image

Banken gehackt en beroofd via missende Word-updates

maandag 16 februari 2015, 17:30 door Redactie, 5 reacties

Ongeveer honderd banken en financiële instellingen zijn gedurende een periode van twee jaar door cybercriminelen gehackt en beroofd omdat ze beveiligingsupdates voor Microsoft Word niet hadden geïnstalleerd. Dat blijkt uit een vandaag verschenen rapport van het Russische anti-virusbedrijf Kaspersky Lab, dat de bende cybercriminelen de naam Carnabak gaf. Het gaat hier om dezelfde bende die eind vorig jaar al door het Nederlandse Fox-IT en het Russische Group-IB werd ontmaskerd.

Dit weekend kwam de New York Times al met een bericht over de bende. Daarin werd gesteld dat ook Nederlandse banken het doelwit waren geweest. Iets wat later door zowel de Nederlandse banken als Kaspersky Lab werd ontkend. In een oude versie van het rapport, die onder Computer Emergency Reponse Teams (CERTs) was verspreid, stond Nederland wel vermeld. Het ging hier echter om een false positive.

Hoewel de New York Times van Kaspersky een nieuwer rapport had ontvangen waarin Nederland niet meer stond, gebruikte het toch de informatie uit het oude rapport, zo zegt Jornt van der Wiel, analist bij Kaspersky Lab, tegen Security.NL. Een ander detail dat verkeerd in de media werd belicht is het gebruik van opnamesoftware. De bende monitorde geen beveiligingscamera's binnen de aangevallen banken, maar maakte via software opnamen van de desktop. Dit gaf inzicht in de werkwijze en processen binnen de banken.

Word-documenten

Het nu online verschenen rapport laat ook zien hoe de aanvallers te werk gingen. Die stuurden bankmedewerkers e-mails met Word-documenten en in sommige gevallen ook RAR-bestanden met daarin CPL-bestanden. Er werden echter voornamelijk Word-documenten gebruikt, aldus Van der Wiel. De documenten maakten misbruik van lekken die in 2012, 2013 en 2014 al door Microsoft waren gepatcht. Patches die op de aangevallen systemen ontbraken. Er was bij deze operatie geen sprake van zero day-kwetsbaarheden. Het advies dat zowel aan consumenten als bedrijven wordt gegeven, namelijk het tijdig installeren van beveiligingsupdates, was niet door de banken opgevolgd.

Zodra bankmedewerkers met een kwetsbare versie van Microsoft Office de documenten van de aanvallers openden werd er malware op het systeem geïnstalleerd. In sommige gevallen werden er ook RAR-bestanden gebruikt, met daarin een CPL-bestand. CPL (Control Panel)-bestanden worden voor het Configuratiebescherm gebruikt. De programma's in het Configuratiescherm, zoals 'Systeem', 'Printers' en 'Programma's en onderdelen', zijn allemaal CPL-bestanden. Ze zijn echter ook als malware te gebruiken. Verder zegt Kaspersky Lab dat er mogelijk ook sporen van klassieke drive-by download-aanvallen zijn aangetroffen, waarbij bankpersoneel bij het bezoeken van een website besmet raakte, maar dit is nog niet bevestigd.

Ammyy Remote Administration Tool

Zodra de aanvallers toegang tot het systeem hadden werd aanvullende software geïnstalleerd, zoals de Ammyy Remote Administration Tool. Waarschijnlijk gebruikten de aanvallers deze tool omdat die in veel omgevingen op een whitelist staat. Ammyy geeft beheerders namelijk op afstand toegang tot de computer. Vervolgens probeerden de aanvallers de inloggegevens van de systeembeheerder te stelen. Hiervoor werden er vanaf de besmette computers interne e-mails met wederom besmette Word-bestanden verstuurd. Op deze manier konden ook andere systemen in het netwerk worden geïnfecteerd.

