‘Digitale bankrovers Bangladesh besmetten clientsoftware van SWIFT met malware’
De bankroof bij de centrale bank van Bangladesh, waarbij onlangs 81 miljoen dollar werd buitgemaakt, is vermoedelijk mogelijk gemaakt door de Alliance Access clientsoftware van SWIFT te infecteren met malware. Dit gaf de aanvallers de mogelijkheid grote geldbedragen over te schrijven naar bankrekeningen in de Filipijnen.
De digitale bankoverval heeft veel aandacht gekregen in de media. De aanvallers wilden in totaal bijna 1 miljard dollar laten overschrijven naar buitenlandse rekeningen. Hierbij werd echter een spelfout gemaakt in de naam van een ontvanger, waarbij ‘fundation’ in plaats van ‘foundation’ werd geschreven. Dit veroorzaakte argwaan bij medewerkers van de centrale bank van Bangladesh, die een routineonderzoek startten. In dit onderzoek kwamen de frauduleuze transacties naar voren.
Tweedehands routers
Eerder bleek al dat de centrale bank van Bangladesh gebruik heeft gemaakt van tweedehands routers die voor zo’n 10 dollar per stuk beschikbaar zijn. Daarnaast zou de bank geen firewall geïnstalleerd hebben. Ook SWIFT zou fouten hebben gemaakt, en de bank pas na de bankroof hebben geadviseerd de IT-apparatuur te vervangen.
Onderzoekers van BAE Systems meldde nu aan Reuters dat de aanvallers grote geldbedragen konden overschrijven doordat zij de clientsoftware van SWIFT hebben weten te infecteren met malware. Een woordvoerder van SWIFT bevestigt het verhaal tegenover Reuters. Met behulp van deze malware konden de aanvallers informatie over overschrijvingsverzoeken wissen uit de SWIFT-database van de centrale bank van Bangladesh. Dit stelde de aanvallers in staat binnenkomende verzoeken te onderscheppen en uitgaande malafide verzoeken te verwijderen uit logboeken. Ook konden zij via de malware het saldo van bepaalde rekeningen aanpassen en printers aangepaste afdrukken laten afdrukken om dit te verbergen.
Server in Egypte
De software is volgens BAE Systems aangestuurd en gemonitord vanaf een server die wordt gehost in Egypte. Hoe de aanvallers overschrijvingen konden aanmaken is vooralsnog onduidelijk. SWIFT heeft al aangekondigd vandaag nog met een update te komen voor de clientsoftware. Daarnaast gaat het bedrijf financiële instellingen waarschuwen en adviseren hun beveiligingsprocedures kritisch te bekijken.
Meer over
Lees ook
TA866 keert terug in grootschalige e-mailcampagne
Proofpoint onderzoekers stellen de terugkeer van TA866 in een grootschalige e-mailcampagne vast. TA866 was negen maanden afwezig. Op 11 januari 2024 blokkeerde Proofpoint een grootschalige campagne van enkele duizenden e-mails gericht op Noord-Amerika.
Barracuda's nieuwe Cybernomics 101-rapport onthult de financiële aspecten achter cyberaanvallen
Barracuda heeft zijn Cybernomics 101-rapport gepubliceerd, waarin de financiële aspecten en winstmotieven achter cyberaanvallen worden onderzocht. Uit het nieuwe rapport blijkt dat de gemiddelde jaarlijkse kosten om te reageren op securityinbreuken en -lekken meer dan 5 miljoen dollar bedragen.
Dreigingsactor 'BattleRoyal' gebruikt DarkGate-malware voor cybercriminele doeleinden
Onderzoekers van cybersecuritybedrijf Proofpoint publiceren vandaag onderzoek over de activiteiten van dreigingsactor 'Battle Royal'. Deze actor gebruikt DarkGate- en NetSupport-malware om controle te krijgen over geïnfecteerde hosts via meerdere verschillende aanvalsketens en social engineering technieken.