Abo
  • Services:
Anzeige
Ein Swift-Rechenzentrum in Diessenhofen
Ein Swift-Rechenzentrum in Diessenhofen (Bild: Kecko/CC-BY 2.0)

Neuer Angriff auf SWIFT-Netzwerk: Angreifer nutzen manipulierten PDF-Reader

Ein Swift-Rechenzentrum in Diessenhofen
Ein Swift-Rechenzentrum in Diessenhofen (Bild: Kecko/CC-BY 2.0)

Eine Bank setzte zur Überprüfung von Transaktionen offenbar keine Hashwerte der einzelnen Vorgänge ein - sondern nimmt eine Sichtprüfung von PDFs vor. So konnten Angreifer ihre gefälschten Transaktionen verstecken.

Nach dem großangelegten Hack der Zentralbank von Bangladesch haben Angreifer jetzt offenbar erneut Zugang zum internationalen Zahlungsnetzwerk SWIFT bekommen. SWIFT selbst bestätigt, dass dieses Mal eine "kommerzielle Bank" aus Vietnam angegriffen wurde. Der Name der Bank ist bislang nicht bekannt, auch über die Schadenssumme gibt es keine Informationen. Die Angriffe sollen im vergangenen Monat stattgefunden haben.

Anzeige

Anders als im Fall der Zentralbank von Bangladesch soll der Angriff dieses Mal nicht auf trivial zu überwindende Sicherheitsmaßnahmen zurückzuführen sein. In der Zentralbank wurden Berichten zufolge gebrauchte Router im Wert von rund 10 US-Dollar eingesetzt, die keine professionelle Administration und Abschottung des Netzes ermöglichten.

Angreifer konnten valide SWIFT-Aufträge erteilen

In einem Dokument schreibt SWIFT, dass sich Angreifer nach einem erfolgreichen Hack der Bank Zugriff auf valide Zugänge zu dem SWIFT-Netzwerk verschaffen konnten. Mit diesen Zugängen seien sie dann in der Lage gewesen, Nachrichten über Zahlungsaufträge "zu erstellen, zu bestätigen und zu übermitteln". Diese Nachrichten sollen von PCs und Laptops innerhalb des Backoffices der betroffenen Bank verschickt worden sein. Ob die Täter sich physisch in den Räumen aufgehalten haben oder Rechner fernsteuerten, ist derzeit unklar.

Die Kriminellen sollen in einem weiteren Schritt erneut eine Malware eingesetzt haben, um die eigenen Spuren zu verwischen. Ein PDF-Programm wurde manipuliert, um die von den Angreifern getätigten Überweisungen zu verstecken. Offenbar setzte die Bank zur Überprüfung der SWIFT-Transaktionen auf eine manuelle Sichtprüfung der generierten PDFs und von Ausdrucken und legt die Überweisungen nicht mit einem automatisch generierten Hashwert in einer Datenbank ab. In diesem Fall könnte eine Manipulation der einzelnen Nachrichten automatisch erkannt werden.

Sicherheitsforscher von BAE-Systems weisen darauf hin, dass die Malware zahlreiche Ähnlichkeiten mit früheren Angriffen aufweist. So seien Mechanismen zum Verstecken der Dateien ähnlich. Die Malware mit dem Dateinamen msoutc.exe könne vom Command-und-Control-Server die Anweisung erhalten, sich selbst stillzulegen und vom System zu entfernen, um eine Erkennung zu verhindern. Um die Ähnlichkeit zu demonstrieren, zeigen die Forscher, dass der Bytecode größtenteils identisch ist. Nur an den Stellen, wo eine API Funktionen steuert, gibt es Unterschiede.

Code in Visual C++ entwickelt

Außerdem wäre die Malware in verschiedenen Angriffen auf SWIFT jeweils in Visual C++ 6.0 entwickelt worden. Genau diese Charakteristika würden außerdem auf die Gruppe zutreffen, die auch für den Sony-Hack verantwortlich war. Es gebe also Hinweise darauf, dass diese Angriffe aus den vergangenen Jahren gleichen Ursprungs seien, schreiben die Forscher.

SWIFT will mit einer erneuten Mitteilung an die Banken reagieren. "Als dringende Maßnahme empfehlen wir allen Kunden erneut, die Kontrollmechanismen in ihren Zahlungsumgebungen zu überprüfen", heißt es in einem Schreiben an alle Kunden.


eye home zur Startseite
Apfelbrot 15. Mai 2016

Ne du hast nichts gelesen oder nichts kapiert. Aber is schon klar, die Banken werden...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, verschiedene Standorte
  2. DR. JOHANNES HEIDENHAIN GmbH, Traunreut
  3. ETAS GmbH & Co. KG, Stuttgart
  4. kubus IT GbR, Dresden


Anzeige
Top-Angebote
  1. und bis zu 8 Tage früher erhalten
  2. 37,99€
  3. 11,01€ USK 18 (Versand über Amazon)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Action

    Bungie bestätigt PC-Version von Destiny 2

  2. Extremistische Inhalte

    Google hat weiter Probleme mit Werbeplatzierungen

  3. SpaceX

    Für eine Raketenstufe geht es zurück ins Weltall

  4. Ashes of the Singularity

    Patch sorgt auf Ryzen-Chips für 20 Prozent mehr Leistung

  5. Thimbleweed Park im Test

    Mord im Pixelparadies

  6. Bundesgerichtshof

    Eltern müssen bei illegalem Filesharing ihre Kinder verraten

  7. Gesetz beschlossen

    Computer dürfen das Lenkrad übernehmen

  8. Neue Bildersuche

    Fotografenvereinigung Freelens klagt gegen Google

  9. FTTB

    Unitymedia baut zwei Gemeinden mit Glasfaser aus

  10. Hashfunktion

    Der schwierige Abschied von SHA-1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
WLAN-Störerhaftung: Wie gefährlich sind die Netzsperrenpläne der Regierung?
WLAN-Störerhaftung
Wie gefährlich sind die Netzsperrenpläne der Regierung?
  1. Telia Schwedischer ISP muss Nutzerdaten herausgeben
  2. Die Woche im Video Dumme Handys, kernige Prozessoren und Zeldaaaaaaaaaa!
  3. Störerhaftung Regierung will Netzsperren statt Abmahnkosten

In eigener Sache: Golem.de sucht Marketing Manager (w/m)
In eigener Sache
Golem.de sucht Marketing Manager (w/m)
  1. In eigener Sache Golem.de geht auf Jobmessen
  2. In eigener Sache Golem.de kommt jetzt sicher ins Haus - per HTTPS
  3. In eigener Sache Unterstützung für die Schlussredaktion gesucht!

Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

  1. Re: Glückwunsch zur erfolgreichen Landung!

    Frank... | 02:20

  2. Re: Scheint so als würde denen das Geld langsam...

    ZuWortMelder | 01:48

  3. Re: Job vergeben

    plutoniumsulfat | 01:28

  4. kennt jemand ein UNI-Windows-Consolen-Hash...

    Golressy | 01:22

  5. Re: Wer seine Kinder als wahre Täter von...

    Garius | 01:21


  1. 22:53

  2. 19:00

  3. 18:40

  4. 18:20

  5. 18:00

  6. 17:08

  7. 16:49

  8. 15:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel