Koreaanse banken gehackt via zero-days in anti-virus en VM
De afgelopen jaren zijn Zuid-Koreaanse banken het doelwit van verschillende gerichte aanvallen geworden, waarbij de aanvallers ook zero-days in anti-virussoftware en virtual machinesoftware gebruikten om de banknetwerken te compromitteren. Dat hebben medewerkers van het Koreaanse Financial Security Institute tijdens de Black Hat Asia beveiligingsconferentie laten weten (pdf).
Een zero-day is een kwetsbaarheid die onbekend is bij de leverancier en actief wordt aangevallen. Aangezien er voor dergelijke beveiligingslekken nog geen veiligheidsupdate beschikbaar is, is de kans dat dergelijke aanvallen slagen veel groter. Vorig jaar maart werd één van de grootste Zuid-Koreaanse banken het doelwit van een dergelijke aanval. De aanval begon met meerdere spear-phishingmails die naar bankmedewerkers werden verstuurd.
De phishingmails kwamen binnen op een virtual machine die bankmedewerkers alleen gebruiken om toegang tot internet te krijgen en die geen toegang tot het interne netwerk heeft. De aanvallers hadden echter een zero-day in de virtual machinesoftware gevonden om toch toegang tot de host-computer te krijgen waarmee het interne netwerk kan worden benaderd.
De virtual machinesoftware beschikte over een functionaliteit om bestanden tussen de host-computer en het gast-systemen te delen. Volgens de fabrikant was deze functie standaard uitgeschakeld, maar die bleek alleen verborgen te zijn. Zodoende konden de aanvallers toch toegang tot de host-computer krijgen. De aanvallers wisten op deze manier twee bankcomputers te infecteren. De aanval werd echter snel gedetecteerd, waardoor er geen grote schade kon worden aangericht.
Anti-virus
De tweede gerichte aanval die de onderzoekers noemden vond plaats in 2015. Hierbij werd er gebruik gemaakt van een zero-day in de anti-virusserver van de bank en een misconfiguratie tussen de geldautomaten en updateserver van de bank. Via de gehackte anti-virusserver werd er toegang tot de updateserver verkregen en wisten de aanvallers meer dan 60 geldautomaten te infecteren. De aanval bleef tot maart 2017 onopgemerkt. In de tussentijd waren de gegevens van 230.000 unieke betaalkaarten buitgemaakt.
Naast de aangevallen banken beschrijven de onderzoekers ook verschillende aanvallen tegen bitcoinbeurzen en een Egyptische bank. De aanvallen zouden door zogeheten "nation state actors" zijn uitgevoerd. "In veel gevallen hebben de aanvallers uitgebreide kennis van het gecompromitteerde systeem, de netwerkomgeving en hun doelwitten. Ze passen hun tools aan en ontwikkelen zero-days voor hun doelwitten", aldus de onderzoekers in hun conclusie, die verder opmerken dat de aanvallers hun doelwitten uitgebreid bestuderen.
Ik mag aannemen dat het iets professioneler dan VirtualBox was omdat de andere vm de Swift connectie draaide. Ik snap niet dat de Swift connectie op een VM wordt gedraaid, en niet op eigen hardware (misschien zelfs los van het netwerk!).
Xendesktop met Citrix VDI (dus Xen) of VMware. De andere kandidaten vallen af.
(ik ben anoniem 9:42).
kwestie van een cd image uploaden naar het SAN vanuit zo'n Vmware host, koppelen aan een VM, reboot, passwordcrack, screendump, reboot... mogelijk herkent een monitoring systeem 5 minuutjes downtime, maar niet als je gedurende deze actie een andere vm opent die dat ipadres heeft.
daarna de guest-VM van een extra netwerkkaart voorzien in een Vlan dat de hacker zelf aanmaakt op de host, en alle andere VM's op die host deze ook aansmeren met een dhcp-host erbij, waardoor alles een ip krijgt.
vandaaruit spring je over, hack je de rest, en verwijder je alles weer, behalve dat dan alle VM's gehacked zijn, waarna het een hoop werk is om lateraal over te stappen naar de rest van alle VM's.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.