Kinesiska statliga hackare har sålt vidare en svaghet i internationella banknätverk till en kriminell liga, som använder sig av det för att attackera banker. Det säger underrättelseexperten Ed Alexander till Epoch Times, och han menar att vad vi ser nu kan vara början på en global bankkris.
En grupp cyberbrottslingar har brutit sig in i och kartlagt det globala banksystemet, och i en serie attacker har man hittills stulit 81 miljoner dollar från centralbanken i Bangladesh. Experter tror att attackerna utfördes via en svaghet i banksystemet SWIFT, som kopplar samman mer än 11 000 finansiella institutioner världen över.
Om hur hackare och spioner driver Kinas ekonomiska tillväxt
Utredningar av de fortfarande pågående attackerna har inletts, och relaterade attacker mot andra banker håller på att uppdagas. Vissa experter beskyller nordkoreanska hackare för attackerna, eftersom de verktyg som användes har likheter med hackningen av Sony Pictures Entertainment 2014.
”När deras kontrakt med den kinesiska regimen löpte ut förra året sålde de den här svagheten vidare till cyberbrottsgrupper på den privata marknaden på darknet.”
Underrättelse- och darknetexperten Ed Alexander försåg Epoch Times med bevis för intrånget, i form av skärmdumpar, och Epoch Times har sedan talat med tre experter på cyberbrottslighet som samtliga anser att skärmdumparna är autentiska och stödjer Alexanders påståenden.
Skärmdumpen ovan visar att brottslingarna har stulit data från ett banknätverk. De inringade datumen och tiderna överensstämmer med bekräftade attacker på globala banknätverk. (Skärmdump av Ed Alexander)
Nätverk av militära hackare
Kinesiska statliga hackare identifierade den ursprungliga svagheten och använde den för att infektera det globala finanssystemet, enligt Alexander. När deras kontrakt med den kinesiska regimen löpte ut förra året sålde de den här svagheten vidare till cyberbrottsgrupper på den privata marknaden på darknet, för att man skulle undgå upptäckt, sade han. Darknet är ett internet vid sidan av det ”vanliga” som man bara kan komma åt med speciell mjukvara. Darknet kan användas för legitima syften, men det är också där som kriminella grupper köper, säljer och konspirerar på olika forum.
Den kinesiska regimen driver ett stort nätverk med hackare under militärens allmänna personalavdelning, tredje avdelningen. Dessa hackare utför order från den kinesiska regimen, och kör ofta även egna operationer vid sidan om, eller säljer data för personlig vinning. Epoch Times har tidigare berättat om det här systemet.
”Alexander sade att han tror att det här kan vara början på en global bankkris.”
Cyberbrottsgrupperna som köpte svagheten är enligt uppgift de som utfört de här aktuella attackerna och illegala pengaöverföringarna.
– Kineserna har redan fått permanent tillgång till de finansiella nätverken i fråga och filtrerat ut all data de behövde för kontraktet med sin sponsor. Nu har de den här svagheten som de kan fortsätta att tjäna pengar på, så de säljer den till kriminella nätverk, sade Alexander.
Den här skärmdumpen visar hur cyberbrottslingarna försöker bevisa att de kan manipulera banknätverkets back-end-databas, och göra sådant som att ändra kreditgänser på olika korttyper. Detta skulle kunna användas för att stjäla stora summor pengar genom falska korttransaktioner. (Skärmdump från Ed Alexander)
Intrångsprocessen
Koden som används i den här svagheten kommer från olika ställen, vilket kan betyda att utredare som bara tittar på intrånget på ytan drar felaktiga slutsatser. Källan sade att en del av koden har tagits fram av de kinesiska hackarna själva, men att delar av den även köpts från ryska universitet.
Källan sade att de kinesiska hackarna inte sålde svagheten till någon specifik cyberbrottsgrupp heller.
– De säljer en bank till en grupp, sade han, och noterade att de flesta av hackarna bakom den nuvarande attacken har relativt låga kunskaper.
– De är inte kodare, de vet bara hur man släpper ut de här paketen.
Kinesiska regimen stärker sin kontroll över militära hackare
Källan kunde visa upp forensisk data och skärmdumpar som stödde påståendena. Han kunde även ge en lista på de banker som utsatts, och han sade att listan växer. Det är en lång rad banker och finansiella system i bland annat USA, Latinamerika och Asien kopplade till ett komprometterat bankpartnernätverk.
De kinesiska hackarna inledde sina attacker på banknätverken så tidigt som 2006, enligt källan, och började ladda upp skadlig mjukvara på banknätverken 2013.
Såldes till brottsorganisationer 2015
Intrånget i SWIFT är nu offentligt, men källan sade att de kinesiska hackarna även har tagit sig in i ett pengaöverföringsnätverk som drivs av en bank i New Jersey i USA, men som ägs av mexikaner. Han sade att de kinesiska hackarna skaffat sig omfattande kontroll över kritiska nätverk i Mexiko.
En post på ett darknet-forum för cyberbrottslighet erbjuder tillgång till mexikanska regeringsnätverk. Det står att det är ”idealiskt för cyberspioner”. (Skärmdump från Ed Alexander)
En post på ett darknetforum där man säljer tillgång till ”all information” om Mexiko, inkluderande en ny metod för att bryta sig in i nätverk på ”stora företag” inom finanssektorn. (Skärmdump från Ed Alexander)
Den här posten från ett darknetforum säljer tillgång till Mexikos federala elektricitetskommission. (Skärmdump från Ed Alexander)
Det var inte förrän i juni 2015 som kinesiska hackare sålde svagheten vidare till brottsorganisationerna, men då började dessa genast kartlägga, testa och infektera banker och finansiella system.
Källan sade att hackarna utnyttjade en svaghet i koden som använts för att bygga webbapplikationen Apache Struts v2. Den svagheten fanns redan 2006 och patchades 2013. Han noterade att efter att hackarna fått tillgång har de tagit sig in i ytterligare åtskilliga finansiella nätverk.
Har kartlagt och infekterat globala banksystemet
De kinesiska hackarna sålde tillgång till banknätverk, men hackarna har kartlagt och infekterat det globala banksystemet under de senaste åtta åren, sade källan.
När de bestämde sig för att sälja svagheten vidare gav de inte upp sin tillgång till nätverken. När de väl sålde den hade den redan tjänat sitt syfte, enligt källan. De kinesiska statliga hackarna har alltså fortfarande tillgång till nätverken – inte bara några banker, utan större delen av det globala banksystemet.
Källan spekulerade i huruvida de kinesiska statliga hackarna säljer den ursprungliga svagheten både för profit och som ett sätt att använda de här kriminella ligorna för att dra bort uppmärksamheten från deras intrång på högre nivåer. Han sade att han tror att det här kan vara början på en global bankkris.
Den här skärmdumpen visar, enligt Ed Alexander, att brottslingarna har administratörsåtkomst (root) till bankservern, och att de kan modifiera filer och register. (Skämdump från Ed Alexander)
Experternas åsikter
James Scott, senior fellow på tankesmedjan Institute for Critical Infrastructure Technology sade att skärmdumparna som Alexander gett Epoch Times ”tycks visa att en angripare utnyttjar en svaghet i systemet för att etablera en bestående närvaro och filtrera ut filer”.
– Om den här svagheten inte rättas till och angriparen tas bort från systemet kan angriparen fortsätta att dra nytta av svagheten eller sälja den till andra angripare.
Keith Furst, grundare av konsultfirman Data Derivatives, påpekade att brottslingarna att döma av skärmdumparna har åtkomst till banknätverken på mycket hög nivå. När det gäller banker, sade han, är det bara de med allra högst åtkomstnivå som kan ändra den sortens data som ses på skärmdumparna. På den nivån skulle man kunna radera ut någons skuld eller överföra pengar illegalt, menar han.
– Om de kan ändra i information på den här nivån antyder det att de har tillgång till annan information, tillade han.
Fotnot: Denna artikel uppdaterades 20160620. I en tidigare version av artikeln var Ed Alexander anonymiserad, men han har sedan gett tillåtelse till att hans namn anges. Dessutom har skärmdumparna uppdaterats och delvis bytts ut och cybersäkerhetsexperternas utlåtanden tillkommit.
