Abo
  • Services:
Anzeige
Das Hauptgebäude der Zentralbank
Das Hauptgebäude der Zentralbank (Bild: Ashikur Rahman/Reuters)

Angriff auf Zentralbank: Billigrouter und Malware führen zu Millionenverlust

Das Hauptgebäude der Zentralbank
Das Hauptgebäude der Zentralbank (Bild: Ashikur Rahman/Reuters)

Man sollte meinen, dass die Zentralbank eines Landes über eine Firewall verfügt. In Bangladesch war das offenbar nicht der Fall. So konnten Angreifer mit spezialisierter Malware fast 1 Milliarde US-Dollar überweisen - und scheiterten dann an einem Fehler.

Kriminelle haben im vergangenen Monat 81 Millionen US-Dollar von der Zentralbank in Bangladesch erbeutet. Sicherheitsforscher dokumentieren jetzt, wie die Bande vorgegangen ist. Die Hauptschuld soll bei der Bank selbst liegen, aber auch der internationale Bankendienstleister Swift bessert seine Software nach, wie Reuters berichtet.

Anzeige

Es klingt nach dem Bankraub des Jahrhunderts. Im vergangenen Monat haben Hacker illegal rund eine Milliarde US-Dollar von Konten der Zentralbank in Bangladesch auf ausländische Konten transferiert. Weil sie dabei einen Rechtschreibfehler machten, flog der Hack auf und ein Großteil der Gelder konnte zurückgeholt werden. Derzeit sprechen die Behörden aber immer noch von einem Verlust von rund 80 Millionen Euro.

Keine Firewalls

Die Bank machte es den Angreifern nicht besonders schwer: Die Systeme sollen nicht mit einer Firewall geschützt worden sein. Außerdem verwendete die Bank billige Netzwerk-Switches, die nicht für den Betrieb in professionellen Umgebungen vorgesehen sind. Aus diesem Grund war auch das schlecht geschützte Netzwerk der Bank nicht von dem Swift-Netzwerk getrennt.

Swift ist ein in Belgien beheimateter internationaler Dienstleister für internationale Zahlungsverkehre. Mehr als 11.000 Banken weltweit nutzen das System, um den Geschäftsverkehr untereinander zu regeln. Die Systeme von Swift sind bei den Banken in der Regel in einem eigenen Swift-Raum untergebracht.

Die Angreifer sollen nach Informationen der Sicherheitsfirma BAE-Systems eine Malware in das Netzwerk der Zentralbank eingeschleust haben, die sowohl Zugriff auf die Swift-Transaktionen als auch auf den normalen Geschäftsverkehr der Bank hatte. Wie genau die Malware eingebracht wurde, ist noch nicht klar. Das beschriebene Netzwerk-Setup dürfte erfahrene Angreifer aber kaum vor größere Probleme gestellt haben.

Trojaner sucht nach Zugangsdaten und Transaktionen

Nach der Installation begann der Trojaner, die Systeme zu überwachen. Dabei wird in einer SQL-Datenbank gezielt nach den notwendigen Informationen gesucht. Es wird ermittelt, wie viel Guthaben bei der Bank gerade für Transaktionen verfügbar ist. Außerdem schneidet der Trojaner Zugangsdaten für den internationalen Zahlungsverkehr mit. Ungeklärt ist bislang, wie genau die gefälschten Transaktionen ausgelöst wurden.

Um die Angriffe zu verstecken, manipuliert der Trojaner die lokalen Dateien, nachdem die Transaktion durchgeführt wurde. Als zusätzliche Sicherheit sendet das Swift-Netzwerk jedoch noch Dateien an einen lokalen Drucker. Auch hier werden die Informationen durch den Drucker abgefangen und eine manipulierte, unverdächtige Version wird an den Drucker gesendet.

Auch der Drucker wird manipuliert

Das geschieht über das Tool nroff.exe, das Teil der Swift-Software-Suite ist. Offenbar waren die Banker erst auf die Angriffe aufmerksam geworden, nachdem ein Angestellter einen Rechtschreibfehler in einem der gefälschten Bescheide entdeckt hatte - und daraufhin eine größere Überprüfung der letzten Transaktionen veranlasste.

Swift hat auf die Enthüllungen mit einem Software-Update reagiert, wobei nicht klar ist, was genau gepatcht wird. Tatsächlich dürfte in diesem Fall vor allem die mangelnde Abschottung der Netzwerke zu dem Einbruch geführt haben. Das Update soll den Kunden aber "helfen, ihre Sicherheit zu verbessern und Auffälligkeiten in ihren lokalen Datenbanken zu finden", wie Natasha Deteran von der Organisation Reuters sagte.


eye home zur Startseite
Mithrandir 26. Apr 2016

Hört, hört, der Herr erhebt den Zeigefinger. Na sieh' mal einer guck. Ich hätte es...

tingelchen 26. Apr 2016

Ich schlage vor du schaust noch einmal nach was ein VLAN ist :) Wie schon erwähnt hat das...

serra.avatar 26. Apr 2016

95% knicken nach der ersten Kniescheibe ein ;p ...

User_x 26. Apr 2016

dass man in ein netzwerk einbrechen kann etc. alles verständlich, aber kann es nicht ein...

Pjörn 26. Apr 2016

Wenn da nicht dieser blöde Finanzmarktstabilisierungsfonds ( schön mit etwas Kotze...



Anzeige

Stellenmarkt
  1. Pilz GmbH & Co. KG, Ostfildern bei Stuttgart
  2. LogPay Financial Services GmbH, Eschborn
  3. INTENSE AG, Würzburg, Köln (Home-Office)
  4. Comline AG, Dortmund


Anzeige
Spiele-Angebote
  1. 9,99€
  2. 199,99€ - Release 13.10.
  3. (u. a. Far Cry Primal Digital Apex Edition 22,99€, Total War: WARHAMMER 16,99€ und Total War...

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

  1. Re: Interessant [...] ist immer die Kapazität des...

    nightmar17 | 01:36

  2. Re: Das heißt H2/2018 gibt es Ryzen dann mit 4,4 Ghz

    ELKINATOR | 01:35

  3. Re: Kann von Tuxedo nur abraten

    BLi8819 | 01:32

  4. Re: Der starke Kleber

    ArcherV | 01:31

  5. Re: Wozu?

    plutoniumsulfat | 01:25


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel