De criminele organisatie die verantwoordelijk was voor een cyberbankroof waarmee in twee jaar tijd tot maar liefst één miljard dollar werd gestolen van wereldwijde financiële instellingen, is achterhaald door Kaspersky Lab, Interpol, Europol en autoriteiten in verschillende landen. Volgens de experts valt de cyberbankroof toe te schrijven aan een internationale bende cybercriminelen, Carbanak, die opereert vanuit Rusland, Oekraïne, verschillende andere Europese landen en China. Opvallend is dat hiermee een nieuw stadium van cybercriminaliteit is ingeluid, waarbij hackers rechtstreeks geld van banken stelen in plaats van hun ‘pijlen’ op eindgebruikers te richten.
De aanvallen zijn sinds 2013 uitgevoerd op ongeveer honderd banken, andere financiële instellingen en systemen voor internetbetalingen in dertig landen. Vermoed wordt dat de grootste sommen geld werden bemachtigd door het hacken van banken, met tot tien miljoen dollar per aanval. Bovendien zijn de aanvallen nog steeds gaande. Volgens gegevens van Kaspersky Lab heeft Carbanak het gemunt op doelwitten in Rusland, de Verenigde Staten, Duitsland, China, Oekraïne, Canada, Hong Kong, Taiwan, Roemenië, Frankrijk, Spanje, Noorwegen, India, het Verenigd Koninkrijk, Polen, Pakistan, Nepal, Marokko, IJsland, Ierland, de Republiek Tsjechië, Zwitserland, Brazilië, Bulgarije en Australië.
Systeem infecteren
Voordat de daadwerkelijke aanval kon beginnen moesten de cybercriminelen eerst toegang krijgen tot een computer van een werknemer. Dit deden zij door middel van spear phishing. Hierbij werd het systeem van het slachtoffer geïnfecteerd door de Carbanak-malware. De hackers baanden zich vervolgens een weg naar het interne netwerk van computersystemen die door de beheerders voor videobewaking werden gebruikt. Dit stelde de hackers in staat om precies te zien wat er zich op het scherm afspeelde van werknemers die de systemen voor de overdracht van kasgeld onderhielden. De cybercriminelen waren daarmee in staat om alle werkpatronen van de bankmedewerkers tot in detail vast te leggen en deze na te bootsen om geld en kasgeld naar buiten te sluizen.
Zo werd geld gestolen
Toen de tijd aanbrak om munt uit hun activiteiten te slaan, maakten de hackers gebruik van systemen voor internetbankieren en internationale betalingen om geld naar hun eigen bankrekening over te maken. In het tweede geval werd het buitgemaakte geld gestort op bankrekeningen in China en de Verenigde Staten. De experts achten het heel goed mogelijk dat er ook banken in andere landen werden gebruikt voor het incasseren van het gestolen geld.
In andere gevallen wisten cybercriminelen tot in het hart van de boekhoudsystemen door te dringen en rekeningsaldi op te krikken, waarna ze de aanvullende bedragen met behulp van frauduleuze transacties wisten te bemachtigden. Als een rekening bijvoorbeeld een saldo van duizend dollars had, wijzigden de criminelen dit bedrag in tienduizend en maakten ze vervolgens negenduizend dollar naar zichzelf over. De rekeninghouders zagen hier geen kwaad in, omdat de oorspronkelijke duizend dollar nog altijd aanwezig was.
De cybercriminelen namen daarnaast de controle van pinautomaten van banken over en gaven ze opdracht om op een vooraf gedefinieerd tijdstip geld af te geven. Toen het moment van betaling aanbrak, wachtte een van de bendeleden naast de pinautomaat om de ‘vrijwillige’ betaling te collecteren.
De gehele bankroof, van de eerste computerinfectie tot het stelen van het geld, nam gemiddeld twee tot vier maanden in beslag.
Banken moeten op hun hoede blijven
De aanvallers lieten zich bovendien niet tegenhouden door de software die door de bank werd gebruikt. Dit maakte volgens Sergey Golovanov, principal security researcher bij het Global Research & Analysis Team van Kaspersky Lab, niets uit. ‘Dit betekent dat, zelfs wanneer hun software uniek is, banken op hun hoede moeten blijven. De aanvallers hoefden zich niet eens een weg naar de services van de bank te hacken: zodra ze het netwerk waren binnengedrongen, wisten zij precies hoe zij hun kwaadaardige plan achter legitieme handelingen konden verbergen. Het was een bijzonder uitgekiende en professionele cyberbankroof.’
Bovendien meent Sanjay Virmani, directeur van het Digital Crime Centre van Interpol, dat deze aanvallen onderstrepen dat criminelen gebruik zullen maken van elke kwetsbaarheid in elk systeem. ‘Organisaties in geen enkele sector kunnen zich immuun wanen. Ze moeten hun beveiligingsprocedures voortdurend op peil houden.’ Op basis van dit onderzoek moedigt Kaspersky Lab alle financiële instellingen dan ook aan om hun netwerken nauwlettend te scannen op de aanwezigheid van Carbanak en bij detectie van deze malware deze infiltratiepoging te melden bij de politie.
Al veel vaker, jaren geleden al, heb ik in reacties, fora en blogs gewaarschuwd voor de ongebreidelde, vaak te ondoordachte, commerciele expantie van producten en methoden in de IT ICT.
Iedereen is volkomen idolaat van eigen kunnen en roept en hijgt dat het een lieve lust is. Niettemin zie je dat de ‘incidenten’ structurele vormen aan het aannemen is en door verschillende trajecten de schade in rap tempo toenemend.
Technisch commerciele mogelijkheden
Laten we wel zijn, klaarblijkelijk zijn er steeds minder mensen die menen dat eenvoudige technische implementatie nog steeds de sterkste en meest langdurige implementaties blijken. Alleen de commerciele geesten die blijven op jacht naar, zonder zich ogenschijnlijk te verdiepen in het gegeven dat hoe minder componenten, des te minder kans op fouten en problemen.
Economische tendensen
Weet u het nog? Donner die kweelde ‘Iedereen in de zzp, goed voor de zzp-er, goed voor de economie…’. De eerste die daar vruchten van plukte was hijzelf door voor de rest van zijn carriere een stoel warm te gaan houden bij de raad van staten. De rest? Een regen van ‘incidenten’… steeds grootschaliger, steeds groter van impact, uiteraard met steeds duurdere prijskaartjes.
ZZP schap brengt namelijk ook met zich mee dat bij organisaties, steeds minder continue en groeiende kennis, en dus bescherming, voor handen zal zijn die gevolgen zullen hebben.
Ook banken zijn jaren geleden al gewaarschuwd
Door diversiteit aan IT mogelijkheden, vernieuwing, verwatering enz… blijft criminaliteit steeds meer en vaker op zoek naar de gaten en dit soort berichtgeving zal criminaliteit ook steeds verder stimuleren.
Doordat ook hier sprake is van het niet consolideren van kennis en ervaring en natuurlijk bemensing, is het ook zo dat visie ontbreekt om dit soort zaken aan te zien komen.
Nu zijn er uiteraard genoeg professionals die meteen iets zullen roepen vanuit uit eigen ervaringen en discipline. Het laat onverlet dat men dit soort ‘bewegingen’ domweg moet kunnen zien aankomen en soms daar zelfs op voorhand procesmatig en procedureel op voorbereiden. Ook hier zijn het namelijk voorspelbare standaarden.
Uiteindelijk zijn het niet de banken, bankbestuurders of bankiers die de rekeningen van aanzienlijke schade mogen betalen. Die rekeningen laat men aan u en mij als klanten van die banken natuurlijk. Zo is het dan natuurlijk ook nog eens een keer.
