image

Aanvallers stelen 1 miljoen dollar van bank via gehackte router

vrijdag 20 juli 2018, 09:56 door Redactie, 1 reacties

Aanvallers hebben via een gehackte router ongeveer 1 miljoen dollar van de Russische PIR Bank gestolen, zo melden de Russische krant Kommersant en securitybedrijf Group-IB. De aanval op de bank begon eind mei, waarbij de aanvallers via een gecompromitteerde router wisten binnen te komen.

Hoe de router precies werd gehackt laat Group-IB niet weten. Wel beschikte de router over tunnels waarmee de aanvallers directe toegang tot het lokale netwerk van de bank hadden. Op deze manier kregen ze ook toegang tot een systeem dat Russische banken gebruiken om onderling transacties uit te voeren, vergelijkbaar met het internationale Swift-systeem.

In totaal werd er omgerekend zo'n 1 miljoen dollar naar 17 rekeningen van grote Russische banken overgemaakt en door katvangers opgenomen. Bankmedewerkers ontdekten op 4 juli de transacties en vroegen de toezichthouder om de digitale sleutels van het transactiesysteem te blokkeren, maar het lukte niet om de al uitgevoerde transacties te stoppen.

Op hetzelfde moment probeerden aanvallers hun sporen in het systeem te verbergen. Zo werden allerlei logbestanden opgeschoond, wat het onderzoek moest hinderen. Ook lieten ze "reverse shells" op systemen achter, zodat ze op een later moment weer toegang tot het banknetwerk konden krijgen. Deze reverse shells werden echter ontdekt en verwijderd.

Volgens Group-IB, dat onderzoek bij de PIR Bank deed, hebben de aanvallers eerder soortgelijke aanvallen op andere banken uitgevoerd. In de meeste gevallen wisten de aanvallers via routers binnen te komen. Financiële instellingen krijgen dan ook het advies om te controleren dat de router-firmware up-to-date is. Daarnaast moeten systemen worden getest om te kijken of ze kwetsbaar voor bruteforce-aanvallen zijn en moeten aanpassingen in de routerconfiguratie tijdig worden opgemerkt.

Reacties (1)
20-07-2018, 22:30 door Anoniem
Gecompromiteerd betekent in dit geval dus een router die NA installatie overgenomen werd.
Dat houdt in dat de bank wel boel-veel foutjes heeft gemaakt.

#1 Hardware dat zonder controle in het netwerk hangt
#2 Configuratie aanpassingen aan running config niet opgemerkt worden
#3 grote transacties niet opgemerkt worden naar mensen die duidelijk niet over dat geld beschikken.

Ik denk dat de meeste banken waar ik voor gewerkt heb banger moeten zijn voor NSA firmware in hun systemen dan russische scriptkiddies.
Want de VS kan nooit iets fouts doen en zelfs als het hun in de neus bijt doet niemand iets....
Wikileaks en Snowden kunnen net zo goed opdoeken... Of moeten het gaan brengen zoals John...

https://youtu.be/XEVlyP4_11M
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.