cómo robar millones de dólares

Uno de los casos recientes de ataques a instituciones financieras rusas lo pudimos ver hace unos meses con el envío de documentos maliciosos que mostramos a continuación, que se hacían pasar por el organismo creado por el gobierno ruso para ayudar a sus entidades financieras, también conocido como FinCERT.

rusos_fin3

En este documento se menciona un sistema (АРМ КБР), utilizado por los bancos rusos para transferirse dinero entre ellos, sobre el que ha habido cierta confusión recientemente y que empezó cuando el Banco Central de Rusia publicó un informe anual sobre estabilidad y las instituciones financieras. En este informe se habla de los ciberriesgos y también que durante 2016 se intentaría atacar este sistema.

Según este documento, se estableció la cantidad de 2.870 millones de rublos (unos 45 millones de euros) como el objetivo de los atacantes, habiéndose conseguido evitar el robo de 1.670 millones de rublos (unos 26 millones de euros). Estos ataques representan tan solo uno de los muchos tipos analizados por la pareja de investigadores, entre los que se encuentran también los que afectan a cajeros automáticos o al sistema de transferencia de dinero entre bancos SWIFT.

Estos ataques no apuntan exclusivamente a las empresas del sector financiero ruso, sino que también los hemos visto en otros países. Tenemos ejemplos como el del Banco de Bangladesh, donde los delincuentes consiguieron robar la nada despreciable cantidad de 81 millones de dólares usando la red SWIFT, algo que se repitió en otros bancos repartidos por todo el mundo meses después.

En lo que respecta a los ataques a cajeros automáticos, durante este 2016 hemos visto varios ejemplos en los que los delincuentes consiguieron robar importantes cantidades de dinero en operaciones coordinadas para recoger el dinero que los cajeros escupían a una hora concreta.

Conclusión

Como acabamos de ver, Rusia también sufre sus propios ciberataques y no es inmune a los delincuentes, por mucho que algunos solo quieran ver en ese país el origen de los problemas de seguridad informática actuales.

Los ejemplos de ataques a empresas del sector financiero también son extrapolables a otros países, y las entidades que utilizan sistemas de transferencias como SWIFT o cajeros que pueden ser controlados remotamente y usan sistemas operativos obsoletos o sin parchear deberían tomar nota y mejorar sus sistemas de seguridad si no quieren ser protagonistas de nuevos incidentes.

Josep Albors

Créditos de la imagen: Anaderi via Foter.com / CC BY-NC

Netgear comienza a lanzar actualizaciones de firmware para sus routers vulnerables