Abo
  • IT-Karriere:

Neuer Angriff auf SWIFT-Netzwerk: Angreifer nutzen manipulierten PDF-Reader

Eine Bank setzte zur Überprüfung von Transaktionen offenbar keine Hashwerte der einzelnen Vorgänge ein - sondern nimmt eine Sichtprüfung von PDFs vor. So konnten Angreifer ihre gefälschten Transaktionen verstecken.

Artikel veröffentlicht am ,
Ein Swift-Rechenzentrum in Diessenhofen
Ein Swift-Rechenzentrum in Diessenhofen (Bild: Kecko/CC-BY 2.0)

Nach dem großangelegten Hack der Zentralbank von Bangladesch haben Angreifer jetzt offenbar erneut Zugang zum internationalen Zahlungsnetzwerk SWIFT bekommen. SWIFT selbst bestätigt, dass dieses Mal eine "kommerzielle Bank" aus Vietnam angegriffen wurde. Der Name der Bank ist bislang nicht bekannt, auch über die Schadenssumme gibt es keine Informationen. Die Angriffe sollen im vergangenen Monat stattgefunden haben.

Stellenmarkt
  1. schröter managed services GmbH, Krefeld
  2. terranets bw GmbH, Lindorf bei Wendlingen/Kirchheim

Anders als im Fall der Zentralbank von Bangladesch soll der Angriff dieses Mal nicht auf trivial zu überwindende Sicherheitsmaßnahmen zurückzuführen sein. In der Zentralbank wurden Berichten zufolge gebrauchte Router im Wert von rund 10 US-Dollar eingesetzt, die keine professionelle Administration und Abschottung des Netzes ermöglichten.

Angreifer konnten valide SWIFT-Aufträge erteilen

In einem Dokument schreibt SWIFT, dass sich Angreifer nach einem erfolgreichen Hack der Bank Zugriff auf valide Zugänge zu dem SWIFT-Netzwerk verschaffen konnten. Mit diesen Zugängen seien sie dann in der Lage gewesen, Nachrichten über Zahlungsaufträge "zu erstellen, zu bestätigen und zu übermitteln". Diese Nachrichten sollen von PCs und Laptops innerhalb des Backoffices der betroffenen Bank verschickt worden sein. Ob die Täter sich physisch in den Räumen aufgehalten haben oder Rechner fernsteuerten, ist derzeit unklar.

Die Kriminellen sollen in einem weiteren Schritt erneut eine Malware eingesetzt haben, um die eigenen Spuren zu verwischen. Ein PDF-Programm wurde manipuliert, um die von den Angreifern getätigten Überweisungen zu verstecken. Offenbar setzte die Bank zur Überprüfung der SWIFT-Transaktionen auf eine manuelle Sichtprüfung der generierten PDFs und von Ausdrucken und legt die Überweisungen nicht mit einem automatisch generierten Hashwert in einer Datenbank ab. In diesem Fall könnte eine Manipulation der einzelnen Nachrichten automatisch erkannt werden.

Sicherheitsforscher von BAE-Systems weisen darauf hin, dass die Malware zahlreiche Ähnlichkeiten mit früheren Angriffen aufweist. So seien Mechanismen zum Verstecken der Dateien ähnlich. Die Malware mit dem Dateinamen msoutc.exe könne vom Command-und-Control-Server die Anweisung erhalten, sich selbst stillzulegen und vom System zu entfernen, um eine Erkennung zu verhindern. Um die Ähnlichkeit zu demonstrieren, zeigen die Forscher, dass der Bytecode größtenteils identisch ist. Nur an den Stellen, wo eine API Funktionen steuert, gibt es Unterschiede.

Code in Visual C++ entwickelt

Außerdem wäre die Malware in verschiedenen Angriffen auf SWIFT jeweils in Visual C++ 6.0 entwickelt worden. Genau diese Charakteristika würden außerdem auf die Gruppe zutreffen, die auch für den Sony-Hack verantwortlich war. Es gebe also Hinweise darauf, dass diese Angriffe aus den vergangenen Jahren gleichen Ursprungs seien, schreiben die Forscher.

SWIFT will mit einer erneuten Mitteilung an die Banken reagieren. "Als dringende Maßnahme empfehlen wir allen Kunden erneut, die Kontrollmechanismen in ihren Zahlungsumgebungen zu überprüfen", heißt es in einem Schreiben an alle Kunden.



Anzeige
Top-Angebote
  1. 799,90€
  2. (u. a. Guild Wars 2 - Path of Fire 15,99€, PUBG Survivor Pass 3 6,99€, Die Sims 4 10,99€)
  3. (aktuell u. a. NZXT H500 Overwatch Special Edition Gehhäuse 129,90€, NZXT RGB Kit 79,90€)
  4. (Monitore ab 147,99€ und Laptops ab 279,00€)

Apfelbrot 15. Mai 2016

Ne du hast nichts gelesen oder nichts kapiert. Aber is schon klar, die Banken werden...


Folgen Sie uns
       


Besuch im Testturm Rottweil von Thyssen-Krupp - Bericht

Thyssen-Krupp testet in Baden-Württemberg in einen Turm einen revolutionären Aufzug, der ohne Seile auskommt.

Besuch im Testturm Rottweil von Thyssen-Krupp - Bericht Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Urheberrechtsreform: Was das Internet nicht vergessen sollte
Urheberrechtsreform
Was das Internet nicht vergessen sollte

Die Reform des europäischen Urheberrechts ist eine Niederlage für viele Netzaktivisten. Zwar sind die Folgen der Richtlinie derzeit kaum absehbar. Doch es sollten die richtigen Lehren aus der jahrelangen Debatte mit den Internetgegnern gezogen werden.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht VG Media will Milliarden von Google
  2. Urheberrecht Uploadfilter und Leistungsschutzrecht endgültig beschlossen
  3. Urheberrecht Merkel bekräftigt Zustimmung zu Uploadfiltern

Online-Banking: In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit
Online-Banking
In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit

Zum 14. September 2019 wird ein wichtiger Teil der Zahlungsdiensterichtlinie 2 für die meisten Girokonto-Kunden mit Online-Zugang umgesetzt. Die meist als indizierte TAN-Liste ausgegebenen Transaktionsnummern können dann nicht mehr genutzt werden.
Von Andreas Sebayang

  1. Banking-App Comdirect empfiehlt, Sicherheitswarnung zu ignorieren

    •  /