Abo
  • Services:
Anzeige
Ein Swift-Rechenzentrum in Diessenhofen
Ein Swift-Rechenzentrum in Diessenhofen (Bild: Kecko/CC-BY 2.0)

Neuer Angriff auf SWIFT-Netzwerk: Angreifer nutzen manipulierten PDF-Reader

Ein Swift-Rechenzentrum in Diessenhofen
Ein Swift-Rechenzentrum in Diessenhofen (Bild: Kecko/CC-BY 2.0)

Eine Bank setzte zur Überprüfung von Transaktionen offenbar keine Hashwerte der einzelnen Vorgänge ein - sondern nimmt eine Sichtprüfung von PDFs vor. So konnten Angreifer ihre gefälschten Transaktionen verstecken.

Nach dem großangelegten Hack der Zentralbank von Bangladesch haben Angreifer jetzt offenbar erneut Zugang zum internationalen Zahlungsnetzwerk SWIFT bekommen. SWIFT selbst bestätigt, dass dieses Mal eine "kommerzielle Bank" aus Vietnam angegriffen wurde. Der Name der Bank ist bislang nicht bekannt, auch über die Schadenssumme gibt es keine Informationen. Die Angriffe sollen im vergangenen Monat stattgefunden haben.

Anzeige

Anders als im Fall der Zentralbank von Bangladesch soll der Angriff dieses Mal nicht auf trivial zu überwindende Sicherheitsmaßnahmen zurückzuführen sein. In der Zentralbank wurden Berichten zufolge gebrauchte Router im Wert von rund 10 US-Dollar eingesetzt, die keine professionelle Administration und Abschottung des Netzes ermöglichten.

Angreifer konnten valide SWIFT-Aufträge erteilen

In einem Dokument schreibt SWIFT, dass sich Angreifer nach einem erfolgreichen Hack der Bank Zugriff auf valide Zugänge zu dem SWIFT-Netzwerk verschaffen konnten. Mit diesen Zugängen seien sie dann in der Lage gewesen, Nachrichten über Zahlungsaufträge "zu erstellen, zu bestätigen und zu übermitteln". Diese Nachrichten sollen von PCs und Laptops innerhalb des Backoffices der betroffenen Bank verschickt worden sein. Ob die Täter sich physisch in den Räumen aufgehalten haben oder Rechner fernsteuerten, ist derzeit unklar.

Die Kriminellen sollen in einem weiteren Schritt erneut eine Malware eingesetzt haben, um die eigenen Spuren zu verwischen. Ein PDF-Programm wurde manipuliert, um die von den Angreifern getätigten Überweisungen zu verstecken. Offenbar setzte die Bank zur Überprüfung der SWIFT-Transaktionen auf eine manuelle Sichtprüfung der generierten PDFs und von Ausdrucken und legt die Überweisungen nicht mit einem automatisch generierten Hashwert in einer Datenbank ab. In diesem Fall könnte eine Manipulation der einzelnen Nachrichten automatisch erkannt werden.

Sicherheitsforscher von BAE-Systems weisen darauf hin, dass die Malware zahlreiche Ähnlichkeiten mit früheren Angriffen aufweist. So seien Mechanismen zum Verstecken der Dateien ähnlich. Die Malware mit dem Dateinamen msoutc.exe könne vom Command-und-Control-Server die Anweisung erhalten, sich selbst stillzulegen und vom System zu entfernen, um eine Erkennung zu verhindern. Um die Ähnlichkeit zu demonstrieren, zeigen die Forscher, dass der Bytecode größtenteils identisch ist. Nur an den Stellen, wo eine API Funktionen steuert, gibt es Unterschiede.

Code in Visual C++ entwickelt

Außerdem wäre die Malware in verschiedenen Angriffen auf SWIFT jeweils in Visual C++ 6.0 entwickelt worden. Genau diese Charakteristika würden außerdem auf die Gruppe zutreffen, die auch für den Sony-Hack verantwortlich war. Es gebe also Hinweise darauf, dass diese Angriffe aus den vergangenen Jahren gleichen Ursprungs seien, schreiben die Forscher.

SWIFT will mit einer erneuten Mitteilung an die Banken reagieren. "Als dringende Maßnahme empfehlen wir allen Kunden erneut, die Kontrollmechanismen in ihren Zahlungsumgebungen zu überprüfen", heißt es in einem Schreiben an alle Kunden.


eye home zur Startseite
Apfelbrot 15. Mai 2016

Ne du hast nichts gelesen oder nichts kapiert. Aber is schon klar, die Banken werden...



Anzeige

Stellenmarkt
  1. Elektronische Fahrwerksysteme GmbH, Ingolstadt
  2. Bosch Software Innovations GmbH, Waiblingen, Berlin
  3. Robert Bosch GmbH, Leonberg
  4. Alfred Kärcher GmbH & Co. KG, Winnenden bei Stuttgart


Anzeige
Hardware-Angebote
  1. 649,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. PSX 2016

    Sony hat The Last of Us 2 angekündigt

  2. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  3. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  4. Raumfahrt

    Europa bleibt im All

  5. Nationale Sicherheit

    Obama verhindert Aixtron-Verkauf nach China

  6. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast

  7. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  8. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  9. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  10. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  2. Pornoseite Xhamster spricht von Fake-Leak
  3. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert

Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

  1. Re: Was für eine tolle NEWS: Auf das Spiel freue...

    grslbr | 02:41

  2. Re: "ein großer Betrag"

    Carlo Escobar | 02:39

  3. Re: Memristor fehlt noch

    Moe479 | 02:35

  4. Re: Port umlenken

    delphi | 02:24

  5. Re: Wegen Galiumnitrid? Sonst nichts?

    picaschaf | 02:12


  1. 00:03

  2. 15:33

  3. 14:43

  4. 13:37

  5. 11:12

  6. 09:02

  7. 18:27

  8. 18:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel