Aanvallers hebben via een gehackte router ongeveer 1 miljoen dollar van de Russische PIR Bank gestolen, zo melden de Russische krant Kommersant en securitybedrijf Group-IB. De aanval op de bank begon eind mei, waarbij de aanvallers via een gecompromitteerde router wisten binnen te komen.

Hoe de router precies werd gehackt laat Group-IB niet weten. Wel beschikte de router over tunnels waarmee de aanvallers directe toegang tot het lokale netwerk van de bank hadden. Op deze manier kregen ze ook toegang tot een systeem dat Russische banken gebruiken om onderling transacties uit te voeren, vergelijkbaar met het internationale Swift-systeem.

In totaal werd er omgerekend zo'n 1 miljoen dollar naar 17 rekeningen van grote Russische banken overgemaakt en door katvangers opgenomen. Bankmedewerkers ontdekten op 4 juli de transacties en vroegen de toezichthouder om de digitale sleutels van het transactiesysteem te blokkeren, maar het lukte niet om de al uitgevoerde transacties te stoppen.

Op hetzelfde moment probeerden aanvallers hun sporen in het systeem te verbergen. Zo werden allerlei logbestanden opgeschoond, wat het onderzoek moest hinderen. Ook lieten ze "reverse shells" op systemen achter, zodat ze op een later moment weer toegang tot het banknetwerk konden krijgen. Deze reverse shells werden echter ontdekt en verwijderd.

Volgens Group-IB, dat onderzoek bij de PIR Bank deed, hebben de aanvallers eerder soortgelijke aanvallen op andere banken uitgevoerd. In de meeste gevallen wisten de aanvallers via routers binnen te komen. Financiële instellingen krijgen dan ook het advies om te controleren dat de router-firmware up-to-date is. Daarnaast moeten systemen worden getest om te kijken of ze kwetsbaar voor bruteforce-aanvallen zijn en moeten aanpassingen in de routerconfiguratie tijdig worden opgemerkt.