image

Bankrovers wisten dat Vietnamese bank Foxit Reader gebruikte

zondag 22 mei 2016, 10:49 door Redactie, 2 reacties

De digitale bankrovers die afgelopen december 1,13 miljoen dollar van een Vietnamese bank probeerden te stelen wisten dat de bank Foxit Reader als pdf-lezer gebruikte en pasten deze kennis toe bij hun aanval. Dat laat beveiligingsbedrijf Intel Security in een analyse weten.

De overval op de Vietnamese Tienphong Commercial Joint Stock Bank mislukte omdat de frauduleuze transactie werd opgemerkt. Een paar weken later slaagden de aanvallers er echter in om bij de Centrale Bank van Bangladesh wel succesvol 81 miljoen dollar te stelen. In beide gevallen beschikten de overvallers over kennis van de bankomgeving en het Swift-transactiesysteem waarmee de frauduleuze transacties werden uitgevoerd.

In het geval van de overval op de Vietnamese bank wisten de aanvallers dat de bank Foxit Reader als pdf-lezer gebruikte. Foxit Reader is een alternatief voor de veelgebruikte pdf-lezer Adobe Reader. De aanvallers wisten op nog onbekende wijze een nepversie van Foxit Reader op de banksystemen te krijgen. Het ging om malware die zichzelf in de originele Foxit-installatiemap plaatste en het originele bestand naar FoxltReader.exe hernoemde.

Zodra de nepversie werd gestart manipuleerde die pdf-bestanden met transactieoverzichten, om zo de frauduleuze transactie voor de gebruiker te verbergen. Vorige week liet de internationale bankorganisatie Swift nog weten dat digitale overvallers bij een niet nader genoemde bank een besmette pdf-lezer hadden gebruikt om de afschriften aan te passen.

"Bij beide aanvallen kunnen we zien dat de aanvallers hun verkenningsmissie goed hebben uitgevoerd en mogelijk een insider hebben gebruikt om de informatie te verkrijgen die bij de voorbereiding van de aanvallen is gebruikt", zegt Christiaan Beek van Intel Security. Bij beide overvallen was de malware op maat gemaakt en aangepast op de omgeving van de banken. Ook hebben de overvallers uitgebreide kennis van het Swift-transactiesysteem en was de gebruikte malware net voor de overvallen gecompileerd. Hoe de aanvallers toegang tot de omgevingen van beide banken wisten te krijgen is nog niet bekend geworden.

Reacties (2)
22-05-2016, 16:37 door Anoniem
Als men een gemanipuleerde Foxit reader op de systemen weet te krijgen heb je inderdaad wel een probleem aangezien de dirctory alleen voor admin/system schrijfbaar is. Men had dus complete controle op diverse systemen, wellicht het hele netwerk. Ben benieuwd of men de DC goed heeft gescreend anders hebben de aanvallers dmv kerberos wellicht nog steeds toegang (gold / skeleton keys)
22-05-2016, 17:42 door Anoniem
Ik heb, inmiddels vele jaren geleden, toen ik bij een bank werkte van mensen die in een positie waren om dat soort dingen te weten gehoord dat georganiseerde misdaad actief probeerde via uitzendbureaus mensen in het bedrijf te positioneren. Ik heb zelfs een verhaal gehoord dat iemand hoog in de organisatie via de interne post, van binnen het bedrijf op papier verstuurd dus, vervalste dossiers met vervalste handtekeningen van directieleden had ontvangen met de opdracht om grote bedragen over te boeken. In dat geval heeft het niet geleid tot het slagen van de diefstal maar uiteindelijk tot het oprollen van een internationaal opererende bende die zich met dit soort zaken bezighield, zo is me in geuren en kleuren verteld door iemand die daar direct bij betrokken was (maar die wel genoot van het vertellen van sterke verhalen, hoe aangedikt het verhaal precies was kan ik niet beoordelen).

Bij banken gaan werkelijk verbluffend grote bedragen om, en dat maakt ze zo'n aantrekkelijk doelwit voor criminelen dat het loont om heel ver te gaan in het opzetten van een kraak. Het loont om er jaren aan te werken om mensen in posities te krijgen waar ze kwaad kunnen. De beheersrechten die nodig waren om de besmette Foxit-reader te installeren kunnen via lekken in software verkregen zijn maar bijvoorbeeld ook door iemand als externe kracht bij IT-beheer binnen te krijgen. Zonder strafblad kom je door screenings heen. Maar een schoonmaker die een hardware-keylogger weet te plaatsen bijvoorbeeld kan net zo goed het startpunt zijn geweest.

Hoe verdedig je je daartegen zonder dat de organisatie zo volledig op basis van wantrouwen functioneert dat hij niet meer functioneert? Ik weet het niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.