'Bankaanval Swift-netwerk gelieerd aan Sony-hack'

In een onderzoek wijst het beveiligingsbedrijf BAE Systems op verschillende overeenkomsten tussen de internetaanval op twee banken en de aanval op Sony in november 2014. De aanvallen zijn mogelijk door dezelfde partij uitgevoerd.

Vrijdag kwam betalingsorganisatie Swift met het nieuws dat een tweede bank naast de centrale bank van Bangladesh slachtoffer was geworden van een malware-aanval, maar noemde niet welke bank. Het onderzoek van BAE Systems noemt een bank in Vietnam, het is mogelijk dat dit de tweede getroffen bank betreft. Dit is echter niet bevestigd en Reuters was niet in staat om een antwoord te krijgen van de Vietnamese overheid. Vrijdag kwamen ook berichten naar buiten dat de aanvallers nog steeds aanwezig zijn in het netwerk van de centrale bank van Bangladesh, zo zou blijken uit onderzoek. Het zou gaan om drie groepen, waarvan één 'nation-state actor', bericht Reuters.

BAE Systems laat tegenover het persbureau weten dat zijn onderzoek is gericht op het verkrijgen van technisch bewijs en niet op het vaststellen van de identiteit van de aanvallers. Toch wijst het bedrijf in zijn bericht op een aantal opvallende overeenkomsten met de Sony-hack. Zo trok de opmerkelijke functionaliteit voor het verwijderen van bestanden als eerste de aandacht van de onderzoekers. Door het genereren van digitale handtekeningen van het bestand waren zij in staat om deze te vergelijken met items uit een grote malwaredatabase.

Uit deze vergelijking bleek dat het bestand in kwestie, msoutc.exe, eerder door een gebruiker in de VS naar de database was geüpload, namelijk op 24 oktober 2014. Dit is een maand voordat de hack op Sony bekend werd. Het bestand maakt een wederzijdse uitsluiting, oftwewel mutex, aan om na te gaan of de malware al aanwezig is op het systeem. Ook installeert het zich als een proces met de naam 'Indexing Manager'. Daarnaast houdt het logbestanden bij, die versleuteld zijn met een bepaalde sleutel.

De gevonden mutex kwam in combinatie met dezelfde encryptiesleutel voor in een analyse van PwC in 2015. Beide overeenkomsten zijn ook beschreven in een waarschuwing van het US-CERT van eind 2014, waarin het een tool beschrijft die is ingezet bij de hack op een 'groot entertainmentbedrijf'. Daarmee wordt hoogstwaarschijnlijk de Sony-hack bedoeld. Nadere details over de tool kwamen aan het licht in februari 2016, zo schrijft BAE Systems. Een belangrijke overeenkomst tussen de aanvallen op de banken en op Sony is ook dat de manier om bestanden te verwijderen ongewoon is, doordat een bestand eerst verplaatst en hernoemd wordt, voordat verwijdering plaatsvindt, vermoedelijk om herstel te bemoeilijken.

Andere overeenkomsten tussen de aanval op de banken en die op Sony zijn spelfouten, zoals 'Mozillar' in plaats van 'Mozilla' bij de Sony-aanval. Uit de beschrijving van BAE Systems lijkt het er niet op dat dezelfde spelfouten bij de verschillende hacks zijn vastgesteld, maar dat de bij elke hack gebruikte software verschillende spelfouten bevatte. Een andere overeenkomst is dat de software in alle gevallen in de Visual C++ 6.0-omgeving geschreven lijkt te zijn. BAE Systems geeft zelf al aan dat ook de mogelijkheid bestaat dat verschillende partijen dezelfde software hebben gebruikt, maar dat dit niet voor de hand ligt, omdat de code niet publiek beschikbaar is en niet voorkomt in andere software.

De hack op Sony werd door de VS toegeschreven aan Noord-Korea. Dat land ontkende echter elke betrokkenheid.