Хакер вкраденими даними заробив $140 мільйонів, витративши лише $2,7 тисячі на злам бразильських банків

Як хакер витратив лише $2,7 тисячі, щоб вкрасти $140 мільйонів з бразильських банків

Ось факт на підтримку прихильників децентралізації: хакери вкрали приблизно R$800 мільйонів ($140 мільйонів) з бразильських банків, заплативши лише R$15,000 ($2,760) співробітнику технологічної компанії за його корпоративні дані, згідно з даними правоохоронних органів, які розслідують цю справу, описану як найбільша цифрова крадіжка в історії країни.

Атака націлилась на компанію C&M Software, що розташована в Сан-Паулу і з`єднує невеликі банки та фінансові технології з інфраструктурою центрального банку Бразилії, включаючи систему миттєвих платежів Pix. Шість фінансових установ зазнали несанкціонованого доступу до своїх резервних рахунків 30 червня, зловмисники встигли витратити кошти менш ніж за три години.

«Це найбільше шахрайство, яке пережили фінансові установи через інтернет», - заявив Паулу Барбоза, детектив поліції Сан-Паулу, що очолює розслідування, на пресконференції в четвер.

Схема почалася в березні, коли злочинці наблизилися до Жоао Назарено Роке, IT-оператора в C&M, біля бару поблизу його дому. Роке зізнався, що спочатку продав свої системні дані за R$5,000, а потім отримав ще R$10,000 за допомогу в створенні програмного забезпечення, яке дозволило здійснити злом. Поліція арештувала 30-річного чоловіка у його квартирі в місті Жарагуа 3 липня.

Між 4 ранку і 7 ранку за місцевим часом 30 червня нападники видали фальшиві накази на перекази Pix, підробляючи банки, які постраждали. BMP, постачальник банківських послуг, був одним з найбільш постраждалих, підтвердивши втрати в понад R$400 мільйонів ($73,8 мільйонів) з рахунку центрального банку. Компанія подала первинну поліційну заяву, яка виявила ширший напад.

Зловмисники негайно почали конвертувати викрадені реали у криптовалюту через латноамериканські позабіржові торгові площадки та біржі. Аналіз блокчейну від крипто-детектива ZachXBT вказує на те, що щонайменше $30 мільйонів до $40 мільйонів перемістились у Bitcoin, Ethereum та Tether (USDT) перш ніж влада змогла заморозити рахунки. Один гаманець, що містив R$270 мільйонів ($49,8 мільйонів), з тих пір був заблокований.

Анонімний слідчий заявив сьогодні раніше через Telegram, що допомагає розслідувачам ідентифікувати та заморожувати адреси криптовалют, пов`язані з тим, що він описав як «один з найбільш безумних випадків цього року». Що таке Pix і C&M та чому вони стали мішенню?

Pix, платформа миттєвих платежів Бразилії, запущена в листопаді 2020 року, обробляє мільярди транзакцій щомісяця і стала домінуючим методом платежів у країні. Система дозволяє миттєві перекази між банками 24 години на добу, включаючи вихідні та свята, з транзакціями, що завершуються майже миттєво.

Вона стала широко розповсюдженою, адже користувачі можуть прив`язувати свої рахунки до знайомих ідентифікаторів, таких як номер телефону, електронна пошта або номер ID. Pix також дозволяє QR-платежі й пропонує різні функції, щоб конкурувати з постачальниками кредитних карток, включаючи опції, які дозволяють користувачам оплачувати покупки в розстрочку.

Система працює, безпосередньо з`єднуючи банки та фінансові установи через цифрову інфраструктуру центрального банку, що дозволяє коштам миттєво переміщатися між рахунками. Коли користувач ініціює переказ Pix, запит на платіж маршрутизується безпосередньо через центральний банк, який перевіряє дані та авторизує транзакцію в реальному часі. Це усуває затримки, пов`язані з традиційними банківськими переказами, які часто займали хвилини або навіть години для обробки, що дозволяє кампаній завершувати платежі та перекази протягом секунд, у будь-який час доби.

Було впроваджено й інші технології в Бразилії, такі як можливість банкам моніторити транзакції інших банків для оцінки кредитного рейтингу, наприклад.

На відміну від попередніх атак, які націлювалися на окремих користувачів Pix через шкідливе програмне забезпечення на зразок PixPirate, цей злом експлуатував інфраструктуру, що з`єднує фінансові установи з центральним банком. Нападники отримали доступ до резервних рахунків, які банки підтримують для розрахунку транзакцій, а не до депозитів клієнтів.

«Аналіз, що був проведений до цього часу, не виявив жодних технічних збоїв чи вразливостей у системах CMSW. Інцидент стався через несанкціоноване використання легітимних даних для авторизації. Окрім даних співробітника, є свідчення того, що могли бути використані й інші методи автентифікації. Швидка реакція компанії була можлива лише завдяки її надійній архітектурі безпеки», - зазначила C&M у офіційній відповіді на запитання.

Заснована в 1992 році Орлі Мачадо, C&M надає послуги обміну повідомленнями, які дозволяють приблизно 23 малим фінансовим установам отримувати доступ до платіжних систем Бразилії без необхідності створювати власну інфраструктуру. Роль компанії як посередника зробила її привабливою мішенню для злочинців, які прагнули отримати доступ до кількох банків одночасно.

Центральний банк Бразилії наказав C&M відключитися від усієї фінансової інфраструктури 2 липня, тимчасово призупинивши послуги Pix для кількох установ. Banco Paulista повідомив про «тимчасове переривання» миттєвих платежів через «зовнішній збій», запевнюючи клієнтів, що ніякі особисті дані чи кошти не були скомпрометовані.

Директор Федеральної поліції Андре Пассос Родрігес заявив, що його агентство розпочало негайне розслідування у співпраці з владою штату Сан-Паулу. Розслідувачі перевіряють, чи пов`язаний напад з розвиненими кіберзлочинними мережами Бразилії, які часто координуються через Telegram і WhatsApp.

Роке, скомпрометований IT-оператор, сказав розслідувачам, що спілкувався принаймні з чотирма різними голосами під час атаки 30 червня, всі звучали як молоді чоловіки. Він стверджував, що змінював мобільні телефони кожні 15 днів, щоб уникнути виявлення, і ніколи не зустрічав інших змовників особисто, крім початкової зустрічі в барі.

Злом стався незважаючи на те, що банківський сектор Бразилії значно інвестував у кібербезпеку після попередніх інцидентів. C&M заявила, що впровадила «всі технічні та юридичні заходи» після виявлення вторгнення і продовжує співпрацювати з владою.

BMP запевнив клієнтів, що достатньо застави покриває вкрадені суми, запобігаючи будь-яким втратам клієнтів. Центральний банк підтвердив, що вилучив частини перенаправлених коштів від зарегульованих суб`єктів під своїм наглядом, хоча зусилля з відновлення залишаються обмеженими для переказів на не регульовані криптовалютні біржі.

Поліція продовжує аналізувати пристрої, вилучені з резиденції Роке, і працює над ідентифікацією інших учасників. Влада створила спільну робочу групу з Федеральною поліцією та Генеральною прокуратурою для відстеження криптовалютних транзакцій і, можливо, заморожування додаткових активів.