Bij de digitale overval op de Centrale bank van Bangladesh, waar 81 miljoen dollar werd buitgemaakt, gebruikten de aanvallers malware om hun sporen te verbergen. Dat beweert beveiligingsbedrijf BAE Systems in een vandaag gepubliceerde blogposting over de overval die begin februari plaatsvond.
Het gaat om malware die speciaal voor de overval is ontwikkeld en met het Swift-systeem van de bank kon communiceren. Swift is een systeem voor internationale banktransacties. Volgens Sergei Shevchenko van BAE Systems is de malware waarschijnlijk onderdeel van een grotere toolkit waarmee de aanvallers hun sporen probeerden te verbergen op het moment dat de frauduleuze transacties werden uitgevoerd. Dit maakte het lastiger voor de bank en onderzoekers om de aanval te ontdekken, waardoor de overvallers meer tijd hadden om het gestolen geld te witwassen.
De malware werd door iemand uit Bangladesh naar VirusTotal van Google geupload en vervolgens door BAE Systems geanalyseerd. VirusTotal is een online scandienst waarmee bestanden door meer dan 50 verschillende virusscanners worden gescand. Hoe de malware zich binnen de bank wist te verspreiden is nog altijd onbekend. Eenmaal actief registreert de malware zichzelf als een service en werkt binnen het lokale Swift-systeem van de bank. De malware heeft als doel om bepaalde transacties te manipuleren of te verwijderen, zodat de bank niets vreemds te zien krijgt. De malware deed dit alleen op 6 februari. De aanval vond tijdens het Bangladese weekend van 4 en 5 februari plaats, maar werd pas hierna ontdekt.
Niet alleen was de malware speciaal voor deze overval ontwikkeld, de malwaremaker had ook uitgebreide kennis van het Swift-systeem en was goed in het maken van malware, aldus Shevchenko. Naast het manipuleren van digitale rapportages onderschepte de malware ook printopdrachten. Het Swift-systeem kan namelijk bevestigingsberichten voor transacties printen. Op deze manier hadden de frauduleuze transacties kunnen worden ontdekt. Daarom werden ook de printopdrachten aangepast. Op dit moment is nog altijd onduidelijk hoe de bank besmet raakte, hoe de overvallers de frauduleuze transacties konden uitvoeren en wie erachter zit.
De malware was in dit geval speciaal voor de Centrale bank van Bangladesh ontwikkeld, maar kan worden aangepast zodat ook andere banken kunnen worden aangevallen. "Deze aanvaller heeft veel moeite gedaan om zijn sporen te verbergen en normale bedrijfsprocessen te saboteren om niet te worden ontdekt en een reactie van het slachtoffer te hinderen. De les die hieruit geleerd kan worden is dat criminelen mogelijk meer geraffineerde aanvallen tegen slachtoffers uitvoeren, met name op het gebied van netwerkaanvallen." Eerder vandaag liet bankenorganisatie Swift al weten dat het vanwege de malware met een update komt.
Deze posting is gelocked. Reageren is niet meer mogelijk.