Lazarus: Wer steckt hinter den Angriffen auf das Überweisungssystem SWIFT?



    Das Interbank-SWIFT-System erlebt schwere Zeiten. Im Februar 2016 gelang es Hackern aufgrund der Unvollkommenheit von SWIFT, 81 Millionen US-Dollar von der Zentralbank von Bangladesch abzuziehen - wir haben darüber geschrieben . In der Folge stellte sich heraus, dass dies nicht der einzige Fall ist, in dem SWIFT gehackt wird. Opfer von Hackern im Januar 2015 begannen , als ecuadorianische Bank Banco del Austro in Ecuador. Darüber hinaus wurde die Tatsache eines erfolglosen Angriffs auf die vietnamesische Tien Phong Bank aus Vietnam, der zuvor nicht gemeldet wurde, enthüllt .

    Symantec Antivirus - Experten des Unternehmens untersucht häufige Fälle von Hacking, um herauszufinden , wer hinter diesen Verbrechen und Entführungen von Millionen von Dollar in Finanzinstituten aus der ganzen Welt sein könnte.

    Angriff auf die Banco del Austro in Ecuador


    Im Januar 2015 kam es zu einem Anschlag auf eine Bank in Ecuador. Infolge des Cyberangriffs wurden 9 Millionen US-Dollar gestohlen. Das kriminelle System ähnelt dem, das von Kriminellen früher beim Angriff auf die Zentralbank von Bangladesch angewendet wurde. Es wird davon ausgegangen, dass die Angreifer ein Programm verwendeten, das mit dem SWIFT-System Dateien auf den Computern von Banken lesen und lokale Sicherheitsmaßnahmen umgehen konnte. Hacker nutzten den erlangten Zugang zur Bank für 10 Tage. Während dieser Zeit sandte das Programm über SWIFT falsche Anfragen an die Wells Fargo Bank in San Francisco und leitete Überweisungen auf Konten in Hongkong, Dubai, New York und Los Angeles ein.

    Die Tatsache des Hackens wurde geheim gehalten. Sie wurde erst im Mai 2016 veröffentlicht, als die betroffene Bank einen Antrag beim New Yorker Bundesgerichtshof stellte. In der von der Banco del Austro gegen Wells Fargo eingereichten Klage wurde der gesamte gestohlene Betrag geltend gemacht.

    Das SWIFT-Management gab eine offizielle Erklärung ab, dass die Netzwerke, die Software und die Hauptnachrichtendienste des Systems nicht kompromittiert wurden, aber die Hacker, die den Angriff ausführten, verstanden die Besonderheiten der Kontrolle über Operationen in der beschädigten Bank sehr gut.

    Lazarus-Gruppe


    Laut Symantec-Experten könnte die Hacker-Gruppe Lazarus hinter den oben beschriebenen Angriffen stecken. Diese Community existiert seit vielen Jahren, erstmals waren Hacker in den Jahren 2007-2009 aktiv.

    Die Diagramme ihrer Aktivität zeigen an, dass die Gruppenmitglieder im GMT + 8- oder GMT + 9-Gürtel leben. Darüber hinaus beträgt ihr Arbeitstag mindestens 15-16 Stunden pro Tag. "Die Lazarus Group ist wahrscheinlich die fleißigste APT-Gruppe, die wir untersucht haben (und es gab viele davon in den letzten Jahren)" , so die Mitarbeiter von Kaspersky Lab.

    In der Vergangenheit haben Angreifer mehr als 45 Familien bösartiger Anwendungen erstellt, das erfolgreich im Bereich der Cyberspionage sowie bei Angriffen zur Datenvernichtung und zur Deaktivierung verschiedener Systeme eingesetzt wurde. Experten zufolge war es die Lazarus-Gruppe, die 2014 für den verheerenden Angriff auf die Sony Pictures Entertainment-Filmfirma verantwortlich war.

    Experten des Technologieunternehmens Symantec fanden Hinweise auf Cyberangriffe auf Sony Pictures, die Zentralbank von Bangladesch, Banken in Vietnam und die Philippinen. Nordkoreanische Hacker eingesetztAlle Hacks haben den gleichen spezifischen Code. Darüber hinaus wird die Beteiligung der Lazarus-Gruppe an all diesen Vorfällen durch spezielle Methoden zum Löschen von Spuren der Präsenz in infizierten Systemen sowie durch die Techniken angezeigt, mit denen die Erkennung durch Antivirenprogramme vermieden wurde. Als Folge Dutzende von digitalen Angriffen waren die Organisatoren von denen bis vor kurzem unbekannt, reduziert auf eine einzige Quelle - Lazarus.

    Vertreter der Firma Symantec sagen, dass es der erste Fall in der Weltgeschichte sein wird, wenn Informationen darüber vorliegen, dass die Angriffe von der DVRK organisiert wurden, wenn der Staat durch Hacking Diebstähle begeht.

