Ongeveer honderd banken en financiële instellingen zijn gedurende een periode van twee jaar door cybercriminelen gehackt en beroofd omdat ze beveiligingsupdates voor Microsoft Word niet hadden geïnstalleerd. Dat blijkt uit een vandaag verschenen rapport van het Russische anti-virusbedrijf Kaspersky Lab, dat de bende cybercriminelen de naam Carnabak gaf. Het gaat hier om dezelfde bende die eind vorig jaar al door het Nederlandse Fox-IT en het Russische Group-IB werd ontmaskerd.

Dit weekend kwam de New York Times al met een bericht over de bende. Daarin werd gesteld dat ook Nederlandse banken het doelwit waren geweest. Iets wat later door zowel de Nederlandse banken als Kaspersky Lab werd ontkend. In een oude versie van het rapport, die onder Computer Emergency Reponse Teams (CERTs) was verspreid, stond Nederland wel vermeld. Het ging hier echter om een false positive.

Hoewel de New York Times van Kaspersky een nieuwer rapport had ontvangen waarin Nederland niet meer stond, gebruikte het toch de informatie uit het oude rapport, zo zegt Jornt van der Wiel, analist bij Kaspersky Lab, tegen Security.NL. Een ander detail dat verkeerd in de media werd belicht is het gebruik van opnamesoftware. De bende monitorde geen beveiligingscamera's binnen de aangevallen banken, maar maakte via software opnamen van de desktop. Dit gaf inzicht in de werkwijze en processen binnen de banken.

Word-documenten

Het nu online verschenen rapport laat ook zien hoe de aanvallers te werk gingen. Die stuurden bankmedewerkers e-mails met Word-documenten en in sommige gevallen ook RAR-bestanden met daarin CPL-bestanden. Er werden echter voornamelijk Word-documenten gebruikt, aldus Van der Wiel. De documenten maakten misbruik van lekken die in 2012, 2013 en 2014 al door Microsoft waren gepatcht. Patches die op de aangevallen systemen ontbraken. Er was bij deze operatie geen sprake van zero day-kwetsbaarheden. Het advies dat zowel aan consumenten als bedrijven wordt gegeven, namelijk het tijdig installeren van beveiligingsupdates, was niet door de banken opgevolgd.

Zodra bankmedewerkers met een kwetsbare versie van Microsoft Office de documenten van de aanvallers openden werd er malware op het systeem geïnstalleerd. In sommige gevallen werden er ook RAR-bestanden gebruikt, met daarin een CPL-bestand. CPL (Control Panel)-bestanden worden voor het Configuratiebescherm gebruikt. De programma's in het Configuratiescherm, zoals 'Systeem', 'Printers' en 'Programma's en onderdelen', zijn allemaal CPL-bestanden. Ze zijn echter ook als malware te gebruiken. Verder zegt Kaspersky Lab dat er mogelijk ook sporen van klassieke drive-by download-aanvallen zijn aangetroffen, waarbij bankpersoneel bij het bezoeken van een website besmet raakte, maar dit is nog niet bevestigd.

Ammyy Remote Administration Tool

Zodra de aanvallers toegang tot het systeem hadden werd aanvullende software geïnstalleerd, zoals de Ammyy Remote Administration Tool. Waarschijnlijk gebruikten de aanvallers deze tool omdat die in veel omgevingen op een whitelist staat. Ammyy geeft beheerders namelijk op afstand toegang tot de computer. Vervolgens probeerden de aanvallers de inloggegevens van de systeembeheerder te stelen. Hiervoor werden er vanaf de besmette computers interne e-mails met wederom besmette Word-bestanden verstuurd. Op deze manier konden ook andere systemen in het netwerk worden geïnfecteerd.

Sporttas

Uiteindelijk kregen de aanvallers toegang tot de transactiesystemen en maakten het geld over naar andere rekeningen of lieten die via besmette geldautomaten opnemen. De onderzoekers hebben één opname waarbij er te zien is hoe iemand 's nachts met een sporttas naar de pinautomaten van een bank gaat. Precies om 3:00 uur spuwen de automaten de biljetten uit, die door de man in de sporttas worden gestopt en meegenomen.

Schadebedrag

De schade van de operatie is lastig vast te stellen. Hoewel er in de media bedragen van 1 miljard dollar worden genoemd, is dit bedrag niet bevestigd. Kaspersky gebruikte een rekenmethode waarbij er een schadebedrag van 10 miljoen dollar per bank, wordt gehanteerd, ook al is dit bedrag niet bij alle banken gestolen. Zo wordt er in het rapport maar één slachtoffer genoemd dat 10 miljoen dollar verloor en een tweede bank waar 7,3 miljoen dollar werd weggesluisd.

Toch vermenigvuldigde Kaspersky het bedrag van 10 miljoen dollar met 30 getroffen banken. Daarnaast zouden er ook nog zo'n 30 banken zijn die geen aangifte deden en zou de politie ook nog van zo'n 30 getroffen banken weten. Voor al deze banken, waarvan de meesten zich in Rusland bevinden, werd de 10 miljoen dollar gehanteerd, wat uiteindelijk een onbevestigd bedrag van zo'n 900 miljoen dollar oplevert. De werkelijke schade ligt waarschijnlijk rond de 300 miljoen dollar of misschien zelfs wel veel lager, merkt Van der Wiel op. Ook Kaspersky houdt in het rapport een slag om de hand.

Wat wel vaststaat is dat de cybercriminelen konden toeslaan omdat de banken de basisregels voor veilig internet niet volgden, namelijk het installeren van beveiligingsupdates en niet openen van ongevraagde bijlagen. Twee van de gehackte Russische banken zouden vanwege de slechte beveiliging hun banklicentie zijn verloren. Volgens Kaspersky zijn de aanvallers nog steeds actief.