INTERPOL, Europol en autoriteiten in verschillende landen hebben hun krachten gebundeld om een crimineel netwerk te achterhalen dat verantwoordelijk was voor een cyberbankroof die zijn weerga niet kent. In zo’n twee jaar tijd wisten de cybercriminelen tot maar liefst één miljard dollar te stelen van wereldwijde financiële instellingen. Volgens experts valt de cyberbankroof toe te schrijven aan een internationale bende cybercriminelen die opereert vanuit Rusland, de Oekraïne, verschillende andere Europese landen en China.
Carbanak, de criminele organisatie die verantwoordelijk was voor de cyberbankroof, maakte voor zijn doelgerichte aanvallen gebruik van verschillende technieken. Deze actie luidt het begin in van een nieuw stadium in de ontwikkeling van cybercriminaliteit, waarbij hackers rechtstreeks geld van banken stelen in plaats van hun ‘pijlen’ op eindgebruikers te richten.
Sinds 2013 hebben de criminelen aanvallen uitgevoerd op zo’n 100 banken en andere financiële instellingen in 30 landen, evenals op systemen voor internetbetalingen. De aanvallen zijn nog altijd gaande. Volgens gegevens van Kaspersky Lab had Carbanak het gemunt op doelwitten in Rusland, de Verenigde Staten, Duitsland, China, de Oekraïne, Canada, Hong Kong, Taiwan, Roemenië, Frankrijk, Spanje, Noorwegen, India, het Verenigd Koninkrijk, Polen, Pakistan, Nepal, Marokko, IJsland, Ierland, de Republiek Tsjechië, Zwitserland, Brazilië, Bulgarije en Australië.
Vermoed wordt dat de grootste sommen geld werden bemachtigd door het hacken van banken. Bij elke aanval werd tot tien miljard dollar gestolen. Elke bankroof nam gemiddeld twee tot vier maanden in beslag, van het infecteren van de eerste computer in het bedrijfsnetwerk van de bank tot het wegsluizen van het geld.
De cybercriminelen begonnen hun aanval door zich toegang te verschaffen tot een computer van een werknemer met behulp van spear phishing. Hierbij werd het systeem van het slachtoffer geïnfecteerd door de Carbanak-malware. De hackers baanden zich vervolgens een weg naar het interne netwerk van computersystemen die door de beheerders voor videobewaking werden gebruikt. Dit stelde de hackers in staat om precies te zien wat er zich op het scherm afspeelde van werknemers die de systemen voor de overdracht van kasgeld onderhielden. De cybercriminelen waren daarmee in staat om alle werkpatronen van de bankmedewerkers tot in detail vast te leggen en deze na te bootsen om geld en kasgeld naar buiten te sluizen.
Hoe het geld werd gestolen
Toen de tijd aanbrak om munt uit hun activiteiten te slaan, maakten de hackers gebruik van systemen voor internetbankieren en internationale betalingen om geld naar hun eigen bankrekening over te maken. In het tweede geval werd het buitgemaakte geld gestort op bankrekeningen in China en de Verenigde Staten. De experts achten het heel goed mogelijk dat er ook banken in andere landen werden gebruikt voor het incasseren van het gestolen geld.
In andere gevallen wisten cybercriminelen tot in het hart van de boekhoudsystemen door te dringen en rekeningsaldi op te krikken, waarna ze de aanvullende bedragen met behulp van frauduleuze transacties wisten te bemachtigden. Als een rekening bijvoorbeeld een saldo van 1.000 dollars had, wijzigden de criminelen dit bedrag in 10.000 en maakten ze vervolgens 9.000 dollar naar zichzelf over. De rekeninghouders zagen hier geen kwaad in, omdat de oorspronkelijke 1.000 dollar nog altijd aanwezig was.
De cybercriminelen namen daarnaast de controle van pinautomaten van banken over en gaven ze opdracht om op een vooraf gedefinieerd tijdstip geld af te geven. Toen het moment van betaling aanbrak, wachtte een van de bendeleden naast de pinautomaat om de ‘vrijwillige’ betaling te collecteren.
“Het verbazingwekkende aan deze bankroven is dat het geen verschil uitmaakte welke software de banken gebruikten. Dus zelfs als hun software uniek is, moeten banken op hun hoede blijven. De aanvallers hoefden zich niet eens een weg naar de services van de bank te hacken: zodra ze het netwerk waren binnengedrongen, wisten zij precies hoe zij hun kwaadaardige plan achter legitieme handelingen konden verbergen. Het was een bijzonder uitgekiende en professionele cyberbankroof”, aldus Sergey Golovanov, principal security researcher bij het Global Research and Analysis Team van Kaspersky Lab.
“Deze aanvallen onderstrepen eens temeer dat criminelen misbruik zullen maken van elke kwetsbaarheid in elk systeem. En ze wijzen er tevens op dat organisaties in geen enkele sector zich immuun kunnen wanen. Ze moeten hun beveiligingsprocedures voortdurend op peil houden. Het identificeren van nieuwe trends op het gebied van cybercriminaliteit is een van de belangrijke terreinen waarop INTERPOL met Kaspersky Lab samenwerkt. Het doel hierbij is om organisaties in de publieke en private sector te helpen om zich effectiever te beschermen tegen deze zich voortdurend ontwikkelende bedreigingen”, aldus Sanjay Virmani, directeur van het Digital Crime Centre van INTERPOL.