'Digitale bankrovers Bangladesh infecteerden SWIFT clientsoftware met malware'
De bankroof bij de centrale bank van Bangladesh, waarbij onlangs 81 miljoen dollar werd buitgemaakt, is vermoedelijk mogelijk gemaakt door de Alliance Access clientsoftware van SWIFT te infecteren met malware. Dit gaf de aanvallers de mogelijkheid grote geldbedragen over te schrijven naar bankrekeningen in de Filipijnen.
De digitale bankoverval heeft veel aandacht gekregen in de media. De aanvallers wilden in totaal bijna 1 miljard dollar laten overschrijven naar buitenlandse rekeningen. Hierbij werd echter een spelfout gemaakt in de naam van een ontvanger, waarbij ‘fundation’ in plaats van ‘foundation’ werd geschreven. Dit veroorzaakte argwaan bij medewerkers van de centrale bank van Bangladesh, die een routineonderzoek startten. In dit onderzoek kwamen de frauduleuze transacties naar voren.
Tweedehands routers
Eerder bleek al dat de centrale bank van Bangladesh gebruik heeft gemaakt van tweedehands routers die voor zo’n 10 dollar per stuk beschikbaar zijn. Daarnaast zou de bank geen firewall geïnstalleerd hebben. Ook SWIFT zou fouten hebben gemaakt, en de bank pas na de bankroof hebben geadviseerd de IT-apparatuur te vervangen.
Onderzoekers van BAE Systems meldde nu aan Reuters dat de aanvallers grote geldbedragen konden overschrijven doordat zij de clientsoftware van SWIFT hebben weten te infecteren met malware. Een woordvoerder van SWIFT bevestigt het verhaal tegenover Reuters. Met behulp van deze malware konden de aanvallers informatie over overschrijvingsverzoeken wissen uit de SWIFT-database van de centrale bank van Bangladesh. Dit stelde de aanvallers in staat binnenkomende verzoeken te onderscheppen en uitgaande malafide verzoeken te verwijderen uit logboeken. Ook konden zij via de malware het saldo van bepaalde rekeningen aanpassen en printers aangepaste afdrukken laten afdrukken om dit te verbergen.
Server in Egypte
De software is volgens BAE Systems aangestuurd en gemonitord vanaf een server die wordt gehost in Egypte. Hoe de aanvallers overschrijvingen konden aanmaken is vooralsnog onduidelijk. SWIFT heeft al aangekondigd vandaag nog met een update te komen voor de clientsoftware. Daarnaast gaat het bedrijf financiële instellingen waarschuwen en adviseren hun beveiligingsprocedures kritisch te bekijken.
Meer over
Lees ook
"Lopende campagne beïnvloedt Azure cloudomgevingen" - Proofpoint
Onderzoekers van cybersecuritybedrijf Proofpoint zien een aanhoudende cloudaccount overnamecampagne. De campagne beïnvloedt tientallen Microsoft Azure-omgevingen en honderden gebruikersaccounts. Ook brengt de campagne accounts van senior executives in gevaar.
G DATA: Agent Tesla opnieuw gearriveerd
Recente security-incidenten hebben een nieuwe variant van Agent Tesla aan het licht gebracht. Hierbij wordt een ongebruikelijk compressieformaat gebruikt om informatie te stelen: ZPAQ. Maar wat is dit precies en welk voordeel biedt het aan cybercriminelen?
TA866 keert terug in grootschalige e-mailcampagne
Proofpoint onderzoekers stellen de terugkeer van TA866 in een grootschalige e-mailcampagne vast. TA866 was negen maanden afwezig. Op 11 januari 2024 blokkeerde Proofpoint een grootschalige campagne van enkele duizenden e-mails gericht op Noord-Amerika.