# Bancomext Attack 2018 > [!critical] > Em janeiro de 2018, o grupo norte-coreano **APT38** (subgrupo do Lazarus/BlueNoroff) tentou roubar **US$ 110 milhões** do Banco Nacional de Comercio Exterior (Bancomext) do México via sistema SWIFT. O ataque foi frustrado antes da transferência final, mas representa a maior tentativa documentada de roubo financeiro via SWIFT na América Latina. ## Visão Geral O Bancomext (Banco Nacional de Comercio Exterior) é o banco de desenvolvimento de comércio exterior do México - uma instituição pública federal. Em janeiro de 2018, o [[g0082-apt38]], subgrupo financeiramente motivado do [[g0032-lazarus-group]] norte-coreano, comprometeu os sistemas do banco e iniciou uma série de transações SWIFT fraudulentas visando US$ 110 milhões. As autoridades mexicanas e os sistemas de segurança conseguiram interromper as transferências antes que os fundos fossem completamente movimentados. O [[g0082-apt38]] é especializado em operações contra o sistema SWIFT interbancário global e possui um histórico de ataques de alto valor: o roubo do Bangladesh Bank (2016, US$ 81 milhões transferidos), o Banco de Chile (2018, US$ 10 milhões roubados) e múltiplos outros bancos do sudeste asiático. A tática do grupo envolve comprometer a rede interna do banco, obter credenciais SWIFT, monitorar os sistemas por meses para entender os padrões operacionais, e então realizar transferências fraudulentas durante fins de semana ou feriados quando as equipes de monitoramento são menores. O malware [[dyepack]] é a ferramenta customizada do APT38 para ataques SWIFT - um implante que intercepta e manipula mensagens SWIFT em trânsito, substituindo detalhes de transações legítimas por transferências fraudulentas, e removendo evidências das mensagens fraudulentas nos logs locais (anti-forense). O DYEPACK opera dentro da interface do SWIFT Alliance Access, o software de terminal SWIFT amplamente utilizado. O ataque ao Bancomext inseriu-se numa série de ataques SWIFT do APT38 em 2018 que também incluíram o Banco de Chile (maio 2018) e bancos no Taiwan, Índia e outros países. O padrão revela uma operação de coleta de inteligência financeira sistemática: o grupo estuda cada banco-alvo por 1-2 anos antes de executar a operação de roubo. ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento Prolongado<br/>1-2 anos monitorando<br/>sistemas SWIFT do Bancomext"] --> B["🔓 Acesso Inicial<br/>Spear-phishing ou exploit<br/>de aplicação exposta"] B --> C["🔄 Movimentação Lateral<br/>Progresso para rede SWIFT<br/>Obtenção de credenciais"] C --> D["🏦 Acesso ao SWIFT Terminal<br/>DYEPACK implantado<br/>no SWIFT Alliance Access"] D --> E["💸 Transferências Fraudulentas<br/>Mensagens SWIFT manipuladas<br/>US$ 110M em pedidos"] E --> F["🛑 Ataque Bloqueado<br/>Sistemas de segurança<br/>detectam anomalias"] F --> G["🗑️ Anti-forense<br/>Logs manipulados<br/>Rastros apagados"] ``` **Legenda:** [[T1078-valid-accounts|T1078]] · [[T1565-003-runtime-data-manipulation|T1565.003]] · [[T1485-data-destruction|T1485]] ## Cronologia ```mermaid timeline title APT38 Ataques SWIFT - Linha do Tempo 2016-02 : Bangladesh Bank - US$ 81M roubados via SWIFT : Maior roubo bancário digital documentado 2017 : Far Eastern International Bank - US$ 60M tentativa : APT38 ativo em múltiplos bancos asiáticos Jan 2018 : Bancomext - tentativa de US$ 110M bloqueada : Maior tentativa SWIFT na América Latina Mai 2018 : Banco de Chile - US$ 10M roubados : Distraction attack via malware destrutivo 2018 : Taiwan, Índia - múltiplos bancos atacados 2019 : DOJ EUA indicia membros do Lazarus Group : Conexões entre APT38 e Lazarus formalizadas 2020 : US$ 2B+ estimado em roubo total do APT38 ``` ## TTPs Principais | Tática | Técnica | ID | Detalhe | |--------|---------|----|---------| | Acesso Inicial | Exploit de Aplicação Pública | [[T1190-exploit-public-facing-application\|T1190]] | Comprometimento da rede bancária | | Acesso Inicial | Contas Válidas | [[T1078-valid-accounts\|T1078]] | Credenciais SWIFT obtidas internamente | | Impacto | Manipulação de Dados em Tempo Real | [[T1565-003-runtime-data-manipulation\|T1565.003]] | DYEPACK intercepta mensagens SWIFT | | Impacto | Destruição de Dados | [[T1485-data-destruction\|T1485]] | Logs SWIFT apagados/manipulados | | Persistência | Remoção de Acesso de Conta | [[T1531-account-access-removal\|T1531]] | Contas de administração bloqueadas pós-ataque | ## DYEPACK - Ferramenta Customizada SWIFT O [[dyepack]] é o malware central das operações SWIFT do [[g0082-apt38]]: - **Função**: Intercepta mensagens SWIFT no software Alliance Access - **Manipulação**: Substitui números de conta e valores em transações legítimas - **Anti-forense**: Remove registros de transações fraudulentas dos logs locais - **Persistência**: Implantado como componente legítimo do ambiente SWIFT - **Detecção**: Altamente evasivo - comparação com bases SWIFT remotas é necessária para detectar ## Relevância LATAM O ataque ao Bancomext é o evento SWIFT mais significativo documentado na América Latina. Brasil, Argentina, Colômbia e outros países com sistemas bancários sofisticados integrados ao SWIFT são alvos potenciais do [[g0082-apt38]]. O [[financial|setor financeiro]] brasileiro possui a maior rede bancária interligada da América do Sul - Banco do Brasil, Bradesco, Itaú, Caixa conectados ao SWIFT para operações internacionais. As lições do Bancomext são diretamente aplicáveis: monitoramento de mensagens SWIFT de saída, segregação de ambientes SWIFT da rede corporativa geral, e autenticação de operadores SWIFT com MFA são controles prioritários. ## Detecção e Defesa - Implementar monitoramento em tempo real de mensagens SWIFT de saída com comparação bilateral - Segregar completamente a rede SWIFT da rede corporativa geral (air-gap ou segmentação rígida) - Implementar MFA para todos os operadores SWIFT Alliance Access - Monitorar acessos ao sistema SWIFT fora do horário operacional normal - Adotar o programa SWIFT Customer Security Programme (CSP) obrigatório - Verificar integridade de logs SWIFT locais contra cópias remotas - Consultar [[M1030-network-segmentation|M1030]], [[M1032-multi-factor-authentication|M1032]] e [[M1053-data-backup|M1053]] para controles específicos ## Referências - [1](https://www.wired.com/story/bancomext-swift-attack-north-korea/) WIRED - North Korea's Lazarus Group Hit Mexico's Bancomext (2018) - [2](https://www.mandiant.com/resources/blog/apt38-details-on-new-north-korean-regime-backed-threat-group) Mandiant - APT38: Details on New North Korean Regime-Backed Threat Group (2018) - [3](https://attack.mitre.org/groups/G0082/) MITRE ATT&CK - APT38 (G0082) - [4](https://www.swift.com/swift-resource/247186/download) SWIFT - Customer Security Programme Intelligence Report (2018) - [5](https://therecord.media/north-korea-stole-2-billion-via-swift-attacks) The Record - North Korea Stole $2B via SWIFT Attacks (2019)