Тема: Статьи и мануалы / подкасты от BlackMast
Показать сообщение отдельно

  #26  
Старый 13.07.2022, 21:59
BlackMAST
Участник форума
Регистрация: 05.12.2021
Сообщений: 262
С нами: 2337451

Репутация: 0
По умолчанию
Эпизод 24: Как Северная Корея ограбила банк Кувейта

МОХАММЕД: Да, в марте, в конце марта 2019 года, я выполняю обычную работу по поиску угроз. Я нашел образец, напоминающий банковское вредоносное ПО, который был загружен из Кувейта.

Ведущий: Хорошо, это уже интересно. Мохаммед увидел, что на VirusTotal было загружено какое-то невиданное ранее вредоносное ПО, скачал его, изучил и обнаружил, что оно нацелено на банк. Не было сказано, какой банк, но у Мохаммеда было довольно хорошее предчувствие, что это какое-то банковское вредоносное ПО. Итак, он смотрит на это совершенно неизвестное вредоносное ПО, нацеленное на банк, которое было загружено откуда-то из Кувейта. Увлекательно, правда? Что ж, если вы думаете, что это увлекательно, возможно, вы гик. Немногие люди на планете просматривают совершенно новые вредоносные программы, загруженные на VirusTotal, пытаясь понять, что там происходит, но Мохаммед делает именно это, потому что ему нравится открывать для себя эти новые вещи, потому что они задают самые разные вопросы. Для какого банка это было? Загрузил ли его жертва или человек, который создал это вредоносное ПО? Действительно ли он заразил что-то и украл деньги? Что оно делает? Вот почему людям нравится следить за ним в Твиттере, потому что иногда он находит довольно интересные вещи.

МОХАММЕД: Итак, я зашел — скачал и проанализировал его, и фактически обсудил в Твиттере, отправил хэши для этого вредоносного ПО, чтобы любой в регионе мог найти эти хэши в своей среде и посмотреть, есть ли у них та или иная атака. вредоносное ПО.

Ведущий: Итак, он создал тред в Твиттере, и в то время у него было около 40 000 подписчиков в Твиттере. Он написал, цитирую: «Для тех, кто интересуется банковской безопасностью, вот некоторые весьма вероятные индикаторы компрометации в результате локальной банковской SWIFT-атаки, о которой вы, возможно, слышали». В то время в новостях ходили другие истории о взломе банков и краже денег с помощью системы денежных переводов SWIFT. Мохаммед увидел это вредоносное ПО и догадался, что оно может быть каким-то образом связано с этими атаками, и решил, что важно твитнуть о том, что он обнаружил. Он продолжил и разместил имена файлов и хэши файлов в Твиттере, и вы можете думать о хэше файла как о отпечатке пальца файла. Вместо того, чтобы публиковать сами файлы в Твиттере, он выложил хэш. Это делается для того, чтобы другие люди могли просматривать хэши своих файлов, чтобы проверить, есть ли это вредоносное ПО в их системах. Публикация таких хэшей файлов предпочтительнее, потому что при этом не публикуются какие-либо конфиденциальные данные, содержащиеся в вредоносном ПО, на тот случай, если он содержит пароль, IP-адрес или что-то, связанное с жертвой.

МОХАММЕД: Итак, что интересно, я нашел некоторые строки в этих вредоносных программах, которые, я думаю, будут полезны людям для поиска в их среде, чем я и поделился.



Ведущий: Итак, один из методов анализа вредоносного ПО — запуск над ним команды «strings». Это будет искать вредоносное ПО для любых удобочитаемых слов, и он просто выдает список слов для вас. Это может дать вам некоторые подсказки относительно того, что происходит, например, любые внутренние заметки, оставленные в коде, или другую информацию, удобочитаемую человеком. Мохаммед просмотрел код в поисках удобочитаемых слов, и одно слово выделилось для него: GBKADMIN. Почему в этой вредоносной программе есть слово GBKADMIN? Это имя пользователя? Это название вредоносной программы? Является ли GBKADMIN чем-то важным? Он понятия не имел и просто решил написать об этом в Твиттере, сказав своим подписчикам, что вредоносная программа содержит GBKADMIN, и это может что-то значить.

