De afgelopen jaren zijn Zuid-Koreaanse banken het doelwit van verschillende gerichte aanvallen geworden, waarbij de aanvallers ook zero-days in anti-virussoftware en virtual machinesoftware gebruikten om de banknetwerken te compromitteren. Dat hebben medewerkers van het Koreaanse Financial Security Institute tijdens de Black Hat Asia beveiligingsconferentie laten weten (pdf).
Een zero-day is een kwetsbaarheid die onbekend is bij de leverancier en actief wordt aangevallen. Aangezien er voor dergelijke beveiligingslekken nog geen veiligheidsupdate beschikbaar is, is de kans dat dergelijke aanvallen slagen veel groter. Vorig jaar maart werd één van de grootste Zuid-Koreaanse banken het doelwit van een dergelijke aanval. De aanval begon met meerdere spear-phishingmails die naar bankmedewerkers werden verstuurd.
De phishingmails kwamen binnen op een virtual machine die bankmedewerkers alleen gebruiken om toegang tot internet te krijgen en die geen toegang tot het interne netwerk heeft. De aanvallers hadden echter een zero-day in de virtual machinesoftware gevonden om toch toegang tot de host-computer te krijgen waarmee het interne netwerk kan worden benaderd.
De virtual machinesoftware beschikte over een functionaliteit om bestanden tussen de host-computer en het gast-systemen te delen. Volgens de fabrikant was deze functie standaard uitgeschakeld, maar die bleek alleen verborgen te zijn. Zodoende konden de aanvallers toch toegang tot de host-computer krijgen. De aanvallers wisten op deze manier twee bankcomputers te infecteren. De aanval werd echter snel gedetecteerd, waardoor er geen grote schade kon worden aangericht.
De tweede gerichte aanval die de onderzoekers noemden vond plaats in 2015. Hierbij werd er gebruik gemaakt van een zero-day in de anti-virusserver van de bank en een misconfiguratie tussen de geldautomaten en updateserver van de bank. Via de gehackte anti-virusserver werd er toegang tot de updateserver verkregen en wisten de aanvallers meer dan 60 geldautomaten te infecteren. De aanval bleef tot maart 2017 onopgemerkt. In de tussentijd waren de gegevens van 230.000 unieke betaalkaarten buitgemaakt.
Naast de aangevallen banken beschrijven de onderzoekers ook verschillende aanvallen tegen bitcoinbeurzen en een Egyptische bank. De aanvallen zouden door zogeheten "nation state actors" zijn uitgevoerd. "In veel gevallen hebben de aanvallers uitgebreide kennis van het gecompromitteerde systeem, de netwerkomgeving en hun doelwitten. Ze passen hun tools aan en ontwikkelen zero-days voor hun doelwitten", aldus de onderzoekers in hun conclusie, die verder opmerken dat de aanvallers hun doelwitten uitgebreid bestuderen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Google heeft de afgelopen twee jaar van meer dan 110 miljoen mensen het wachtwoord van het Google-account gereset omdat het om ...
In 2013 blogde je over de vraag: Mag een cliënt de thuiszorg met een webcam filmen? Toen was een eenduidig antwoord met ja of ...
dag, google chrome heb ik niet geinstalleerd vanwege de afstand die ik wil bewaren tot google. ik gebruik firefox. maar chrome ...
Beste Security vrienden, Ik zit met een dilemma die mij al een aantal jaren bezig houd. Ik heb mijzelf al meerden malen ...
Wanneer is het hebben van een Remote Access Tool (RAT) nu strafbaar? Wij gebruiken dit in de organisatie voor intern beheer op ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.