Kinesiska statliga hackare har sålt vidare en svaghet i internationella banknätverk till ett kriminellt gäng, som använder sig av det för att attackera banker. Det säger en insiderkälla till Epoch Times, och han menar att vad vi ser nu kan vara början på en global bankkris.
En grupp cyberbrottslingar har brutit sig in i och kartlagt det globala banksystemet, och i en serie attacker har man hittills stulit 81 miljoner dollar från centralbanken i Bangladesh. Experter tror att attackerna utfördes via en svaghet i banksystemet SWIFT, som kopplar samman mer än 11 000 finansiella institutioner världen över.
Om hur hackare och spioner driver Kinas ekonomiska tillväxt
Utredningar av de fortfarande pågående attackerna har inletts, och relaterade attacker mot andra banker håller på att uppdagas. Vissa experter beskyller nordkoreanska hackare för attackerna, eftersom de verktyg som användes har likheter med hackningen av Sony Pictures Entertainment 2014.
”När deras kontrakt med den kinesiska regimen löpte ut förra året sålde de den här svagheten vidare till cyberbrottsgrupper på den privata marknaden på darknet.”
Enligt en insider med förstahandskunskap om de här senaste attackerna är det dock en betydligt större gärningsman bakom de här digitala bankrånen. Källan krävde att förbli anonym, av säkerhetsskäl, och kunde förse Epoch Times med bevis för sina påståenden.
En skärmdump som Epoch Times fått från en insider visar säkerhetscertifikatet från ett mexikanskägt pengaöverföringsnätverk i New Jersey i USA som filtreras ut. Hackare kan använda certifikatet för att skicka meddelanden genom företagets nätverk, vilka automatiskt godkänns av mottagarna.
En skärmdump som Epoch Times fått från en insider visar säkerhetscertifikatet från ett mexikanskägt pengaöverföringsnätverk i New Jersey i USA som filtreras ut. Hackare kan använda certifikatet för att skicka meddelanden genom företagets nätverk, vilka automatiskt godkänns av mottagarna.
Nätverk av militära hackare
Kinesiska statliga hackare identifierade den ursprungliga svagheten och använde den för att infektera det globala finanssystemet, enligt källan. När deras kontrakt med den kinesiska regimen löpte ut förra året sålde de den här svagheten vidare till cyberbrottsgrupper på den privata marknaden på darknet, för att man skulle undgå upptäckt, sade han. Darknet är ett internet vid sidan av det ”vanliga” som man bara kan komma åt med speciell mjukvara. Darknet kan användas för legitima syften, men det är också där som kriminella grupper köper, säljer och konspirerar på olika forum.
Den kinesiska regimen driver ett stort nätverk med hackare under militärens allmänna personalavdelning, tredje avdelningen. Dessa hackare utför order från den kinesiska regimen, och kör ofta även egna operationer vid sidan om, eller säljer data för personlig vinning. Epoch Times har tidigare berättat om det här systemet.
”Källan sade att han tror att det här kan vara början på en global bankkris.”
Cyberbrottsgrupperna som köpte svagheten är enligt uppgift de som utfört de här aktuella attackerna och illegala pengaöverföringarna.
– Kineserna har redan fått permanent tillgång till de finansiella nätverken i fråga och filtrerat ut all data de behövde för kontraktet med sin sponsor. Nu har de den här svagheten som de kan fortsätta att tjäna pengar på, så de säljer den till kriminella nätverk, sade källan.
Intrångsprocessen
Koden som används i den här svagheten kommer från olika ställen, vilket kan betyda att utredare som bara tittar på intrånget på ytan drar felaktiga slutsatser. Källan sade att en del av koden har tagits fram av de kinesiska hackarna själva, men att delar av den även köpts från ryska universitet.
Källan sade att de kinesiska hackarna inte sålde svagheten till någon specifik cyberbrottsgrupp heller.
– De säljer en bank till en grupp, sade han, och noterade att de flesta av hackarna bakom den nuvarande attacken har relativt låga kunskaper.
– De är inte kodare, de vet bara hur man släpper ut de här paketen.
Kinesiska regimen stärker sin kontroll över militära hackare
Källan kunde visa upp forensisk data och skärmdumpar som stödde påståendena. Han kunde även ge en lista på de banker som utsatts, och han sade att listan växer. Det är en lång rad banker och finansiella system i bland annat USA, Latinamerika och Asien kopplade till ett komprometterat bankpartnernätverk.
De kinesiska hackarna inledde sina attacker på banknätverken så tidigt som 2006, enligt källan, och började ladda upp skadlig mjukvara på banknätverken 2013.
Såldes till brottsorganisationer 2015
Intrånget i SWIFT är nu offentligt, men källan sade att de kinesiska hackarna även har tagit sig in i ett pengaöverföringsnätverk som drivs av en bank i New Jersey i USA, men som ägs av mexikaner. Han sade att de kinesiska hackarna skaffat sig omfattande kontroll över kritiska nätverk i Mexiko.
En post på ett darknet-forum för cyberbrottslighet erbjuder tillgång till mexikanska regeringsnätverk. Det står att det är ”idealiskt för cyberspioner”. Skärmdumpen har Epoch Times fått från en insider.
En post på ett darknetforum där man säljer tillgång till ”all information” om Mexiko, inkluderande en ny metod för att bryta sig in i nätverk på ”stora företag” inom finanssektorn. Skärmdumpen har Epoch Times fått från en insider.
Den här posten från ett darknetforum säljer tillgång till Mexikos federala elektricitetskommission. Skärmdumpen har Epoch Times fått från en insider.
Det var inte förrän i juni 2015 som kinesiska hackare sålde svagheten vidare till brottsorganisationerna, men då började dessa genast kartlägga, testa och infektera banker och finansiella system.
Källan sade att hackarna utnyttjade en svaghet i koden som använts för att bygga webbapplikationen Apache Struts v2. Den svagheten fanns redan 2006 och patchades 2013. Han noterade att efter att hackarna fått tillgång har de tagit sig in i åtskilliga ytterligare finansiella nätverk.
Har kartlagt och infekterat globala banksystemet
De kinesiska hackarna sålde tillgång till banknätverk, men hackarna har kartlagt och infekterat det globala banksystemet under de senaste åtta åren, sade källan.
När de bestämde sig för att sälja svagheten vidare gav de inte upp sin tillgång till nätverken. När de väl sålde den hade den redan tjänat sitt syfte, enligt källan. De kinesiska statliga hackarna har alltså fortfarande tillgång till nätverken – inte bara några banker, utan större delen av det globala banksystemet.
Källan spekulerade i huruvida de kinesiska statliga hackarna säljer den ursprungliga svagheten både för profit och som ett sätt att använda de här kriminella gängen för att dra bort uppmärksamheten från deras intrång på högre nivåer. Han sade att han tror att det här kan vara början på en global bankkris.