Der Hackerangriff auf die Zentralbank von Bangladesch hat hohe Wellen geschlagen. Cyberkriminellen ist es Anfang Februar gelungen, 81 Millionen Dollar zu erbeuten. Die Transfers sind von den Konten der Bangladesh Bank über eine amerikanische Bank auf Konten in den Philippinen durchgeführt worden. Erste Erkenntnisse zeigen, dass offenbar zwei Faktoren entscheidend mitgespielt haben: Hoch entwickelte Malware, um die Client-Software der Bangladesh Bank zu kompromittieren, und schlecht gesicherte Systeme der Bank.
Wie Reuters meldet, hat SWIFT umgehend Gegenmassnahmen ergriffen und eine entsprechende Warnung an Kunden herausgegeben.
Analyse von BAE Systems grenzt Ursachen ein
Nach Erkenntnissen von Sicherheitsexperten des britischen Rüstungskonzerns BAE Systems, ist der Angriff offenbar auf Ebene der Bank über gestohlene Login-Daten und im Zusammenhang mit der SWIFT-Software Alliance Access und einer Oracle-Datenbank erfolgt. Über Manipulationen via Admin-Zugang und Missbrauch kompromittierter Software ist es den Hackern gelungen, Transfers zu initiieren, zu verschleiern und Spuren zu verwischen.
Die detaillierte Analyse von BAE Systems ist nicht abschliessend und kann nicht sämtliche Fragen beantworten. Dennoch, sie ist sehr aufschlussreich. Und sie zeigt, dass Täter am Werk waren, die mit Detailkenntnissen und hohem Sachverstand Software und Systeme der Bangladesh Bank manipuliert haben. Die eingeschleuste Malware ist aufgrund der Analyse von BAE Systems "nach Mass" für die kompromittierte Software und Umgebung entwickelt worden. Als Teil eines Angriffs-Toolkits, das Transfers initiiert und Manipulationen verschleiert – bis hin zu Anweisungen an den Drucker, der "frisierte" Bestätigungen ausgibt, damit betrügerische Transaktionen nicht rechtzeitig erkannt und gestoppt werden können. Dass die Malware als "hoch konfigurierbar" eingestuft wird, kann als Indiz dafür gewertet werten, dass die Cyberkriminellen weitere Attacken mit denselben Instrumenten planen.
Wie Reuters berichtet hat SWIFT ein zwingendes Sicherheitsupdate für die Software herausgegeben, um die eingesetzte Malware zu neutralisieren. Malware und Attacke auf die Bangladesh Bank haben nach Informationen von SWIFT keine Auswirkungen auf das Netzwerk und die Services von SWIFT, zumal die lokal manipulierte Software Alliance Access nur von wenigen Instituten eingesetzt würde.
Vermehrt Banken im Visier
Shane Shook, ein amerikanischer Sicherheitsberater im Bereich Finanzkriminalität, bestätigt im Gespräch mit Reuters die Tendenz, dass vermehrt Finanzinstitute von Cyberkriminellen als Angriffsziel ausgewählt würden. Aus naheliegenden Gründen: Die "grossen" Ziele führen im Erfolgsfall zu ungleich höheren Summen und sind für Hacker lohnender als Konsumenten oder Kleinunternehmen zu bestehlen.
Auch SWIFT-Sprecherin Natasha Deteran hat gegenüber Reuters auf die Gemeinsamkeiten der bekannten Fälle hingewiesen: Interne oder externe Angreifer würden sich auf die Systeme der Bankumgebung konzentrieren, um sich Administratoren-Zugänge zu verschaffen und Malware einzuschleusen. Gelingt das, öffnen sich Tür und Tor für Manipulationen.
Reuters: "SWIFT warns customers of multiple cyber fraud cases"
BAE Systems: Detailierte Analyse des Vorfalls und der eingesetzten Malware