Naar de content

Grootste bankroof ooit, met een paar muisklikken

Carbanak malware nam complete betalingssysteem van banken over

@annedejong314

De duivels slimme malware Carbanak maakte de grootste bankkraak uit de geschiedenis mogelijk. Voor het eerst ging internetfraude niet via de rekeninghouder, maar via de bank zelf. De malware stal honderden miljoenen dollars, en is mogelijk nog steeds actief.

Als het niet zo verontrustend was, zou het komisch zijn: een hacker die er met een paar muisklikken voor zorgt dat een pin-automaat ongelimiteerd bankbiljetten uitspuugt. Of hij of zij voorziet het banksaldo op een willekeurige rekening van een nulletje extra en maakt het overschot meteen over naar een rekeninghouder op een ander continent, waar het wordt omgezet in cash.

Vorige week werd bekend dat bij tientallen banken in Rusland, China, de VS en Duitsland op deze manier vele miljoenen dollars zijn gestolen. De totale schade is misschien wel een miljard dollar. Voor zover bekend zijn geen Nederlandse banken beroofd, maar was dat geluk of wijsheid?

Het aantal IP-adressen (computers) per land dat gehackt werd door de Carbanak malware. Meer dan honderd banken werden bestolen.

Kaspersky

Volgens Jornt van der Wiel, beveiligingsexpert bij cybersecurity bedrijf Kaspersky, hadden al deze bankkraken makkelijk voorkomen kunnen worden. Ze werden gepleegd dankzij Carbanak malware. Deze kwaadaardige software komt het interne netwerk van een bank binnen via een gewone computer, bijvoorbeeld de PC van een secretaresse. Die opent eerst een onschuldig ogend mailtje, schijnbaar afkomstig van een collega, en klikt nietsvermoedend op een link naar een Word-document.

Carbanak maakt gebruik van een bug in de Microsoft Office software, waardoor het mogelijk is kwaadaardige code in een Word-ducument te verbergen, die actief wordt zodra je het document aanklikt. Wrange ironie: die bug was bekend, en Microsoft had er ook al een patch (reparatie) voor uitgebracht. “Als al die banken gewoon de automatische updates van Word en Office hadden geïnstalleerd, was dit niet gebeurd”, zet Van der Wiel.

PIN-automaten op afstand besturen

Carbanak richt op de PC van de secretaresse geen schade aan, maar installeert een key-logger, een programmaatje dat alle toetsaanslagen registreert. Ook maakt Carbanak screenshots van het scherm van de computer, zodat de hackers precies zien waarop iemand klikt. Gewapend met die informatie gaan de hackers via het interne netwerk op zoek naar een computer die speciale software voor financiële transacties heeft, of die op afstand PIN-automaten kan bedienen. Is die eenmaal gevonden, dan buit Carbanak nog een paar lekken in Windows uit om totale controle-op-afstand over die computer te krijgen.

Door geduldige observatie kijken de hackers zo de correcte procedures en wachtwoorden af waarmee een medewerker grote financiële transacties uitvoert. Het kan een maand of langer duren voordat de hackers bij zo’n bank voldoende op de hoogte zijn om hun grote slag te slaan.

Uit cijfers van Kaspersky blijkt, dat na een eerste test in augustus 2013, vanaf februari 2014 een campagne op gang kwam waarbij tientallen Russische, Chinese en Oost-Europese banken elk meerdere miljoenen euro’s lichter zijn gemaakt. Zelfs vorige maand zijn nog twee banken op deze manier beroofd, en mogelijk zet Carbanak zijn activiteiten momenteel voort bij banken die nog steeds niets door hebben.

Uit zijn bed gebeld

Kaspersky raakte in het voorjaar van 2014 bij de zaak betrokken toen een medewerker in Rusland om drie uur ‘s nachts uit zijn bed gebeld werd door een bankdirecteur. Op een van hun computers was onverklaarbaar dataverkeer geconstateerd met een computer in China.

Volgens Van der Wiel was de malware in dit geval makkelijk te vinden. “Je kunt gewoon kijken: welke processen draaien er en welke bestanden gebruiken ze. Vervolgens kun je die simpel verwijderen.”

Hoewel Carbanak gecompliceerde, duivels slimme malware is, doet het geen moeite om zijn sporen uit te wissen. Van der Wiel: “Voor hen was er geen reden om iets nog geavanceerders te maken.” Het stelen verliep op deze manier namelijk ook al geheel naar wens. Volgens Van der Wiel zijn kwaadaardige programmaatjes die zich in de firmware van de harde schijf nestelen wel buitengewoon moeilijk op te sporen (de firmware is het besturingssysteem van de harde schijf zelf), maar maakt hij dat alleen mee met spionageprogramma’s die door overheden ontwikkeld zijn. Althans, dat vermoedt hij, want bewijs is er niet.

Zijn bedrijf vond onlangs nog spionagesoftware die allerlei gegevens verzamelde op computers in Iran, Pakistan, Indonesië en Vietnam. Welk land daarachter zit? Van der Wiel doet er geen uitspraak over: “Af en toe vind je wel aanwijzingen in de code, maar die kunnen er ook met opzet in gestopt zijn om een ander land vals te beschuldigen.”

Broncode uitgelekt

Wijsheid achteraf is altijd makkelijk, maar deze grootscheepse aanval op banken was te voorzien. Carbanak maakte oorspronkelijk gebruik van Carberp, een gevreesd stuk malware dat in juni 2013 groot nieuws werd omdat de broncode toen op een schimmig internetforum te koop werd aangeboden voor slechts vijfentwintigduizend dollar. Daarna lekte de broncode veel breder uit, zodat beveiligingsexperts deze ook gratis in konden kijken. Het complete Carberp pakket is een ratjetoe van allerlei bestanden, tools, computercode, screenshots en chatconversaties van de Russische makers. In totaal gaat het om bijna zes gigabyte. Zo staat ergens te lezen over de makers van Windows: “Die stomme, achterlijke Indianen van Microsoft; ze snappen niet dat ze extreem dom zijn.”

Voorbeeld van een schijnbaar onschadelijk mailtje, met een link naar een bijlage die malware bevat.

Kasperski

Dat zulke geavanceerde malware in de openbare verkoop gaat is zeer ongebruikelijk – en naar je mag aannemen, heel gevaarlijk voor de verkopers. Blijkbaar waren sommige van de Russische hackers die Carberp ontwikkeld hebben, ontevreden over hun betaling door de criminele opdrachtgevers. Maar dat zijn uiteraard geen lieden die zachtzinnig omgaan met wat in hun ogen verraders zijn.

Wegens het uitlekken van de broncode was te voorzien, dat veel meer banken doelwit zouden worden van cyberaanvallen met op Carberp gebaseerde malware. Mogelijk is Carberp verder ontwikkeld tot Carbanak door Chinese hackers. Er zijn bij de beroofde banken meerdere versies van Carbanak aangetroffen, die telkens verder weg evolueren van het oorspronkelijke Carberp.

De geldkraan open

Wat staat de bankensector nog te wachten na Carbanak? Voor het eerst is internetfraude niet gepleegd door de rekeningen van naïeve of onvoorzichtige rekeninghouders te plunderen, maar vanuit het hart van de banken zelf. Oppervlakkig leest het als een jongensboek: een briljant stelletje hackers dat virtueel een bank binnendringt, de geldkraan open zet en er straffeloos met de zeer reële buit vandoor gaat.

Contactloos betalen.

ING Nederland via CC BY-SA 2.0

In feite hebben de Carbanak-hackers zich nog heel bescheiden gedragen, en per bank niet al te veel gestolen om ontdekking zo lang mogelijk uit te stellen. Maar als je van één willekeurige rekeninghouder het saldo van een extra nulletje kan voorzien, is het ook mogelijk om dat saldo te laten verdwijnen. Bovendien kan dat niet alleen bij een maar ook bij een miljoen rekeninghouders. Staat ons geld nog wel veilig?

Van der Wiel: “Als banken hun medewerkers beter zouden scholen, dan ben je al heel ver. Je moet altijd alert zijn op verdachte e-mails, en alle patches die uitkomen installeren. En banken zouden hun logs, de registratie van al hun dataverkeer, beter op orde moeten houden.”

ReactiesReageer