МОХАММЕД: Итак, сам образец вредоносного ПО на самом деле не указывает на определенный банк с уверенностью.

Ведущий: Что дало ему уверенность в том, что его посты в Твиттере в порядке. Он не называет банк, он старается не публиковать какую-либо конфиденциальную информацию, поэтому он разместил кучу материалов, которые он нашел, поговорил об этом с людьми, а затем как бы закрыл свое исследование этого и покончил с этим, перемещая на другие вещи. В конце концов, он не работал в банковском секторе, поэтому все, что он мог сделать, это просто предупредить других людей о том, что в Кувейте есть какое-то банковское вредоносное ПО, и, поскольку он это сделал, теперь он может сделать что-то еще. Ему больше нечего делать по этому поводу. Что ж, несколько дней спустя мы увидели твит из аккаунта Gulf Bank of Kuwait в Твиттере, в котором говорилось, что у них произошел сбой в обслуживании. В результате сбоя в обслуживании они потеряли 9 миллионов долларов.

МОХАММЕД: Да, 2,8 миллиона кувейтских динаров.

Ведущий Очень интересно, что Gulf Bank of Kuwait сообщил о проблеме.

МОХАММЕД: Да, я понял, что что-то определенно было не так, потому что это происходит не со всеми банками, понимаете, проблема в вашей транзакции с такими большими убытками, а затем банк публично говорит об этом. Так что, очевидно, что-то действительно было не так. Именно поэтому он привлек внимание страны. Мол, все в Кувейте говорили об этом. Что имел в виду Gulf Bank под этим заявлением?

Конечно, я собрал эти части воедино. Звучало так, как будто там была возможная связь.

Ведущий: Но да, он ничего публично не говорил о своих теориях, которые могли бы связать найденное им вредоносное ПО с Gulf Bank. Он просто смотрел, как об этом говорят в Твиттере, и заметил. Итак, Gulf Bank — четвертый по величине банк Кувейта. В то время они сами сообщали, что у них было 2,25 миллиарда долларов капитала, а потеря 9 миллионов долларов составила менее половины процента от их общего капитала. Но опять же, я хочу подчеркнуть здесь слово «потерять», а не «украсть» или «ограбить». Gulf Bank никогда не говорил, что деньги были украдены или что они были ограблены, только то, что произошел сбой в обслуживании, в результате которого они потеряли миллионы кувейтских динаров. Что ж, через несколько дней после этого следующая новость, которую мы получили из банка, заключалась в том, что они уволили своего генерального директора по информационным технологиям, не объяснив публично почему. Генеральный менеджер, похоже, был особенно удивлен этим и сказал, что было несправедливо, что они попросили его уйти. В банке происходило что-то важное, и они не скрывали, что именно. На следующей неделе Мохаммед отправляется на мероприятие по безопасности в Кувейте, чтобы пообщаться с другими людьми в области информационной безопасности. Но пока он общался на этом мероприятии, у него зазвонил телефон.

МОХАММЕД: Мне позвонил кто-то из отдела киберпреступности.

Ведущий: Они сказали ему, что существует вероятность того, что Gulf Bank собирается пожаловаться в полицию на его твиты, в которых говорится о вредоносном ПО, которое он нашел на VirusTotal, и они попросили его спуститься, чтобы они могли его допросить.

МОХАММЕД: Я был чрезвычайно осторожен в своих формулировках всех исследований, которые я проводил, чтобы не включать ничего, что явно связывало бы с определенной организацией или определенным банком, о котором я говорил. Без привязки их к определенному объекту по имени. Так что юридически я был чист. Итак, я пошел на допрос, и меня спросили: "Это ваши твиты?" Я говорю: "Да". "Вы имели в виду – Gulf Bank?" Я сказал: "Нет, я не упоминал их и не имел в виду их в своих твитах", и на этом допрос закончился.

Ведущий: Хорошо, может быть, это рутинная часть расследования, когда банк просто проявляет должную осмотрительность, отслеживая любые улики или версии об инциденте. Поскольку Мохаммед написал в Твиттере об обнаруженной им банковской вредоносной программе, возможно, это было нечто большее, поэтому полиция допрашивала его. Поговорив с ними, он почувствовал облегчение и подумал, ну вот, наверное, и конец.

МОХАММЕД: Именно тогда и произошли интересные вещи. Примерно в то же время мне пришлось отправиться в США в сопровождении жены, потому что она навещала свою мать, которая лечилась и была очень больна в Соединенных Штатах. Итак, я прилетел в США, и пока я был в США, мне позвонили, что мне нужно явиться на расследование прокуратуры.

Ведущий: Они хотели, чтобы он присутствовал при расследовании, потому что хотели задать ему дополнительные вопросы о том, что он знал об этом инциденте в банке «Галф». Знал ли он больше, чем то, о чем писал в Твиттере? Этот второй раунд допроса немного беспокоил его, но он знал, что невиновен, и хотел сотрудничать. Итак, он сказал им, что находится в США, помогает ухаживать за больным членом семьи, и он не может приехать в назначенную дату, но он будет рад приехать, как только вернется в Кувейт. Он даже показал им свой обратный билет на то, когда он вернется, и они сказали, что все в порядке, без проблем. Итак, он закончил свою поездку в США и вернулся в Кувейт, и отправился на переговоры со следователями. Но они сказали, что, поскольку он не явился в назначенную дату, ему теперь предъявляют обвинения.

МОХАММЕД: Поскольку государственное обвинение продолжало расследование, не дожидаясь моего приезда, я был расценен как воздерживающийся, так оно и было – меня обвинили, скажем, в обвинении кувейтского закона, что означает злоупотребление служебным положением. Дело в том, что кувейтский закон был, скажем так, сформулирован, и я разглашал коммерческую тайну истца.

Ведущий: Что? Твиты Мохаммеда привели к тому, что его обвинили в злоупотреблении мобильным телефоном и разглашении коммерческой тайны? Что-то явно пошло не так.

МОХАММЕД: Я волновался, но ничего не мог с этим поделать. Так что единственное, что я мог сделать, это подготовить надежную защиту.

Ведущий: Итак, он нанимает адвоката, чтобы убедиться, что он правильно расследует это уголовное обвинение. Когда крупный банк выдвигает против вас обвинения и сообщает, что потерял 9 миллионов долларов, вы должны относиться к этому очень серьезно, даже если вы совершенно невиновны. Итак, он был очень осторожен, и часть его задавалась вопросом, насколько это связано со взломом и насколько это связано с нарушением законов о свободе слова в Кувейте?

МОХАММЕД: Итак, я на самом деле не юрист, но в целом конституция Кувейта дает большую свободу слова, но потом говорит, что в соответствии с законами. Затем законы уточняют общие меры защиты конституции. Итак, у нас есть законы о киберпреступлениях, у нас есть законы о печати, у нас есть законы о СМИ, например: видео, телевидение, радио. У нас также есть законы о государственной безопасности. Все эти законы способствуют, скажем так, дальнейшему ограничению свободы слова. Так вот, в Кувейте есть общественные деятели, о которых нельзя, скажем, например, говорить в каком-то, скажем так, дурном тоне независимо от вашего намерения. Есть ограничения на то, что вы можете говорить.

Вы не можете, например, использовать язык ненависти против религиозных или политических меньшинств. Итак, речь идет о политических аспектах, религиозных аспектах или ограничениях свободы слова, а также о киберпреступности. Закон о киберпреступности был на самом деле интересным, потому что он вышел в 2014 году и должен был касаться киберпреступлений или преступлений, связанных с кибербезопасностью, таких как, например, взлом или мошенничество. Но потом адвокаты стали злоупотреблять этим, люди фактически обвиняли любого, кто плохо отзывался о вас. Итак, если вы были государственным чиновником, если вы были фигурой в социальных сетях, и кто-то пытался говорить о вас так, как вам не нравится, вы можете пойти и попытаться подать на них в суд в соответствии с этим законом. Много раз это приводило к приговорам, по которым люди должны были платить штрафы. Я думаю, что мой случай был примером этого, потому что я на самом деле не делал ничего плохого.

Ведущий: Интересно. Таким образом, похоже, что если кто-то говорит что-то, что наносит ущерб вашей компании или вам, вы можете подать на него в суд и, возможно, заставить его заплатить штраф за то, что он сказал. Итак, Мохаммед еще несколько раз очень внимательно перечитал свои твиты, пытаясь выяснить, сказал ли он что-нибудь негативное в адрес Gulf Bank. Но он вообще даже не упомянул в своих твитах Gulf Bank, поэтому был уверен, что не сделал ничего плохого. Однако он упомянул слово GBKADMIN. Подождите минуту: GBK. Означает ли это, что Gulf Bank of Kuwait? Ха. Даже если бы это было так, он не знал этого в то время. Дата судебного разбирательства была назначена на июль 2019 года. Теперь, через месяц после даты судебного разбирательства, в августе в США должна была состояться акция Black Hat, и Мохаммед должен был провести занятие на этой конференции. Итак, он хотел завершить это испытание, чтобы поехать в США. Он идет в суд в июле. Там был только прокурор. Юрист банка даже не появился. Мохаммед обдумывал со своим адвокатом, что сказать.

МОХАММЕД: Тогда мы обеспечили действительно надежную защиту. Мы, скажем так, обсудили этот аспект, что в первую очередь это уже защищенная речь. Во-вторых, в нем не упоминался ни один банк по имени, не упоминался конкретно какой-либо товарный знак банка, и тот факт, что это абсолютно не секрет, потому что банк уже обсуждал, что возникла проблема: в их системе есть проблема, которая привела к потере миллионов долларов. Так что не было секретом, что в банке уже происходит что-то неладное. Вдобавок ко всему, между мной и банком не было никакого договорного соглашения, которое привело бы к тому, что я делился бы какой-либо тайной между мной и ими. Так что, думаю, наткнулся бы, скажем, из открытых источников, которые, конечно, не считаются секретами.

Ведущий: Судья выглядел убежденным и, похоже, был на его стороне, поэтому он готовился к полету в Лас-Вегас, чтобы посетить Black Hat. Сначала ему пришлось лететь в Нью-Йорк, а затем в Вегас.

МОХАММЕД: В ночь перед отлетом в Нью-Йорк я получил странный зашифрованный телефонный звонок и телеграмму. Но затем, когда я ответил, это был кто-то очень подозрительный. Он пытался как бы спросить об инциденте, который произошел в банке, а затем он попытался сказать, что у меня есть некоторая информация о взломе, который произошел в этом банке, — пытался дернуть меня за ниточку. Я чувствовал, что кто-то пытается втянуть меня в обсуждение этого инцидента, пытается найти, пытается заманить в ловушку. Итак, я понял, что это либо кто-то совершенно сумасшедший, либо я действительно был бы сумасшедшим, если бы не подумал, что это была чья-то попытка заманить в ловушку. Кто? Я не знаю. Кто бы попытался это сделать? Я понятия не имею, кому это было бы выгодно. Однако я вел себя хладнокровно, сказал им, что это юридический вопрос: это должно быть доставлено в правовые органы, бла, бла, бла. Затем я повесил трубку. Что было действительно подозрительным для меня, так это то, почему кто-то пытается нацелиться на меня, пытается заманить меня в ловушку таким образом? Я действительно разозлил некоторых влиятельных людей? Был ли этот твит настолько, скажем, сильным против того, кто его скомпрометировал? Неужели на банк действительно оказали давление люди, связавшие мой твит с инцидентом в банке? Я до сих пор не знаю, кто этот человек, но, конечно, как я уже говорил, было бы безумием не думать, что это была какая-то связанная с этим попытка заманивания в ловушку.

Ведущий: Это было странно, и это снова разожгло его беспокойство по поводу этого дела, но он все же поехал в США. Находясь в Вегасе, его адвокат связался с ним и сказал, что у судьи есть вердикт по делу.

МОХАММЕД: В конце концов судьям стало ясно, что это абсолютно не нарушало никаких законов Кувейта.

Ведущий: Итак, с него сняли все обвинения, и это отличная новость, пока ты в Вегасе, верно? Мохаммед сказал мне, что он не посещал там вечеринки, потому что был так сосредоточен на обучении и просто хотел вернуться в Кувейт, как только оно закончится. Итак, когда он вернулся в Кувейт, он связался со своим адвокатом, и все, казалось, было спокойно. Все было хорошо, и он был рад, что это позади. Это был август. Затем приходит сентябрь, а затем, в октябре, он получает еще одно сообщение.

МОХАММЕД: Да, адвокат присылает мне по WhatsApp сообщение о том, что они подали апелляцию.

Ведущий: Прокуроры хотели продолжить расследование. Его адвокат объясняет, что это всего лишь вопрос формальностей. Если прокуратура подаст его в апелляционный суд, а он все равно будет признан невиновным, то они могут сказать, что исчерпали все варианты в этом деле и могут оставить его в покое. Это создает впечатление, что прокуратура действительно усердно работала над раскрытием этого дела, и, поскольку это была всего лишь формальность, на него не было ни новых улик, ни каких-либо новых обвинений. Но Мухаммед все еще беспокоился об этом. Я имею в виду, по крайней мере, ему приходится тратить все эти деньги на судебные издержки, чтобы помочь ему. Апелляционный суд занял больше года, потому что коронавирус продолжал задерживать суды. Ожидание суда всегда нервирует, независимо от того, насколько вы уверены, что ни в чем не виноваты. Но, наконец, настала дата суда, и судья рассмотрел его дело.

МОХАММЕД: Меня сразу оправдали.

Ведущий: Мохаммед вздохнул с облегчением. Это означало, что все наконец закончилось. Да, с тех пор, два года спустя, все еще позади. Звонков из полиции по этому поводу больше не поступало. Но к чему это привело, если вы нашли вредоносное ПО на VirusTotal и написали в Твиттере о том, что вы нашли. Так вот, в то время по всему миру происходила большая волна ограблений банков. Кто-то ходил вокруг, обычно рассылая фишинговые электронные письма банковским служащим, взламывая банк, а затем нацеливая сеть SWIFT, чтобы украсть миллионы долларов из банков. Многие из них работали. Организация Объединенных Наций расследовала это и опубликовала отчет, в котором говорится, что правительство Северной Кореи несет ответственность за ограбление банков в Бангладеш, Чили, Коста-Рике, Гамбии, Гватемале, Индии, Либерии, Малайзии, Мальте, Нигерии, Польше, Республика Корея, Словения, Южная Африка, Тунис, Вьетнам и Кувейт.

Прямо здесь, черным по белому, в отчете ООН о расследовании говорится, что в марте 2019 года правительство Северной Кореи ограбило банк в Кувейте. Это точно тот же месяц и год, когда Gulf Bank объявил о сбое в обслуживании и потерял 9 миллионов долларов. В этом отчете ООН не говорится, какой банк в Кувейте был ограблен, но говорится, что украденная сумма составила 49 миллионов долларов. Итак, это большое несоответствие цифр, что означает, что либо Gulf Bank не был ограблен, но действительно произошел какой-то странный сбой, из-за которого они потеряли миллионы долларов, что означает, что совершенно другой банк был ограблен в том же месяце и году в Кувейте, или Gulf Bank of Kuwait не сказал правды, заявив, что это был сбой в обслуживании, когда на самом деле это было ограбление, заявив, что это 9 миллионов долларов, когда на самом деле это было 49 миллионов долларов. Мы не знаем правды в этой истории.

МОХАММЕД: Ага. Таким образом, существует разница между твитом Gulf Bank и тем банком, на который пытался намекнуть отчет ООН. Итак, либо он нацелен на другой банк, либо, может быть, в этой истории есть нечто большее, чем то, что было опубликовано в открытых источниках.

Ведущий: Большое спасибо Мохаммеду Альдубу. Вы можете найти его в Твиттере: его зовут @Voulnet.
 
Ответить с цитированием