'Groep achter Sony-hack richt zich wellicht op internationale banken'

Volgens onderzoek van twee beveiligingsbedrijven richt de zogenaamde Lazarus-hackergroep zich sinds zes maanden op internationale banken. Deze groep lijkt verantwoordelijk te zijn voor de hack op de centrale bank van Bangladesh en de Sony-hack.

Zowel BAE Systems, dat de Swift-hack in Bangladesh onderzocht, als Symantec schrijft over de nieuwe reeks aanvallen. Beide zeggen dat het verband met de Lazarus-groep op dit moment nog niet volledig vaststaat, maar dat er aanwijzingen zijn dat het om dezelfde groep gaat. Zo vertoont gebruikte malware overeenkomsten met eerdere Lazarus-varianten en passen de doelwitten bij de eerdere hacks van de groep. Volgens de bedrijven richt de groep zich momenteel voornamelijk op banken in Polen, Mexico en de VS. In totaal gaat het om 104 organisaties in 31 verschillende landen.

De aanvallen kwamen aan het licht doordat de website van een Poolse financiële toezichthouder werd gebruikt om bezoekers te infecteren. De site BadCyber besteedde eerder deze maand aandacht aan de aanvallen. Het ging hier om een watering hole-aanval, waarbij een veelgebruikte website wordt ingezet om een bepaalde groep gebruikers te infecteren. Voor medewerkers van banken is daarom de site van een financiële toezichthouder een geschikt doelwit. Deze site stuurde gebruikers met bepaalde ip-adressen door naar een aangepaste exploitkit. Aan de hand van deze whitelist konden de bedrijven een indruk krijgen van de doelwitten van de groep.

Volgens BAE Systems werden ook sites van andere toezichthouders gebruikt, bijvoorbeeld die van Mexico. De Lazarus-groep is volgens het bedrijf ook betrokken geweest bij de hack op de centrale bank van Bangladesh, waarbij 81 miljoen dollar werd gestolen via Swift-software. Eerder zag het bedrijf al een verband tussen deze hack en die op Sony in 2014. De FBI schreef deze destijds toe aan Noord-Korea, wat door dat land van de hand werd gewezen.

IT-banen

Reacties (28)

himlims_ 13 februari 2017 12:04

blijf het "gaaf" en indrukwekkend vinden; bank 'overvallen' zonder ook maar 1 stap binnen te zetten (snap ook wel dat meeste geld digitaal is, maar toch). Is van menig tweaker toch ergens wel een soort ' droom', of tenminste heeft er eens over gefantaseerd

Rob Coops @himlims_ • 13 februari 2017 12:47

Na voor een grote investment bank te hebben gewerkt vind ik het vreemd dat er zo weinig banken publiekelijk aangeven gehackt te worden. Want als je naar de beveiliging kijkt binnen de bank dan is het simpel weg belachelijk.
Ja alles wat je uitvoert wordt geregistreerd als je via de jump host op een server terecht komt. Maar als je via de scheduler simpel weg je key op de server set voor welk account je ook maar wil dan kun je er gewoon op in loggen zonder dat er ook maar iets in welk log dan ook verschijnt. De code is veel al jaren oud en op zijn best niet heel erg veilig veel al simpel weg compleet onveilig. Een test systeem kan gewoon met de productie systemen communiceren door simpel weg een getal in een port nummer te veranderen. Alle servers ook de dev en test servers kunnen emails sturen naar bestaande klanten zonder dat er enige filtering plaats vind.

Je kunt je voorstellen hoe fout dat kan gaan, en het zal zeker niet de eerste keer zijn als bijvoorbeeld de DwoJones weer eens stil gelegd wordt omdat de een of andere bank per ongeluk honderden of duizenden test orders verstuurd heeft naar de productie systemen van de NYSE.
Ook zijn boetes om fouten in boekingen en incorrecte filings aan de orde van de dag en is daar simpel weg een budget voor omdat het zo af en toe fout gaat en dat hoort er gewoon bij.

Om die redenen en nog zo veel andere voorbeelden vind ik het erg vreemd dat er niet veel vaker vele grotere bedragen worden gestolen bij grote en kleine banken.

Indrukwekkend of gaaf is het zeker niet, kijk naar de crisis van een paar jaar geleden en bedenk je dat een diefstal op het juiste moment het hele systeem weer aan het wankelen kan krijgen. Als banken elkaar niet meer vertrouwen en we dus weer met een crisis te maken krijgen dan kon dat nog wel eens een veel grotere crisis worden dan de huidige.
En ja de huidige crisis is verre van over, nog altijd wordt er 80.000.000.000 euro per maand die de maand daar voor niet bestond over europa uitgestrooid door de EU. Is de rente gevaarlijk laag en probeert men uit alle macht vol te houden dat de grieken echt wel terug zullen betalen, om op die manier de aandacht af te leiden van de Italiaanse banken die nog steeds op instorten staan.

Daniel_Elessar @Rob Coops • 13 februari 2017 13:00

Dus eigenlijk kunnen ze prima een geheel land in de verdoemenis storten door de banken uit te kleden. Zorgen dat je verschillende banken tegelijk pakt en veel geld weg sluist. Als je dat voor elkaar hebt staat er direct een team klaar dat de grote elektriciteit centrales saboteert waardoor de stroom uit valt in het gebied. Lijkt me een prima scenario, want waar gaat dan de prioriteit naartoe?

ViperXL @Verwijderd • 13 februari 2017 19:35

Een zogeheten Fire Sale is tegenwoordig geen fantasie meer. Als je op YouTube kijkt zijn er bedrijven die beveiliging en daarover filmpjes plaatsen (uiteraard nadat benodigde wijzigingen zijn uitgevoerd). Ik heb al voorbeelden gezien van energie-stations en andere soort stations. Combineer dit met banken en je hebt toch wel een heel groot probleem. Films zijn natuurlijk onzin maar de ideeën zijn tegenwoordig niet ver meer van de realiteit.

Verwijderd @ViperXL • 13 februari 2017 23:42

Mijn ervaring met 8 jaar werken op een energie centrale als engineer. Ten eerste zijn natuurlijk alle systemen redundant uitgevoerd. Daarnaast heb je natuurlijk een SIS systeem of een SGS systeem, die volledig pneumatisch werkt, met een eigen backup druktank plus een compressor. Dus analoge druksignalen, waar je geen elektriciteit voor nodig hebt. Dit alles heeft natuurlijk ook een aantal nood dieselgeneratoren om een aantal uren te voorzien van noodstroom.
Dus ook voor Daniel_Elessar hieronder. Ik snap dat die films cool zijn. En dat je fantasie groot is. Maar een energie centrale krijg je niet zomaar plat. Het is makkelijk roepen 'maar mensen zijn heel slim!! alles kan gehacked worden!!!'. Ja vast. Klinkt interessant aan de bar. Maar realistisch is het simpelweg niet.

wat meer detail over redundancy:

Controlesysteem in de controle kamer heeft 2 of meerdere identieke stations die afzonderlijke stroomvoorziening hebben met eigen diesel generator.
Kritische proces besturing van een energie centrale is pneumatisch uitgevoerd, welke met een drukvat en compressor op nooddiesel aan gestuurd kan worden.
Blokkeren van manueel operating mode in bepaalde operatie settings (terugkerende loops in het controle systeem).
Meervoudige flow, druk en temperatuurmetingen die bij anomalie op 'manueel' komen te staan (offset, wegvallen meting, abnormale stijging/daling) en controle overgeven aan lokale paneel operators.
Mechanische beveiliging (fail to open of fail to close kleppen die stoom productie niet zomaar kunnen stoppen, om druk opbouw te voorkomen).

Dus nogmaals. Teveel Michael Bay films gekeken!

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:30]

Daniel_Elessar @Verwijderd • 14 februari 2017 09:20

Dank voor de info. Ik weet dat zulke dingen redundant zijn. Echter neem bijvoorbeeld de stroomstoring in Amsterdam een paar weken geleden. Dat nam ook een deel van Zaanstreek in beslag. Daar bleven dus die systemen niet werkzaam.

Als je kijkt naar bijvoorbeeld Stuxnet, dat hadden we van te voren ook nooit kunnen bedenken. Nu was dat net even anders omdat ze het niet zef 'hackte' maar het virus lieten rondzwerven in de hoop dat iemand de usb zou gebruikte waarmee het in gang schoot. Dus ja, voor alles is wel iets te schrijven als je de kennis hebt. Er stonden ook waterzuivering stations open op het internet net als waterschap pompen.

Natuurlijk is het een film scenario. Ik weet ook dat als je je interne netwerk op een geheel andere range zet met een goede firewall dat het moeilijk, heel moeilijk is.

Die films van hem, nee ben ik niet zo een fan van

Armageddon was leuk, the purge etc niet aan mij besteed. Maar goed dat is ook een andere discussie

Daniel_Elessar @Verwijderd • 13 februari 2017 15:04

Nee, niet bepaald. Maar alles is te hacken. Veel grote infrastructuur is nu eenmaal aangesloten op het internet wat het vatbaar maakt voor hacks. Dus zo onmogelijk is het niet.

Verwijderd @Daniel_Elessar • 13 februari 2017 23:50

Zie mijn reactie hierboven. 'Alles is te hacken' is een spannende opmerking, maar bevat verder weinig verhaal.

Verwijderd @Rob Coops • 13 februari 2017 17:24

Vraag me af of je zojuist niet je NDA hebt geschonden. ;-) Of valt dit onder de klokkenluiderwetgeving? ;-)

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:30]

dormamu @Rob Coops • 13 februari 2017 18:43

Een test systeem kan gewoon met de productie systemen communiceren door simpel weg een getal in een port nummer te veranderen.

Dat klopt. En dan? De shared secret komt niet overeen waardoor productie de toegang niet verleent aan het test systeem.

Rob Coops @dormamu • 14 februari 2017 10:24

Je denkt dat er encryptie gebruikt wordt

Helaas kijk voor de grap eens naar een technologie die Tibco heet en bedenk je dan dat secure communications tot zeer recent helemaal nergens gebruikt werd en nu nog steeds in veel gevallen niet het geval is of alle configuratie tussen prod en test niet anders er is gewoon een if statement in de env file die bepaald welke omgeving je op dat moment draait gebaseerd op de hostname

Verwijderd @himlims_ • 13 februari 2017 12:11

Mjaaaaaaaaaaaaa. Maar je maakt vooral misbruik van het vertrouwen van mensen. Technisch is de uitdaging vaak niet eens zo groot.
Toch minder impressive.

kramer65 @Verwijderd • 13 februari 2017 12:37

Jij draait je hand niet om voor het digitaal overvallen van een centrale bank? Afgezien van de twijfelachtige moraliteit vind ik het toch wel een hoogstandje. Niet alleen moet je extreem veel kennis hebben van het de organisatie, de technieken die er gebruikt worden en de personen op belangrijke posities, ook moet je het financiële systeem door en door kennen. Het zijn danook absoluut zeer intelligente mensen die hiermee bezig zijn.

Het is spijtig dat ze hun energie en intelligentie voor dit soort zaken gebruiken, maar puur technisch en organisatorisch heb ik er wel respect voor.

Pb Pomper @kramer65 • 13 februari 2017 13:29

Niet alleen moet je extreem veel kennis hebben van het de organisatie, de technieken die er gebruikt worden en de personen op belangrijke posities, ook moet je het financiële systeem door en door kennen. Het zijn danook absoluut zeer intelligente mensen die hiermee bezig zijn.

Of ze krijgen hulp van binnenuit. Als de recente geschiedenis iets heeft bewezen is het wel dat mensen in de financiële sector over het algemeen niet zoveel waarde hechten aan ethiek en vrijwel alles doen voor meer geld.

Daarnaast zijn de Well Fargo's en Goldman Sachsen van deze wereld crimineel op een ongeëvenaarde globale schaal. Die lachen om 81 miljoen. Bovendien zijn ze onaantastbaar. Zelfs als ze gesnapt worden krijgen ze op z'n hoogst een tik op de vingers. Met een beetje mazzel passen ze vervolgens gewoon de wetgeving aan via lobbywerk / legale corruptie.

[Reactie gewijzigd door Pb Pomper op 22 juli 2024 20:30]

Tweekzor @Verwijderd • 13 februari 2017 15:40

Als ik het goed herinner heeft deze groep bij de overval op de bank in Bangladesh toch best een technisch ingewikkeld verhaal klaargespeeld. Ze hebben de volledige PDF reader vervangen door een eigen kwaadaardige versie zonder op te vallen bij het anti-malware product. Ze zijn inderdaad als eerste binnen gekomen via social engineering, maar waarom zou je voor jezelf de drempel verhogen als het persoonlijk je letterlijk de digitale sleutel tot de voordeur kan en wilt geven?

biglia @himlims_ • 13 februari 2017 12:51

Het nadeel van een digitale overval is dat je het geld niet tastbaar afhandig hebt gemaakt. Je moet het doorsluizen naar ergens anders. Ik denk niet dat je hiervoor money mules kan inzetten.

himlims_ @biglia • 13 februari 2017 12:52

via Westen Union gaat dat prima

Bert2000 @himlims_ • 13 februari 2017 12:28

Sorry maar ik kan dit maar moeilijk in de context van een geintje plaatsen. De hacks van deze heren zijn van een schaal die verregaande maatschappelijke problemen kunnen veroorzaken.

himlims_ @Bert2000 • 13 februari 2017 12:34

hoe heeft dit vergaande maatschappelijke problemen kunnen veroorzaken?
het is 'giraal' geld. enige waar dit negatief effect op kan hebben, is als consument/bedrijf vertrouwen in systeem opzegt, en geld van de bank gaat halen.

Verwijderd @himlims_ • 13 februari 2017 12:56

In deze context wellicht niet. Maar de Lazarus groep wordt van enorm veel cybercrime zaken verdacht en niet voor niets hebben mensen het over cyberwarfare. Dit zijn geen scriptkiddies die een geintje uithalen. Dit zijn de nieuwe generatie criminelen.

Lees anders eens een paar de vele blogs die security researchers over de Lazarus groep hebben geschreven.

Bert2000 @himlims_ • 13 februari 2017 13:00

Je beantwoord je vraag zelf al. Dat vind jij geen maatschappelijk probleem?

jochem1998 @himlims_ • 13 februari 2017 12:16

Doet me denken aan de film now you see me

Blokker_1999

Netwerk en systeembeheer
Bank
Security

@himlims_ • 13 februari 2017 12:22

Doe het toch liever van in de bank

. Beetje a la Sneakers

markdepoes 13 februari 2017 12:45

er wordt ook niet gesuggereerd of weggezet als zijnde een leuk of gaaf 'geintje'.

Dit soort aanvallen/overvallen kunnen desastreuze gevolgen hebben, dat zeker. Maar dat neemt niet weg, dat menig tweaker er nooit over gedroomd heeft, anders ik wel.

Het is daarna aan moraliteit wat men er mee doet. Grotendeels van de hack is inderdaad afhankelijk van de goedkliksheid van werknemers. Kan me de eerste typen van payware nog als de dag van gisteren herinneren. Waarbij je een telefoontje krijgt van C
C: "Mijn compjuter doet niet meer!"
ik: wat doet het niet meer?
c: ik kan niets meer doen en heb een melding op mijn scherm staan, kom maar kijken
ik: 'wandel, wandel, naar plek des onheils
c: kijk maar! en ik heb NIETS gedaaaan..
ik: waar is de mail met het bestand dat je hebt geopend
c: welke mail? ik weet niets?
op het scherm: Politie haaglanden, verdacht in illegale, online handelingen/Kinder Porno...
betaal boete aan blablabla.

Tennisbal 13 februari 2017 14:13

Zijn er creditcard maatschappijen wel eens goed gehackt? Kan mij geen voorbeeld herinneren?

mutley69 13 februari 2017 22:13

We moeten eerlijk zijn met al dat gepruts qua smarphones en tablets - probeer die ellende maar's veilig te houden. En wat te denken van banken die hun scripts gewoon 3th-party halen ipv. die zelf te hosten. Begin maar's te beveiligen zo! Nu ik stel vast, ik log en ik bewaar. Als er iets gebeurt - hangt de bank - wees gerust, ze mogen meer dan een paar advo's aanwerven op dat ogenblik.
En wat te denken van 3e partijen die zich daar tussen wringen - neem paypal - dat soort extra toegangen wil je nooit toelaten naar uw eigen bankrekening. Koppel geen automatische betalingen - en wees zeer, maar dan ook zeer terughoudend met allerlei speeltjes. Eigenlijk zou je altijd vanaf cd moeten bankieren (maar wie heeft dat nog)?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (28)

Sorteer op:

Weergave: