image

Nederlandse geldautomaten aangevallen met malware

dinsdag 22 november 2016, 11:17 door Redactie, 6 reacties

Cybercriminelen hebben het afgelopen jaar in tal van Europese landen, waaronder ook Nederland, banken met malware aangevallen om zo geldautomaten op afstand geld uit te laten geven. Dat laat het Russische beveiligingsbedrijf Group IB in een nieuw rapport weten.

De aanvallen zouden zijn uitgevoerd door een groep criminelen die Cobalt wordt genoemd. In tegenstelling tot andere "jackpotting" aanvallen, zoals het aanvallen van geldautomaten wordt genoemd, vereisen de aanvallen van Cobalt geen fysieke toegang tot de machines om de malware te installeren. Om toegang te krijgen gebruiken de aanvallers spear phishingmails die van de Europese Centrale Bank, geldautomatenfabrikant Wincor Nixdorf of lokale banken afkomstig lijken.

De spear phishingmails bevatten bijlagen die misbruik van een beveiligingslek in Microsoft Office maken dat in 2015 door Microsoft werd gepatcht (CVE-2015-1641). Ook worden er zip-bestanden met daarin besmette uitvoerbare bestanden verstuurd. Volgens Group IB lijken de aanvallen van Cobalt erg op die van een andere groep internetcriminelen genaamd Buhtrap (pdf). Zodra er toegang tot het banknetwerk is verkregen worden verschillende kwetsbaarheden in Windows (CVE-2014-4113, CVE-2015-1701, CVE-2015-2363 en CVE-2015- 2426) gebruikt om systeemrechten te krijgen en proberen de aanvallers het wachtwoord van de domeinbeheerder te stelen.

Vervolgens kunnen de aanvallers zich door het netwerk bewegen totdat ze uitkomen bij de systemen die de geldautomaten aansturen. De malware kan vervolgens de geldautomaat opdrachten geven om alle biljetten uit de geldcassettes uit te geven totdat die leeg zijn. Het geld moet vervolgens nog door iemand worden opgehaald. Volgens Group IB blijkt uit bewakingsbeelden dat de dief met een mobiele telefoon binnenkwam en een nummer belde. Vervolgens haalde hij een tas tevoorschijn om het geld dat de geldautomaat uitgaf op te vangen. Zodra de geldautomaat leeg was belde de dief opnieuw zijn handlangers en werd de geldautomaat opnieuw gestart.

Tijdens de operatie wordt informatie over het aantal uitgegeven bankbiljetten terug naar de aanvallers gestuurd. Zodra dit is gedaan wordt de malware via het Microsoft-programma SDelete van het systeem verwijderd. SDelete is een gratis tool om bestanden permanent mee te wissen. Ook worden de interne bankservers via de MBRkiller-malware gesaboteerd. Deze malware kan de Master Boot Record (MBR) van de harde schijven verwijderen, zodat het systeem niet meer opstart.

Naast Nederlandse banken zouden ook banken in Rusland, Groot-Brittannië, Spanje, Roemenië, Wit-Rusland, Polen, Estland, Bulgarije, Georgie, Moldavië, Kyrgyzstan, Armenië en Maleisië zijn aangevallen. Namen van de aangevallen banken worden niet genoemd. Wel zouden de Nederlandse banken in augustus van dit jaar zijn aangevallen.

Voorkomen

Volgens Group-IB is de belangrijkste methode om toegang tot het banknetwerk te krijgen het gebruik van phishingmails met bijlagen. Om infectie via de gebruikte Office-exploit te voorkomen is het voldoende om Microsoft Office regelmatig te patchen, aldus het beveiligingsbedrijf. De groep gebruikte geen zero day-lekken en de gebruikte exploits waren vrij oud. Sommige van de aangevallen banken zouden de beveiligingsupdates voor Office echter niet hebben geïnstalleerd.

In het geval de banken hun updates wel hadden geïnstalleerd stuurden de aanvallers zip-bestanden met daarin de malware. Dit soort aanvallen zijn ook te blokkeren, zo stelt het beveiligingsbedrijf. Hoeveel geld de criminelen hebben gestolen is onbekend.

Image

Reacties (6)
22-11-2016, 14:15 door Anoniem
Haha, banken geven miljoenen uit aan beveiliging en worden 0wned dmv oude exploits. Als men domain admin kan worden is het natuurlijk helemaal game over. Ben benieuwd hoe men dit in hemelsnaam op denkt te schonen, er kunnen overal nog implants zitten voor latere toegang.

Natuurlijk zijn de atm vendors ook niet helemaal lekker, als dat ding compleet leeg gaat moet er toch wel een alarm afgaan. Wellicht geblokkeerd gezien de privileges die de aanvallers hebben.
22-11-2016, 17:18 door Anoniem
Ik krijg langzaam de indruk dat die zogenaamde aanvallen wel aardig uitkomen. Ze willen namelijk dat cash wordt afschaft, weet u wel?
23-11-2016, 09:20 door GerBNL - Bijgewerkt: 23-11-2016, 09:20
Ik vind het maar een vage samenvatting. Heeft de redactie ook nog de moeite genomen om te zien of de 'nederlandse banken' in augustus bijzondere activiteit hebben waargenomen?
23-11-2016, 09:38 door User2048
Om toegang te krijgen gebruiken de aanvallers spear phishingmails...
Vervolgens kunnen de aanvallers zich door het netwerk bewegen totdat ze uitkomen bij de systemen die de geldautomaten aansturen.
Als ik een bank was zou ik mijn geldautomaten niet aan het grote boze internet hangen... Een klein airgapje hier en daar kan geen kwaad.
23-11-2016, 10:00 door Anoniem
hoe wil je dan ee geldautomaat beheren:
uitschakelen na fysieke phising, moneytrapping, etc geconstateerd door gebruikers van de automaat?
uitschakelen na andere manipulatie?
signalen ontvangen als de automaat (bijna) leeg raakt zodat deze gevuld kan worden?
23-11-2016, 10:27 door PietdeVries
't Is inderdaad makkelijk roepen "als ik een ... was, dan!". Want of we werken allemaal bij dat ene bedrijf dat nog nooit gehackt is, of wij doen als security professionals ons werk ook matig maar zijn wat schijnheilig hiero.

Het jammere van beveiliging is dat als je dat perfect wil doen je systeem totaal onbruikbaar wordt. Een waterdicht maar gebruiksvriendelijk systeem bestaat niet. En dus gaan we polderen. Tuurlijk, een airgap is veiliger voor je kerncentrale, je SCADA systemen, je HR database is allemaal beter. Maar tegelijkertijd totaal onwerkbaar. En gebruikers moeten natuurlijk niet op linkjes van vage externe mails klikken. Maar waarom kunnen wij die dan niet voor ze tegenhouden?

Overigens lijkt 't me een heleboel werk om zo bij een bank binnen te komen en te proberen fysiek geld uit een automaat te halen. Zou -als je toch binnen bent- het niet eenvoudiger zijn om gewoon geld over te maken naar je Western Union rekening in Rusland?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.