Hoe zit het met de SWIFT-bankroven?

De digitale diefstal van vele miljoenen dollars bij diverse banken wereldwijd blijkt een ware epidemie te zijn. Een Ukraïense bank voegt zich nu bij de rij slachtoffers. Wie lopen er gevaar?

De alarmerende nieuwskoppen over digitale bankroof kunnen opnieuw worden gepubliceerd: een bank in Oekraïene blijkt ook te zijn gehackt waarna miljoenen dollars zijn gestolen. Opnieuw is het internationale overboekingssysteem SWIFT benut om de buit weg te sluizen. Ditmaal bedraagt de verdwenen som geld ‘slechts’ 10 miljoen dollar. De identiteit van de beroofde bank is stilgehouden, net zoals die van een aantal van de andere banken die in de afgelopen maanden zijn gehackt.
 

Ware golf van bankovervallen

Het is allemaal begonnen, wat de ontdekking betreft, bij de centrale bank in Bangladesh. Daar is in februari dit jaar een digitale diefstal aan het licht gekomen, waarbij de officieel nog onbekende daders maar liefst 81 miljoen dollar hebben buitgemaakt. Dit was echter slechts het topje van de ijsberg. Na de ontdekking van deze roof blijken er meer banken te zijn, waaronder één in Vietnam in december vorig jaar.
 

Veel getroffen banken bevinden zich in Azië

Inmiddels zijn er enkele tientallen banken voor de bijl gegaan, meldt het onafhankelijke security-orgaan ISACA (Information Systems Audit and Control Association). Die beroepsvereniging van security-experts is om hulp gevraagd door de Ukraïense bank waarvan de digitale diefstal net deze week aan het licht is gekomen. ISACA stelt dat het merendeel van de gecompromitteerde banken zich bevindt in landen als Oekraïne en Rusland. Eerder zijn diverse banken in Azië beroofd.

De dieven, die zeer waarschijnlijk een en dezelfde cyberbende zijn, hebben volgens ISACA in totaal enkele honderden miljoenen dollars buitgemaakt. Officieel is de herkomst van de dieven onbekend, maar in de praktijk is er al een belangrijke aanwijzing ontdekt. De privésleutel waarmee een malafide bestand was versleuteld, hebben we eerder gezien, vertelt hoofdonderzoeker Mikko Hyppönen van securityleverancier F-Secure. “Precies één keer eerder gezien!” Meer daarover verderop in dit stuk.
 

Struikelen over spelfout

Ondanks de professionaliteit en het succes van de bankrovers blijken ze toch menselijke missers te maken. De cyberroof bij de bank in Bangladesh is daardoor ontdekt en op het nippertje nog ingeperkt. Het wegsluizen door de rovers is tussentijds opgemerkt, waarna de operatie een halt is toegeroepen. Dat stopzetten is dus pas gebeurd nadat er al 81 miljoen dollar was afgevoerd in een totaal van vier SWIFT-overboekingen. Er stond echter nog een reeks overboekingen ingepland ter waarde van zo’n 850 miljoen dollar.
 

De hack werd ontdekt door een stomme spelfout

De vijfde overschrijving, ter waarde van 20 miljoen, is voorkomen dankzij een spelfout. De naam van de non-profit in Sri Lanka waar het geld in eerste instantie heen zou gaan, was verkeerd gespeld. In plaats van ‘Shalika Foundation’ vermeldde de overboekingsopdracht ‘Shalika Fandation’. Deze fout wekte argwaan bij een tussenliggende bank waar de overboeking langs zou gaan. Die tussenliggende bank is Deutsche Bank, die voor de zekerheid navraag deed bij de overboekende bank in Bangladesh.
 

Brakke bankbeveiliging

Belangrijk detail is dat het interbancaire SWIFT-systeem, waarmee banken dus onderling overboekingen plegen, níet is gehackt. In plaats daarvan zijn individuele banken gehackt. SWIFT waarschuwt dan ook dat sommige van zijn klanten, de banken dus, ‘security issues’ hebben. Dit is een eufemisme voor beveiligingsproblemen of zelfs gaten.

Banken worden geacht hun beveiliging op hoog niveau te hebben, zowel qua personeel en procedures als qua computertechniek. Terwijl dat bij Westerse banken meestal wel het geval lijkt te zijn, blijkt er nogal wat aan te schorten bij banken elders. Zo had de centrale bank in Bangladesh geen firewall en bleek het spotgoedkope, tweedehands netwerkswitches te gebruiken. Het ontbreken van een firewall en het gebruik van 10-dollar switches is onthuld door een onderzoeker van de politie.

De bankrovers hebben voor hun operaties uitgebreide verkenningen uitgevoerd, waardoor ze zeer gericht en dus ook succesvol te werk zijn gegaan. Zo is bij de Vietnamese bank uitgevogeld dat die de PDF Reader van Foxit gebruikt (niet te verwarren met het Nederlandse ICT-securitybedrijf Fox-IT). Vervolgens is een malware-variant van die software gemaakt en naar binnen gekregen bij de bank, weet McAfee Labs van Intel Security te melden.
 

Poker met hoge inzet

Online casino's worden gebruikt om het geld wit te wassen

Vervolgens zijn de SWIFT-inloggegevens van de gehackte banken benut om overschrijvingen te doen waarmee de roof dan wordt afgerond. De initiële overschrijving is zeker niet het einddoel: een web aan stichtingen, vage organisaties, postbus-BV’s en offshore-bedrijven doet dienst om de geldstroom verder te voeren en te verhullen.

De eindbestemming van zulke overboekingen is dan een casino, weet Hyppönen. Hij vertelt PCM over de werkwijze van deze cyberbankovervallers. Het gestolen geld wordt bij een casino dan gebruikt om poker te spelen. Het bijzondere - en voor dieven nuttige - aan poker is dat bij verlies van een speler niet het huis wint, maar een andere speler.

Zo kan een dief dus geld doorgeven aan een handlanger, die in een pokerspel dan formeel een tegenstander is. Na zo’n pokertoernooi met hoge inzet is het gestolen geld dan witgewassen, legt Hyppönnen uit. De buit is door de andere netjes gewonnen in een kansspel, compleet met bonnetje van het spelfaciliterende casino. Overigens hoeft dat niet à la James Bond een fysiek casino met lijfelijk aanwezige spelers te zijn. Online-poker is niet voor niets groot.
 

De daders

De encryptiesleutel is één keer eerder gebruikt

Maar wie zit hier toch achter? Wie voert gedegen verkenningen uit, maakt malware op maat, weet ongemerkt binnen te komen bij banken, sluist succesvol miljoenen weg, en doet dat via pokerspellen? We komen toch weer uit bij James Bond. De door security-onderzoekers gevonden privé-encryptiesleutel is dus één keer eerder in de openbaarheid opgedoken.

“Bij een bepaalde Noord-Amerikaanse filmmaatschappij”, vertelt F-Secure’s Hyppönnen. Hij noemt de geruchtmakende hack bij Sony Pictures, de VS-filmtak van het Japanse concern. Van die vergaande inbraak eind 2014 is toen al vrij snel beweerd dat het communistische Noord-Korea daar achter zat. Dit vanwege de comedy The Interview waarin de Noord-Koreaanse dictator Kim Jong-Un wordt gepersifleerd. Noord-Korea heeft verantwoordelijkheid ontkend.

Later is de beschuldiging echter gevalideerd, merkt Hyppönen op, toen de Amerikaanse overheid bevestigde dat het relatief arme Noord-Korea achter de hack zat. Hoe dat zo stellig gesteld kon worden? Doordat de Amerikaanse inlichtingendienst NSA jaren eerder systemen in het communistische land had gehackt. Alleen is de aanval op Sony Pictures en de nog lopende golf aan bankovervallen niet voortijdig gedetecteerd, zo luidt de officiële verklaring. We leven nu in een hele andere security-wereld, knikt Hyppönen.

Deel dit artikel
Voeg toe aan favorieten