Analyse av skadevare og annen angrepskode fra blant annet det digitale bankranet mot Bangladesh Bank i februar i år, kan ifølge Symantec tyde på at aktørene som står bak, kan ha forbindelser med Lazarus Group, som siden 2009 skal ha stått bak angrep mot mål primært i USA og Sør-Korea. Det mest kjente av disse angrepene rammet Sony Pictures Entertainment i 2014.
Både mye intern informasjon og flere helt nye filmer ble stjålet fra Sony Pictures og senere spredt via fildelingstjenester. Til tross for svake bevis, ble pekefingeren rettet mot Nord-Korea, som kategorisk avviste anklagene.
- Bakgrunn: Sony Pictures hacket
_logo.svg.png){kind=logo}
Tolv banker
I dette blogginnlegget presenterer Symantec en detaljert analyse av det antatte opphavet til skadevaren i de ulike angrepen. Primært dreier det seg om at spesielle egenskaper er felles for de ulike trojanerne og bakdørene.
Til nå har skadevaren blitt knyttet til angrep og angrepsforsøk mot to banker i tillegg til Bangladesh Bank. Dette er Tien Phong Bank i Vietnam, hvor forsøket i fjor høst på å overføre mer enn 1 million dollar via SWIFT-finansnettverket var mislykket, og Banco del Austro i Ecuador, hvor 13,8 millioner dollar forsvant tidligere i fjor som følge av to tilsvarende angrep.
Men ifølge Symantec skal i alle fall én bank i Filippinene ha blitt angrepet med tilsvarende skadevare.
Likevel skal kan det se ut til at dette bare er toppen av isfjellet. Ifølge Bloomberg skal etterforskningen av det digitale bankranet mot Bangladesh Bank – som til tross for at det var delvis mislykket blir ansett som det største til nå – ha blitt utvidet til tolv banker.
Alle skal være knyttet til SWIFT-nettverket og ha opplevd tilsvarende uregelmessigheter. Det er en ikke navngitt person tilknyttet etterforskningen som opplyser dette.
Det er bankene selv som skal ha kontaktet FireEye, sikkerhetsselskapet som Bangladesh Bank har leid inn for å bidra til etterforskningen av det digitale bankranet.
De fleste av de ikke navngitte bankene skal høre hjemme i Sørøst-Asia, inkludert Filippinene og New Zealand.
- Så godt som bekreftet: Bankhackingen i Bangladesh var bare ett av flere angrep
Ikke overrasket
Bloomberg har gjengitt en uttalelse fra SWIFT hvor det finansnettverket skriver at det ikke er fullstendig overraskende at det har dukket opp nye, mulige tilfeller siden bankene nå bør være i gang med grundig revidering av miljøene.
– Mange kan vise seg å være falske positiver og/eller har ingenting med SWIFT-meldinger å gjøre, men er viktig at disse vurderingene skjer og at bankenes miljøer er sikret, skriver SWIFT.
Nytt sikkerhetsprogram
I dag introduserte for øvrig SWIFT et nytt kundesikkerhetsprogram som skal kunne bidra til å hindre tilsvarende angrep i framtiden. Det er ikke sikkerheten i selve SWIFT-nettverket som har blitt kompromittert, men SWIFT-tilknyttede datamaskiner hos de berørte bankene.
– Selv om den individuelle SWIFT-kunde er ansvarlig for sikkerheten i sine egne omgivelser, kan sikkerheten til global bankvirksomhet bare sikres i fellesskap, sier SWIFT-CEO Gottfried Leibbrandt i en pressemelding.
Sikkerhetsprogrammet skal tydelig definere et minste utgangspunkt for drift og sikkerhet, som kundene må overholde for å beskytte prosesseringen og håndteringen av deres SWIFT-transaksjoner.
I programmet trekkes det spesielt fram fem strategiinitiativer som skal være gjensidig forsterkende. Dette inkluderer bedre informasjonsdeling i det globale fellesskapet, bedre SWIFT-relaterte verktøy til kundene, bedre retningslinjer og rammeverk for revidering, støtte for økt mønsterkontroll og svindeldetektering, samt forbedret støtte for tredjeparts sikkerhetsløsninger.