Sporttas

Uiteindelijk kregen de aanvallers toegang tot de transactiesystemen en maakten het geld over naar andere rekeningen of lieten die via besmette geldautomaten opnemen. De onderzoekers hebben één opname waarbij er te zien is hoe iemand 's nachts met een sporttas naar de pinautomaten van een bank gaat. Precies om 3:00 uur spuwen de automaten de biljetten uit, die door de man in de sporttas worden gestopt en meegenomen.

Schadebedrag

De schade van de operatie is lastig vast te stellen. Hoewel er in de media bedragen van 1 miljard dollar worden genoemd, is dit bedrag niet bevestigd. Kaspersky gebruikte een rekenmethode waarbij er een schadebedrag van 10 miljoen dollar per bank, wordt gehanteerd, ook al is dit bedrag niet bij alle banken gestolen. Zo wordt er in het rapport maar één slachtoffer genoemd dat 10 miljoen dollar verloor en een tweede bank waar 7,3 miljoen dollar werd weggesluisd.

Toch vermenigvuldigde Kaspersky het bedrag van 10 miljoen dollar met 30 getroffen banken. Daarnaast zouden er ook nog zo'n 30 banken zijn die geen aangifte deden en zou de politie ook nog van zo'n 30 getroffen banken weten. Voor al deze banken, waarvan de meesten zich in Rusland bevinden, werd de 10 miljoen dollar gehanteerd, wat uiteindelijk een onbevestigd bedrag van zo'n 900 miljoen dollar oplevert. De werkelijke schade ligt waarschijnlijk rond de 300 miljoen dollar of misschien zelfs wel veel lager, merkt Van der Wiel op. Ook Kaspersky houdt in het rapport een slag om de hand.

Wat wel vaststaat is dat de cybercriminelen konden toeslaan omdat de banken de basisregels voor veilig internet niet volgden, namelijk het installeren van beveiligingsupdates en niet openen van ongevraagde bijlagen. Twee van de gehackte Russische banken zouden vanwege de slechte beveiliging hun banklicentie zijn verloren. Volgens Kaspersky zijn de aanvallers nog steeds actief.

Image

Reacties (5)
17-02-2015, 01:23 door Anoniem
Zo, echt een feestje van PANIEKWOORDEN en vooral niet vertellen wat er nou echt aan de hand is, zodat je het hele verhaal met nog wat meer persberichten kan oprekken.
17-02-2015, 09:29 door potshot
Door Anoniem: Zo, echt een feestje van PANIEKWOORDEN en vooral niet vertellen wat er nou echt aan de hand is, zodat je het hele verhaal met nog wat meer persberichten kan oprekken.

zo,echt weer een stompzinnige mekker opmerking.
17-02-2015, 10:05 door Anoniem
waarom is het eigenlijk altijd 'gebruik van niet gepatchte word' en niet 'onnodig gebruik van bloated (en dus risicovolle) software'? Durf te wedden dat voor 99% van de communicatie onnodig word-documenten zijn ingezet.
17-02-2015, 11:39 door Anoniem
De onderzoekers hebben één opname waarbij er te zien is hoe iemand 's nachts met een sporttas naar de pinautomaten van een bank gaat. Precies om 3:00 uur spuwen de automaten de biljetten uit, die door de man in de sporttas worden gestopt en meegenomen.
Show me! Tot op heden is het niet meer dan een sterk verhaal zonder enige vorm van bewijs. Geen bank die geld lijkt te missen, geen klant die geld lijkt te missen, en toch een verhaal dat er honderden miljoenen dollars zijn verdwenen. Ra ra ra...

Zolang er geen bewijs komt van deze hack, die op zich best wel mogelijk zou kunnen zijn, beschouw ik het als een broodje aap.
17-02-2015, 12:44 door Anoniem
Bangmakerij van "Russische anti-virusbedrijf Kaspersky", daar lijkt het sterk op. Al die (nogal twijfelachtige) berichten komen de laatste tijd daarvandaan.

Het geeft me sterk de indruk dat Kaspersky op deze manier aan marketing voor zijn merknaam doet en er weinig waar is van de verhalen, die bijna dagelijks door hen verspreid worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.