Netwerkworm steelt 25,7 miljoen dollar van Russische banken
De afgelopen maanden zijn 13 Russische banken getroffen door een netwerkworm die criminelen hielp met het stelen van 25,7 miljoen dollar, maar de diefstal had eenvoudig voorkomen kunnen worden als er Office-updates waren geinstalleerd, zo claimt het Russische beveiligingsbedrijf Group-IB.
De groep criminelen heeft de naam Buhtrap gekregen en is al sinds 2014 actief, hoewel de eerste aanvallen tegen banken pas in augustus 2015 werden ontdekt. Daarvoor waren voornamelijk bankklanten het doelwit. De manier waarop de criminelen opereren is volgens Group-IB uniek. "Buhtrap is de eerste hackergroep die een netwerkworm gebruikt om de algehele infrastructuur van de bank te infecteren, wat het zeer lastig maakt om alle infecties van het netwerk te verwijderen", aldus beveiligingsbedrijf in een rapport (pdf).
Om de worm van het netwerk te verwijderen zouden banken hun hele infrastructuur moeten uitschakelen, wat weer gevolgen heeft voor de dienstverlening aan klanten. De eerste stap in de aanval tegen de banken is het gebruik van phishingmails. De aanvallers maken daarbij gebruik van beveiligingslekken in Microsoft Office die in 2012, 2013 en 2014 door Microsoft werden gepatcht. In het geval de banken deze updates niet hadden uitgerold kon door het openen van het document malware op de computer worden geïnstalleerd.
Ook werden er soms Word-documenten met kwaadaardige macro's en besmette e-mailbijlagen gebruikt. Na de infectie van de computer werd de netwerkworm ingezet voor het verder besmetten van bankcomputers en de rest van het netwerk. Vervolgens werden er frauduleuze transacties in een banksysteem klaargezet, die ook werden uitgevoerd. Op deze manier werd er bij 13 banken in totaal 25,7 miljoen dollar buitgemaakt.
Updates
Afsluitend geeft Group-IB in het rapport advies om aanvallen door de groep te voorkomen. Het gaat dan voornamelijk om het installeren van Microsoft-updates. "De Buhtrap-groep gebruikte geen zero day-lekken, maar oude exploits. Daarom konden zelfs standaard softwareupdates voorkomen dat de aanvallers toegang tot het bedrijfsnetwerk kregen. Sommige van de aangevallen banken hadden deze updates echter niet geïnstalleerd", aldus het advies.
In het geval de banken wel up-to-date waren gebruikten de aanvallers Word-documenten met kwaadaardige macro's. Die staan echter standaard uitgeschakeld en vereisen medewerking van het bankpersoneel om uit te voeren. Bedrijven krijgen dan ook het advies om macro's via een 'group policy' uit te schakelen en medewerkers te waarschuwen dat het inschakelen van macro's tot malware kan leiden.
Als de banken up-to-date waren en gebruikers de macro's niet openden, werden e-mails met besmette bijlagen gebruikt. Het ging om met een wachtwoord beveiligde zip-bestanden met daarin een uitvoerbaar bestand. In dit geval hadden de bijlagen voor verder onderzoek geblokkeerd moeten worden, aldus de Russische beveiliger.
- Verschillende gehackte webservers alsmede speciek aangevraagd domeinnamen goed lijkend op legitieme sites om een spear pishing aanval te gaan uitvoeren. Dat is issue-1 Linux based ? en andere zaken.
- Spear pishing om binnen te komen. Verouderde niet bijgwerkte software. Met het up to date houden was dat lastiger geweest. Er worden 3 methoden genoemd (pag 9-10) om dat te bereiken. Dat is issue-2
Dit is: "prevention at intrusion stage"pag 24
- De tijdlijn (pag 11) is zeer lang oct 2014, aug 2015 binnen en diefstal in dec (2 maanden, meer dan een jaar na eerste aanval). Vervolgens gaat het nog 13 maanden door. Al die tijd heeft niemand het in de gaten. Dat is issue-3 (monitoring?)
- Heel specifiek werd gezocht naar de "ÄWS CBC"software. Als die mogelijkheid te gering is, werd er niets gedaan. Nee je hoeft thuis hiervoor niet bang te zijn, je draait die software niet. Het slimme zit er in dat ze niet snel ontdekt worden.
Het vereist goede oplettendheid bij de potentiele slachtoffers en geen afwachtende houding om ontedekt te worden. Dat is issue-4
Dit is: prevention at implementation stage" pag 25
- Die" AWS CBC"software komt van de Centrale Bank het UFEBM is publiekelijk gemaakt net als de software. (pag 18) Nu wordt het helemaal fraai de betaalgegevens zijn data te veranderen en er zijn geen verdere controles op.
Dat is issue-5 (mogelijk nog wel de ergste).
Doe SSO sla alles benaderbaar bij je eigen account op (passwordmanager). Dat is heel gebruiksvriendelijk, dat vond de hacker ook.
Als je een andere spannende hack wilt lezen kijk dan eens naar:
http://www.buzzfeed.com/josephbernstein/how-pirates-and-hackers-worked-together-to-steal-millions-of#.uq5dLgjg1
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