    Warum ist es DPRK


    Nordkorea braucht dringend Geld. Die Wirtschaft des Landes leidet unter Sanktionen und Nahrungsmittelknappheit. Pjöngjang veröffentlicht keine Wirtschaftsdaten, aber nach Schätzungen schwankt das BIP Nordkoreas zwischen 12 und 40 Milliarden US-Dollar. Möglicherweise wird die Regierung der DVRK strafrechtliche Maßnahmen ergreifen, um das Budget aufzustocken.

    Zum Beispiel ist das Land ein Ort der Herstellung von Falschgeld geworden - US-Regierungsbeamte haben Nordkorea wiederholt beschuldigt, Hundert-Dollar-Scheine, sogenannte Superdollars oder Supernotes, gefälscht zu haben, da die Fälschungen vom Original kaum zu unterscheiden waren.

    Eric Chien, Sicherheitsspezialist bei Symantec, schließt nicht aus, dass die DVRK Cyberangriffe durchführt, um an Geld zu kommen. "Bei einem Hackerangriff auf die Zentralbank von Bangladesch haben Hacker versucht, 1 Milliarde US-Dollar zu stehlen, was fast 10 Prozent des geschätzten BIP der DVRK für 2014 entspricht. Diese Idee ist also durchaus plausibel" , sagt er .

    So schützen Sie SWIFT


    Um die von Nordkorea ausgehende Bedrohung einzugrenzen, kann das Bankensystem dieses Landes von der Welt abgekoppelt werden - diese Maßnahme wird als Sanktion erörtert. Darüber hinaus gaben das russische Kaspersky Lab, die amerikanische Novetta, AlienVault und Symantec im Winter 2016 bekannt, dass sie eine groß angelegte gemeinsame Operation „Blockbuster“ durchführen werden. Das erklärte Ziel der Operation ist es, die Gruppe der Hacker Lazarus zu stoppen.

    Die Administration des SWIFT-Systems stützt sich jedoch nicht nur auf die Bemühungen von Experten von Antiviren-Unternehmen. Obwohl das System der Finanztransfers offiziell keine Verantwortung für die Vorfälle übernimmt, hat die Organisation dennoch 5 Maßnahmen entwickelt, mit deren Hilfe sie zur Verbesserung der Situation im Bereich der Cybersicherheit beitragen will.

    1. SWIFT will den Informationsaustausch zwischen Teilnehmern der gesamten globalen Finanzgemeinschaft deutlich verbessern. Laut Gottfried Leibbrandt, CEO von SWIFT, melden Finanzinstitute aus Angst, ihre Aktivitäten zu diskreditieren, selten Fälle von Hackerangriffen. Ein solches Schweigen verschärft die Situation nur und verhindert spätere Angriffe auf den Bankensektor nicht.
    2. Zusätzlich ist geplant, die Sicherheitsregeln für von Banken verwendete Software zu verschärfen.
    3. SWIFT wird seinen Kunden ein spezielles „Zahlungsauftragskontrollprogramm“ entwickeln und anbieten. Mit ihrer Hilfe können verdächtige Aktivitäten frühzeitig erkannt werden.
    4. Das System wird auch seine Empfehlungen verbessern und ein sicheres System für die Prüfung seiner Kunden bei Banken entwickeln.
    5. Darüber hinaus ist geplant, Anforderungen für Drittanbieter von Software einzuführen.

    Die Umsetzung der vorgeschlagenen Maßnahmen wird Finanzunternehmen eine runde Summe kosten. Ergebnisse können jedoch nur durch gemeinsame Anstrengungen aller Branchenvertreter erzielt werden.

    „SWIFT ist nicht allmächtig, wir sind keine Aufsichtsbehörde, wir sind kein Polizist. Der Erfolg hängt von der Beteiligung aller Interessenten in und um die Branche ab “, sagt Leibrandt.

    Der frühere SWIFT-CEO Leonard Schrank glaubt natürlich, dass die Fehler behoben werden. Es wird jedoch immer schwieriger, Hackerangriffe jedes Mal abzuwehren, da Finanzinstitute hochrangige Cracker anziehen.

    Finanzunternehmen entwickeln eigenständig verschiedene Sicherheitstools, mit denen nicht nur die Folgen von Hacks, sondern auch häufig auftretende IT-Systemfehler bekämpft werden können. Beispielsweise können Fehler beim Betrieb von Börsensystemen auch zu einer falschen Anzeige von Handelsdaten oder einer falschen Berechnung der Garantiesicherheit für das Halten einer Position führen (ein Fehler kann sogar zum vorzeitigen Abschluss einer Transaktion führen).

    Um mögliche Schäden zu minimieren, entwickeln Maklerunternehmen verschiedene Schutzsysteme Kunden. Wie dieser Schutz im ITinvest MatriX- Handelssystem implementiert ist, können Sie dem Link entnehmen .

    Jetzt auch beliebt: