'Aan Noord-Korea gelinkte Lazarus-groep voerde hack uit op Taiwanese bank'

Een hack op de Taiwanese Far Eastern Bank is volgens beveiligingsbedrijf BAE Systems uitgevoerd door de Lazarus-groep, die banden zou hebben met Noord-Korea. De groep probeerde volgens lokale bronnen 60 miljoen dollar te stelen, maar verkreeg uiteindelijk een fractie.

In een analyse van het incident schrijft het beveiligingsbedrijf dat het de bij de internetaanval gebruikte malware in handen heeft gekregen. Daaronder zitten tools die eerder door Lazarus zijn gebruikt. De onderzoekers troffen ook een ransomwarevariant aan met de naam Hermes. Daarover zeggen ze dat deze hoogstwaarschijnlijk is gebruikt om de beveiligers van de bank af te leiden terwijl de aanval werd uitgevoerd. Volgens een door BAE Systems gepubliceerde tijdlijn voltrok deze zich aan het begin van deze maand. Daarbij zouden verschillende Swift-transacties zijn uitgevoerd.

De onderzoekers vonden malware die eerder was gebruikt bij aanvallen op financiële instellingen in Polen en Mexico. Daaronder is een backdoor die verschillende Russische commando's bevat. In een eerdere analyse kwam het bedrijf tot de conclusie dat de malware echter niet door een persoon met Russisch als moedertaal was geschreven en dat woorden letterlijk waren vertaald. Daarom zou het bij de operatie om een zogenaamde false flag gaan, waarbij de aandacht op andere partijen gevestigd wordt.

Reuters meldt op basis van lokale bronnen dat de aanvallers probeerden om 60 miljoen dollar te stelen, maar dat de bank uiteindelijk in staat was om het geld met uitzondering van een half miljoen dollar terug te krijgen. De Lazarus-groep werd door verschillende beveiligingsbedrijven onder meer in verband gebracht met de hack op de centrale bank van Bangladesh en WannaCry.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 17-10-2017 08:42 41

17-10-2017 • 08:42

41

Lees meer

'Noord-Korea heeft 2 miljard dollar gestolen van banken en cryptobeurzen'
'Noord-Korea heeft 2 miljard dollar gestolen van banken en cryptobeurzen' Nieuws van 6 augustus 2019
Europol: Spaanse politie pakt verdachte leider achter Carbanak-bankmalware op
Europol: Spaanse politie pakt verdachte leider achter Carbanak-bankmalware op Nieuws van 26 maart 2018
Aanvallers Swift-systeem voor banken maakten in Rusland 4,8 miljoen euro buit
Aanvallers Swift-systeem voor banken maakten in Rusland 4,8 miljoen euro buit Nieuws van 16 februari 2018
Hands-on toont Noord-Koreaanse smartphone
Hands-on toont Noord-Koreaanse smartphone .Geek van 12 januari 2018
'Hackergroep voerde met succes 16 aanvallen uit op kleine banken in Amerika'
'Hackergroep voerde met succes 16 aanvallen uit op kleine banken in Amerika' Nieuws van 11 december 2017
DNB: 'cyberaanvallen' zijn snel toenemend risico
DNB: 'cyberaanvallen' zijn snel toenemend risico Nieuws van 27 november 2017
FBI: Noord-Korea gebruikt malware om luchtvaart- en telecomsector aan te vallen
FBI: Noord-Korea gebruikt malware om luchtvaart- en telecomsector aan te vallen Nieuws van 15 november 2017
'Intern NSA-rapport legt link tussen WannaCry en Noord-Korea'
'Intern NSA-rapport legt link tussen WannaCry en Noord-Korea' Nieuws van 15 juni 2017
Beveiligingsbedrijf vindt meer aanwijzingen voor WannaCry-link met Noord-Korea
Beveiligingsbedrijf vindt meer aanwijzingen voor WannaCry-link met Noord-Korea Nieuws van 23 mei 2017
Onderzoekers vinden mogelijke link met Noord-Korea in WannaCry-malware
Onderzoekers vinden mogelijke link met Noord-Korea in WannaCry-malware Nieuws van 16 mei 2017
'Groep achter Sony-hack richt zich wellicht op internationale banken'
'Groep achter Sony-hack richt zich wellicht op internationale banken' Nieuws van 13 februari 2017
Meer producten en artikelen
Netwerk en systeembeheer Bank Hack

Reacties (41)

-Moderatie-faq
41
37
28
1
0
3
Wijzig sortering
xmenno 17 oktober 2017 09:39
En dan is er ook nog iets als motief. Taiwan is geen onderdeel van de VN, dus heeft in principe niks te maken met sancties en kan dus door handelen met Noord-Korea (net als met Iran). Noord-Korea heeft er volgens mij alleen maar aan te verliezen als ze iets tegen Taiwan ondernemen.
De enige vijand van Taiwan is het vaste land China, dat bijvoorbeeld recentelijk boos is op Taiwan omdat ze bij de VS weer wapens hebben gekocht.
deacs @xmenno17 oktober 2017 10:36
Uit het gelinkte artikel van BAE Systems :
The attack this month on Taiwanese Far Eastern International Bank has some of the hallmarks of the Lazarus group:

• Destination beneficiary accounts in Sri Lanka and Cambodia – both countries have been used previously as destinations for Lazarus’ bank heist activity;
• Use of malware previously seen in Lazarus’ Poland and Mexico bank attacks. Where these files were found and the context of their use needs to be confirmed, but could provide a crucial attributive link;
• Use of unusual ransomware, potentially as a distraction.
Vanuit een onderzoekend oogpunt kun je begrijpen waarom Larazus de hoofdverdachte is, maar sterke bewijzen zijn het niet echt. Het is makkelijk om onderzoekers op het verkeerde spoor te brengen door malware te gebruiken dat eerder door Larazus is gebruikt of dezelfde locatie van rekeninghouders te gebruiken. Het artikel geeft zelf al aan dat er meer onderzoek gedaan met worden om het e.e.a. vast te stellen. Misschien dat er te snel met de vinger is gewezen naar Lazarus/NK?
CivLord
@deacs17 oktober 2017 14:10
Het vermoeden dat de Lazarus-groep bij deze hack betrokken is, is gebaseerd op overeenkomsten met andere activiteiten waar Lazarus mee in verband wordt gebracht. Is van die andere activiteiten wel bewezen dat Lazarus er mee te maken heeft, of zijn die ook weer op vermoedens en waarschijnlijke verbanden gebaseerd?

Dit lijkt erg op pseudo-wetenschap, waar vaag vermoeden A wordt gebruikt om vermoeden B te 'bewijzen'.
xmenno @deacs17 oktober 2017 10:42
Dat denk ik ook, als ik een beetje Google kom ik op iets heel anders. Namelijk hooggeplaatste mensen in Sri Lanka en hackers uit India. Zie mijn reactie hier onder met link naar dit artikel:
http://www.sundaytimes.lk...uded-us-1-1-m-264252.html
Anoniem: 310408 @xmenno17 oktober 2017 13:40
Met respect, ik denk dat BAE Systems wel iets meer heeft gedaan dan een Googlen.
xmenno @Anoniem: 31040817 oktober 2017 13:49
Dat neem ik wel aan, gezien hun diepgaande technische analyse.
Maar zij stellen het dan ook niet zo sensationeel als dat Tweakers doet.
"In one of these cases we and other researchers were able to observe infrastructure in North Korea controlling the malware – further clues as to the origins of these attackers. " - verwijzende naar een artikel uit April, ver voor de Taiwanese hack.
Dit is in het originele hele artikel de enige verwijzing naar Noord-Korea.

[Reactie gewijzigd door xmenno op 28 juli 2024 05:19]

Vexxon @xmenno17 oktober 2017 10:16
Er is genoeg motief voor Noord-Korea om dit te doen.
De hoeveelheid sancties jegens Noord-Korea zijn onlangs uitgebreid en zeker nu ook China veel minder handelt met Noord-Korea is er een motief om:
1. China in een kwaad daglicht te stellen
2. Op een andere manier inkomsten te genereren.

Ik blijf het een beetje kortzichtig vinden om voor alles wat Noord-Korea enigszins schuldig laat lijken een andere verklaring te moeten vinden.

[Reactie gewijzigd door Vexxon op 28 juli 2024 05:19]

xmenno @Vexxon17 oktober 2017 10:19
Maar dat hebben ze niet gedaan, Taiwan is nog een van de weinige overgebleven handelspartners van Noord-Korea.
En sterker nog, als je het geld volgt kom je uit bij hooggeplaatste mensen in Sri Lanka zelf:
https://visitsrilanka.com...ther-in-hiding-newsfirst/
http://www.srilankamirror...ed-in-taiwan-bank-hacking
Vexxon @xmenno17 oktober 2017 10:30
Maar dat hebben ze niet gedaan, Taiwan is nog een van de weinige overgebleven handelspartners van Noord-Korea.
Taiwan suspends oil exports to North Korea, imports of clothing
Blijkbaar niet.

Uit je bron:
Yes, and the Criminal Investigations Department has already arrested an individual on ‘international money laundering’.
De betreffende persoon is opgepakt voor witwassen en lijkt me eerder, mocht hij inderdaad schuldig zijn, niet meer dan een schakel in het geheel.
Daarbij, denk jij dat Noord-Korea dit soort acties zal laten, vanwege een handelsdeal?

[Reactie gewijzigd door Vexxon op 28 juli 2024 05:19]

smokey 17 oktober 2017 09:16
Deze 'sporen' die ze vinden zijn dus niet betrouwbaar om aan te geven wie er achter zit, contraindicatief mischien wel. Een beetje hacker weet precies welke sporen hij nalaat. Tools en methodes van hackergroepen zijn door pro's eenvoudig te imiteren, zeker als de tools op straat liggen.

[Reactie gewijzigd door smokey op 28 juli 2024 05:19]

Bonthouse @smokey17 oktober 2017 09:30
"Een beetje hacker weet precies welke sporen hij nalaat." Waar haal je dat vandaan? CSI of Mr. Robot gekeken? Met diezelfde redenering heeft een beetje systeembeheerder onkraakbare systemen.
Iblies @Bonthouse17 oktober 2017 09:43
Het heeft ze waarschijnlijk 500.000 opgeleverd. Maak het dusdanig ondoorzichtig zodat het heel moeilijk wordt om alles terug te halen.


Dat ze precies wisten wat ze aan het doen waren zal niemand weten,
de kans dat ze een gok namen acht ik groter.

Wat je ook weet is dat dit allemaal kennis van achteraf is. Niet alleen een leermoment van de bedrijven, maar ook voor de hackers.
xmenno @Iblies17 oktober 2017 10:08
En nog gekker, mensen opgepakt met hoge posities in de Sri Lanka semi overheid / leger:
http://www.srilankamirror...ed-in-taiwan-bank-hacking
janbaarda @xmenno17 oktober 2017 10:17
De vijand van de dag wordt de misdaad in de schoenen geschoven. Gisteren Rusland, vandaag NK, morgen Iran, enz. .

N.B. NK is een land met nauwelijks internet! Waar halen ze al die specialisten vandaan? Zelfs de overheid van een ontwikkeld westers land als Nederland moet zijn hacktools elders inkopen.
xmenno @janbaarda17 oktober 2017 10:31
Kopiëren is een stuk makkelijker dan zelf de R&D doen natuurlijk, en Rusland is wel een land dat hier in voorop loopt. Het is zeker nog steeds mogelijk dat de grote stukken code van een van die landen afkomstig is.
janbaarda @xmenno17 oktober 2017 12:44
NK wordt in elk persbericht afgeschilderd als achterlijk. Zelfstandig nadenken en iets slims inelkaar zetten past niet in dit beeld... Met alleen kopiëren kom je echt niet ver. Welke software heb jij voor het laatst gebruikt om een bank te beroven? (natuurlijk geen sporen - of alleen valse : naar Sri Lanka- achtergelaten ;) ) ....
CivLord
@janbaarda17 oktober 2017 14:01
N.B. NK is een land met nauwelijks internet! Waar halen ze al die specialisten vandaan? Zelfs de overheid van een ontwikkeld westers land als Nederland moet zijn hacktools elders inkopen.
Correctie, NK is een land waarin het normale volk nauwelijks toegang heeft tot internet. Voor overheidsinstanties is die toegang er wel gewoon. Specialisten zijn daar ook gewoon op te leiden en anders willen Rusland, China en nog een hele reeks andere landen daar wel bij helpen. En in tegenstelling tot Westerse landen, waar de meeste specialisten voor het grote geld gaan (wat ze niet bij de overheid kunnen verdienen) is er in NK maar één werkgever waar ze terecht kunnen.
janbaarda @CivLord17 oktober 2017 17:07
We weten uit ervaring (ook in Nederland) hoe ineffectief overheidsdiensten met automatisering omgaan. Ambtenaren en IT is een heel slechte combinatie (lees de verschillende commentaren op Tweakers er maar op na)
Grovdna @janbaarda18 oktober 2017 16:03
denk je echt dat het "ambtenaren" zijn die dat doen in NK? dan ben je wel naief. In China-Rusland-USA etc. zijn het verlengden van intelligentie diensten/leger. dat zal in NK niet anders zijn.
CivLord
@janbaarda17 oktober 2017 17:55
In NK hebben ze zo hun methodes om mensen tot hun uiterste effectiviteit te drijven.

De combinatie overheid en ICT is niet anders dan de combinatie bedrijfsleven en ICT, helaas. De overheid heeft alleen veel minder mogelijkheden om mislukkingen onder het tapijt te vegen.
CivLord
@janbaarda18 oktober 2017 06:33
Dat telt sowieso mee. Dat het politieke systeem daar achterlijk is betekent niet meteen dat de Noord-Koreanen zelf achterlijk zijn.
Een groot deel van de bevolking wordt dom gehouden, maar diegenen met talent ergens voor zullen zich binnen de kaders van de partij kunnen ontplooien. Het schoolsysteem zal wat dat betreft niet veel afwijken van wat in de Sovjetunie normaal was en in China nog steeds. Kinderen worden aangespoord om tot het uiterste van hun kunnen te presteren. Diegenen waarbij dat uiterste, op wat voor gebied dan ook, erg ver gaat gaan naar speciale scholen waar hun talenten verder ontwikkeld worden, en de rest wordt 'opgeleid' tot gehoorzame burgers.
Het systeem is niet erg kindvriendelijk, maar het is wel dé manier om het aanwezige talent binnen een land ten volle te kunnen benutten. Het wordt alleen altijd weer vrijwel teniet gedaan door inepte en corrupte politici die korte termijn eigenbelang belangrijker vinden dan lange termijn landsbelang.
Grovdna @janbaarda17 oktober 2017 15:09
Nauwelijks internet voor de bevolking, echter niet voor de overheid!
janbaarda @Grovdna17 oktober 2017 17:11
Je denkt toch echt niet dat die paar ambtenaren die internet gebruiken uitgroeien tot 1st klas IT-ers? Daarvoor heb je een heel ecosysteem nodig (vergelijkbaar met voetbal, vam=n Fjes tot professional).

NB NK heeft door zijn geïsoleerde economie geen gelegenheid om buitenlandse specialisten binnen te halen Zelfs niet uit China of Rusland.
FJB @janbaarda17 oktober 2017 19:13
Dat is voor het maken van waterstofbommen toch hetzelfde?
janbaarda @FJB18 oktober 2017 02:33
Ha, eindelijk iemand die het snapt: NK is lang niet zo achterlijk als in de westerse media wordt beweerd! Ons beeld van NK is behoorlijk vertekend.
Grovdna @janbaarda18 oktober 2017 15:59
@janbaarda-Ik denk dat jij NK zwaar onderschat. Denk maar eens na over hun ontwikkeling van raketten en atoombommen ondanks alle sancties en de Sony hack etc.
xmenno @Iblies17 oktober 2017 10:04
Ze hebben de geldezel ook opgepakt en daarbij nog een hoop geld terug gevonden.
https://visitsrilanka.com...ther-in-hiding-newsfirst/
xmenno 17 oktober 2017 10:28
Follow the money zegt iets heel anders dan Noord-Korea:
http://www.sundaytimes.lk...uded-us-1-1-m-264252.html
"Litro Gas Chairman Shahlila Moonesinghe, a British passport holder of Sri Lankan descent, and J.C. Nammuni, a businessman who owns a metal quarry with dual UK citizenship were arrested by the Criminal Investigations Department (CID) on allegations of colluding with an international ring of hackers to plant malware in the Far Eastern International Bank computers in Taiwan to make bogus cash."
"CID detectives want to question two Indian nationals who had arrived in Colombo from Dubai and assisted the two Sri Lankan born businessmen in trying to obtain part of the remittances. They believe the two Indian nationals who had left for Dubai in the meantime were part of a ring of hackers."
DeZwarteLijst @xmenno17 oktober 2017 13:12
Dit is wel een enorm belangrijk gegeven dat onwaarschijnlijk veel mensen over het hoofd zullen zien:
with an international ring of hackers to plant malware in the Far Eastern International Bank computers in Taiwan to make bogus cash."
"Bogus" Cash wordt maar met 1 reden gemaakt, en dat is de devalorisering van de munteenheid (TWD), met als gevolg de economische ontwrichting van een staat.
Als iemand hier denkt dat het gaat over een paar mensen die wat miljoenen wilden wegschrijven denk ik dat je de clue van het verhaal mist.

Het lijkt mij dat hier veel meer achter zit,.. En dan blijf ik me toch de vraag stellen welke partij in heel dit gegeven het nodig blijft vinden om zonder al te veel concrete informatie z'n pijlen op NK te richten.
Is er toevallig een staat bezig met NK-bashing op dit moment ofzo?
Oh ja...

(En daarmee zeg ik niet dat de VS tussen de Hack zit, maar ze zitten ongetwijfeld tussen de eerste persberichten die zijn verschenen.)
CivLord
@DeZwarteLijst17 oktober 2017 14:19
Bogus cash dient niet alleen maar om een munteenheid te schaden. Al helemaal niet met een betrekkelijk 'laag' bedrag als een paar miljoen dollar.
Wanneer jij met bogus cash een bank wijs kunt maken dat je een paar miljoen op je bankrekening hebt staan, dan kun je vervolgens proberen dat geld op te nemen. Daar zijn helemaal geen internationale intriges voor nodig. De bank wijs maken dat je zoveel geld op de bank hebt, kun je doen door de bank een nep SWIFT transactie te laten accepteren, waardoor het lijkt alsof dat geld vanaf een andere bank is over gemaakt.
DeZwarteLijst @CivLord19 oktober 2017 13:36
Met een BNP van 936 Miljard (zie ik net) gaat dat inderdaad niet veel uitmaken.
Op de manier die jij beschrijft had ik het nog niet bekeken.

Goeie toelichting, kan ik weer een beetje minder paranoia gaan doen, Oeff :P

Edit: Dyscalculie

[Reactie gewijzigd door DeZwarteLijst op 28 juli 2024 05:19]

TimMer 17 oktober 2017 12:11
Waarom is Noord-Korea uberhaupt nog verbonden met het internet? Digitaal isoleren is prima mogelijk.
Anoniem: 310408 @TimMer17 oktober 2017 13:47
Omdat een land op die manier isoleren de zaak alleen maar gevaarlijker maakt. Op dit moment hebben in elk geval sommige mensen nog een idee hoe de rest van de wereld er uit ziet en hopelijk een dempende factor kunnen zijn op de oorlogsretoriek van dit moment.
TimMer @Anoniem: 31040817 oktober 2017 14:11
Noord-Korea is niet gevaarlijk, slechts irritant.

NK weet net zo goed als de rest van de wereld dat als zij ook maar één kleine aanval uitvoeren ze binnen enkele uren niet meer bestaan.
Kalief 17 oktober 2017 09:49
Elke hackpoging op SWIFT valt toe te juichen. Hoe meer banken daar verliezen door leiden hoe meer ze eindelijk geneigd zullen zijn de beveiliging op een fatsoenlijk niveau te brengen.

Het Noord-Korea verhaal is niet serieus te nemen, het is allemaal veel te geconstrueerd.
DingieM 17 oktober 2017 11:38
"Daarom zou het bij de operatie om een zogenaamde false flag gaan, waarbij de aandacht op andere partijen gevestigd wordt".

Het is grappig dat tweakers dat durft aan te halen, immers de westerse machten inclusief Israel voeren false flags uit sinds zeer lange tijd, zoals Las Vegas.
mutley69 17 oktober 2017 13:55
Het is duidelijk dat de sanctie werken - men moet alleen er in slagen om het NORK-internet volledig af te snijden en daar willen de buren niet aan beginnen.
Gevolg - men geraakt aan cash via e-currency-overvallen en men valt aan daar waar geld te rapen valt.
Het gevolg hiervan is eng - maar ik ga't niet beschrijven.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq