A NSA usou exploits para acessar as redes bancárias SWIFT com o intuito de monitorar mensagens e o fluxo financeiro entre vários bancos e instituições financeiras no Oriente Médio. O acesso provavelmente foi usado para monitorar o financiamento de operações terroristas, disseram especialistas, à medida que a análise continua sobre o último dump data da ShadowBrokers das ferramentas de hacking do Equation Group.
Nota do Tradutor: SWIFT é uma rede mundial de bancos e outras instituições financeiras que permite o envio de pagamentos entre instituições financeiras de forma eletrônica segura.
O dump ocorreu no início da sexta-feira e os pesquisadores permaneceram explorando profundamente a variedade de hacks não apenas relacionados ao SWIFT, mas também ferramentas para comprometer sistemas Windows, bem como várias apresentações e documentação para outras ferramentas.
O lançamento ocorreu seis dias depois que o grupo clandestino expôs uma série de hacks baseados em UNIX e uma documentação voltada para a exploração de servidores empresariais e críticos em todo o mundo.
“Nesse caso, se as corretoras da Shadow Brokers forem realmente verificadas, parece que a NSA procurou capturar totalmente o backbone do sistema financeiro internacional para ter um olho de Deus em um SWIFT Service Bureau – e potencialmente em toda a rede SWIFT”, disse o pesquisador Matt Suiche em um post em seu blog, explicando sua análise do data dump. “Isso se encaixaria no procedimento padrão como uma entidade secreta encarregada de ações encobertas que podem ou não ser legais em um sentido técnico”.
SWIFT, entretanto, disse que sua infra estrutura não foi comprometida.
“Não há impacto na infra estrutura ou nos dados da SWIFT, porém, entendemos que as comunicações entre essas agências de serviço e seus clientes podem ter sido acessadas anteriormente por terceiros não autorizados”, disse um representante da SWIFT à Threatpost.
As agências de serviço SWIFT são prestadoras de serviços terceirizados que gerenciam e hospedam conexões com a SWIFTNet para instituições financeiras que desejam se conectar à rede, mas optam por terceirizar essas operações. A SWIFT afirmou que os serviços da agência de serviços incluem o compartilhamento, hospedagem ou operação de componentes de conectividade SWIFT, o logon ou o gerenciamento de sessões ou segurança para usuários SWIFT.
Os arquivos relacionados ao SWIFT foram chamados de JEEPFLEA e contém credenciais e a arquitetura do EastNets, o maior escritório de serviços SWIFT do Oriente Médio, disse Suiche.
Suiche explicou que essas transações bancárias são manipuladas em um banco de dados Oracle que executa o software SWIFT. O arquivo inclui ferramentas usadas pela NSA para tirar dados da instalação da Oracle, incluindo uma lista de usuários e consultas de mensagens SWIFT, disse Suiche.
A EastNets, que também fornece serviços de antifraude e combate à lavagem de dinheiro, era um alvo da NSA na região e documentos mostram credenciais, informações da conta e de admin. Em uma declaração em seu site, o CEO e fundador da EastNets, Hazem Mulhim, disse que não há credibilidade para as reivindicações de que seus serviços foram comprometidos.
“Os relatórios da rede EastNets Service Bureau (ENSB) de um suposto hacker comprometido é totalmente falso e infundado. A unidade de segurança interna da rede EastNets executou uma verificação completa dos seus servidores e não encontrou nenhum comprometimento de hackers ou qualquer vulnerabilidade. O EastNets Service Bureau é executado em uma rede segura, separada, que não pode ser acessada através de redes públicas. As fotos exibidas no twitter, alegando informações comprometidas, são páginas que estão desatualizadas e obsoletas, geradas em um servidor interno de baixo nível que está desativado desde 2013.”
“Embora não possamos verificar as informações publicadas, podemos confirmar que nenhum dado de cliente da EastNets foi comprometido de alguma forma, a EastNets continua a garantir total segurança dos dados de seus clientes com os mais altos níveis de proteção certificados pela agência de serviço SWIFT.”
O pesquisador Kevin Beaumont desmascarou as reivindicações da EastNets, que havia dito que sua rede não está acessível publicamente… e Beaumont publicou screenshots mostrando o contrário:
O pesquisador x0rz disse ao Threatpost que a NSA poderia ter usado ataques zero day contra firewalls Cisco para acessar as agências de serviço SWIFT.
“Eles podem ter violado as redes da agência de serviço através do Cisco ASA e ter se aprofundado nas redes usando Solaris exploits (IMO)”, disse x0rz à Threatpost. “Eles então coletaram dados usando consultas SQL nos servidores Oracle”.
X0rz acrescentou que viu pelo menos duas vulnerabilidades do Windows zero day, algo que Suiche confirmou para o Windows 8 e Windows Server 2012, o que significa que a Microsoft pode ter que emitir um patch de emergência ou esperar até 9 de maio, que é sua próxima data programada de Patch Tuesday.
Suiche disse ao Threatpost que muitas das ferramentas alvos são versões mais antigas do Windows.
“O dump data mais relevante até agora, muitas informações sobre alvos reais e documentos do PowerPoint, ao contrário dos dumps anteriores, que eram apenas ferramentas”, disse Suiche.
Os implantes do Windows possuem o codinome Oddjob e, de acordo com o arquivo da NSA, há pouco ou nenhum dado de detecção no VirusTotal. Quaisquer exploits zero day contra servidores Windows XP, Vista ou Windows 2003 ou 2008 provavelmente não serão corrigidas, tendo em vista que já não existe suporte para essas plataformas.
No último sábado, os ShadowBrokers lançaram as ferramentas de hacking UNIX juntamente com a senha para o arquivo original do Equation Group que planejavam leiloar. O invólucro de tudo isso foi uma carta aberta ao Presidente Donald Trump, em que o grupo expressou sua insatisfação com as ações do novo governo na Síria e com os cuidados com a saúde nos EUA, entre outras coisas. Os hacks incluíram exploits de execução remota de código contra servidores corporativos que executam Sun Solaris, Netscape Server, servidores de FTP e vários clientes de email. O dump também incluiu uma série de ferramentas anti forensics, backdoors e shell post-exploitation de acesso remoto para máquinas de grande porte. Havia também keyloggers, ferramentas de monitoramento de rede e implantes a nível de kernel para sistemas UNIX.
Publicado originalmente no ThreatPost em 14 de abril de 2017.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Michael Mimoso
Tradução por Tiago Souza
Imagem deste post: Threatpost