De bende cybercriminelen die dit weekend in het nieuws kwam omdat ze mogelijk een miljard dollar bij banken wereldwijd hadden gestolen is vorig jaar al door een Nederlands en Russisch beveiligingsbedrijf ontmaskerd. Uit de toen de gepubliceerde analyse bleek dat de aanvallen voorkomen hadden kunnen worden als de banken beveiligingsupdates voor Microsoft Word hadden geïnstalleerd en werknemers geen exe-bestanden hadden geopend die via e-mail waren toegestuurd.

Het Russische anti-virusbedrijf Kaspersky Lab zal later vandaag een rapport over de Carnabak-bende naar buiten brengen. De bende werd vorig jaar in een rapport van het Delftse Fox-IT en Russische Group-IB "Anunak" genoemd. De aanval die de onderzoekers van deze twee beveiligingsbedrijven waarnamen begonnen met het infecteren van de computer van een werknemer. Zo werden er documenten gebruikt die via bekende lekken in Word malware installeerden.

Als de systeembeheerders van de banken de updates voor deze lekken hadden geïnstalleerd, die al sinds 2012 en 2013 beschikbaar zijn, zou de aanval mislukken. Ook verstuurden de aanvallers e-mailbijlagen met exe-bestanden. In het geval deze stap succesvol was werd er vervolgens geprobeerd het wachtwoord van een gebruiker met beheerdersrechten te stelen. De volgende stap bestond uit het krijgen van toegang tot een server.

Via de server werd het wachtwoord van de domeinbeheerder gecompromitteerd. Hierna werden alle actieve domeinaccounts overgenomen en monitoren de aanvallers het e-mailverkeer. De volgende stap in de aanval bestond uit het compromitteren van de beheerderwerkstations van de banksysteembeheerders. Op deze systemen werd opnamesoftware geïnstalleerd om de werkwijze van deze werknemers op te nemen. Als laatste werden er wijzigingen in de firewallconfiguratie gemaakt. Of de bende de werkwijze later heeft aangepast of andere tactieken toepaste zal pas duidelijk worden als het rapport van Kaspersky online staat. maar volgens Fox-IT zijn Carnabak en Anunak dezelfde groep.

Schade

Het onderzoek van de twee beveiligingsbedrijven wees verder uit dat de criminelen toegang tot geldautomaten hadden en die op afstand met malware konden infecteren om op latere momenten "gratis" geld op te nemen. De groep had toegang tot 50 Russische banken, vijf betaalsystemen en zestien bedrijven. De schade bedroeg volgens de onderzoekers 14 miljoen dollar. De aanvallen zouden in de december op het moment van de publicatie nog steeds gaande zijn.

In een update stelt Fox-IT dat het een ander bedrag heeft genoemd dan Kaspersky omdat het alleen de directe verliezen van Russische banken heeft vermeld die konden worden geverifieerd. Ook werd er in het rapport geen rekening gehouden met schade door diefstal van intellectueel eigendom en de veroorzaakte schade door downtime en herstelwerkzaamheden. Verder meldt Kaspersky Lab dat ook banken in Europa en de VS het doelwit zijn geworden, terwijl die niet in het onderzoek van Fox-IT en Group-IB voorkwamen.

Activiteiten

Na publicatie van het rapport in december zou de bende de activiteiten hebben teruggeschroefd. "De exacte reden voor deze pauze is onduidelijk, maar hij was al gaande voor ons rapport", aldus de onderzoekers. Op dit moment zou de groep niet erg actief zijn. "Maar ze kunnen op elk moment weer beginnen. Een andere mogelijkheid is dat ze al begonnen zijn en wij geen meldingen en bewijs van hun nieuwe activiteiten hebben."