Mooi spannend verhaal, maar er is geen enkel bewijs dat dit daadwerkelijk heeft plaatsgevonden. Het hele verhaal is vaag, vager of vaagst. Vergeet niet dat Kaspersky Lab angst verkoopt, zij hebben belang bij dit soort verhalen!
Het zou overigens wel prettig zijn wanneer bedrijven en instellingen wettelijk verplicht worden om schade door criminele activiteiten te publiceren. Het wordt nu allemaal verborgen gehouden, niemand die weet hoeveel schade er jaarlijks is door criminaliteit.
@Frank
Lees eens wat Ponemon reports, dan zie je hoeveel er wordt ontvreemd bij bedrijven. In de EU-privacy data protection wetgeving die geratificeerd gaat worden dit jaar zit een verplichte disclosure bij data leaks.
@kj: Ik ken de rapporten van Ponemon, ook daar heel veel aannames en dus wederom heel erg vaag. Het melden van data lekken is leuk en aardig, maar dat zegt nog steeds niks over de schade.
Op security.nl is er ook een verhaal over bovenstaand onderwerp, daar wordt echter een schade van “slechts” 14 miljoen euro genoemd. Nog steeds een flink bedrag, maar slechts een fractie van de hier genoemde 1 miljard dollar. Dat is wel een heel groot verschil en zeker niet te verklaren door de wisselkoers. Dus wat wordt het? 1 miljard dollar of 14 miljoen euro?
Ps. Meekijken via de videobewaking ligt niet voor de hand, dan hebben wachtwoorden binnen de organisatie ook geen zin meer: Iedereen met toegang tot de videos kan alle wachtwoorden achterhalen. Of hebben de banken hun beveiliging echt zo slecht ingericht?
@Frank
Ik ben benieuwd welke aannames in de Ponemon rapporten zitten volgens jou. Voor zover ik het kan zien zijn de rapporten samengesteld uit geanonimiseerde enquetes van middelgrote en grote bedrijven in verschillende landen.
De schade tgv. een hack is samengesteld uit erg veel componenten, waaronder reputatieschade, kosten om de zaak te herstellen, het dichtmaken van de lekken etc. Ik denk dan ook dat het nog wat vroeg is om een schatting te kunnen maken. Verder lopen bedrijven daar ook niet mee te koop, uiteraard en weet ik niet wat het doel zou moeten zijn om dat publiekelijk bekand te gaan maken.
Het helpt ook niet als er in software steeds weer backdoors of exploits blijken te zitten die niet alleen inlichtendiensten maar ook blackhats misbruik van kunnen maken.
http://www.reuters.com/article/2015/02/16/us-usa-cyberspying-idUSKBN0LK1QV20150216
@kj: De rapporten van Ponemon zijn niet te controleren en dat zeg je zelf ook al:
“de rapporten samengesteld uit geanonimiseerde enquetes”
Dus waarom zouden we deze rapporten moeten geloven? We weten niet eens wie de enquete heeft ingevuld, of deze persoon wel op de hoogte is van de feiten. etc. etc. Het lijkt vooral het zaaien van angst te zijn, iets waar deze business alle belang bij heeft.
Spannend verhaal. Nu graag wat achtergronden. In de Y2k scene waren er veel twijfels over outsourcing partijen. Er werd gerapporteerd dat er bedrijfs- en clientinformatie verhandeld werd vanuit India met een willekeurig geinteresseerde partij. Hoe zit dat op dit moment? Zijn er garanties en zo ja, hoe? Door outsourcing staan veel bedrijven op grote afstand van hun eigen techniek. Ze verbeelden zich ‘in control’ te zijn. Maar in praktische zin is dit niet beter dan de hartpatient die op de operatietafel ligt. Die beslist als het er op aan komt heel weinig en stelt achteraf vast – als het mee zit – dat het vertrouwen in het behandelend personeel terecht is.