Przestępczość oparta na wiedzy osiągnęła kolejny etap rozwoju, wyprowadzono pieniądze z banku centralnego. Bank centralny Bangladeszu nie jest pierwszym wśród podobnych sobie instytucji ale banki centralne maja kluczowe znacznie dla światowego systemu finansowego. Atak na jeden z nich jest atakiem na cały system.

Sam atak przypomina działanie Carbanak, ujawniony jakiś czas temu. Za pomocą złośliwego oprogramowania (malware) przestępcy przedostali się do sieci banku i rozpoznali jego operacyjne procedury. To pozwoliło na tworzenie dodatkowych transakcji, które zasilały ich konta. Taki atak (advanced persistent threat – APT) wymaga kompleksowej obserwacji celu. Wykorzystywane są różnorodne źródła informacji: Sprzęt użytkowników, bazy danych, serwery a nawet telewizja przemysłowa. Sprzęt (tablety, komputery, telefony infekuje oprogramowanie transmitujące zawartość ekranu i znaki wpisywane na klawiaturze. Retransmisja telewizji przemysłowej pozwala na rozpoznanie nawyków użytkowników. Można wyobrazić sobie, że intruz obserwuje pracownika przez biurową kamerę, a gdy ten wychodzi na przerwę przejmuje kontrolę nad jego komputerem za pomocą oprogramowania do zdalnego zarządzania (które uprzednio doinstalował) i wykonuje kilka operacji na jego rachunek. Jeżeli chodzi o serwery to szczególnie atrakcyjnym obiektem ataku jest system dystrybucji oprogramowania. Intruz, któremu uda się do niego podłączyć ma nieograniczone możliwości infekowania stacji roboczych.

Dokładny mechanizm ataku na Bank Centralny Bangladeszu nie jest znany, o incydencie pisały agencje informacyjne stwierdzając, że musiała stać za nim zorganizowana grupa przestępców mająca głęboką wiedzę o działaniu systemu bankowego. Ciekawe jest jak taka grupa mogła powstać? Przypuszczam, że mogą za nią stać byli wojskowi specjaliści od cyberwojen. Wojsko rotuje kadry, losy specjalistów wykształconych w wojsku nie zawsze są monitorowane. Banki redukują zatrudnienie, specjalistów z dobrym zrozumieniem biznesu na rynku nie brakuje.

Jak można zapobiegać atakom podobnym do tego z Bangladeszu? System bezpieczeństwa nigdy nie będzie gotowym dobrem inwestycyjnym. Budując system bezpieczeństwa trzeba otworzyć się na wiedzę i pomysły niezależnie od ich źródła. Duże firmy ograniczają koszty. Rezygnując z zewnętrznych konsultantów, lub ograniczając się do dużych partnerów, wprowadzają monokulturę informacyjną i narażają na olbrzymie straty. Straty centralnego banku Bangladeszu szacowane są na 80 milionów USD.