Das Brüsseler Organisation SWIFT ist der Dreh- und Angelpunkt des internationalen Finanzsystems. Die Kooperative von etwa 3.000 Bankinstituten sorgt dafür, dass Zahlungsvorgänge in aller Welt vorgenommen werden können. Nun ist SWIFT in diesem Jahr häufiger in den Schlagzeilen aufgetaucht, als es dem Unternehmen lieb sein kann. Anfang dieses Jahres stahlen Cyber-Kriminelle 10 Millionen US $ von einer ukrainischen Bank mithilfe des SWIFT-Abwicklungssystems. Die Cyberdiebe zweigten die Millionenbeträge von einer ungenannten ukrainischen Bank via SWIFT ab und verschoben Sie sehr schnell.

Die Information Systems Audit and Control Association (ISACA) wurde von der ukrainischen Bank beauftragt, diesen Hack zu untersuchen und den Schaden zu beseitigen. Deren Experten fanden sodann Beweise, dass die Kriminellen Millionenbeträge in ein Netz von Offshoregesellschaften verschoben haben – ebenfalls über die internen SWIFT Systeme. Laut ISACA seien

„zum gegenwärtigen Zeitpunkt Dutzende von Banken (vor allem in der Ukraine und in Russland) kompromittiert und Hunderte von Millionen Dollar gestohlen worden“.

Russland sowie auch die Ukraine sind derzeit Tummelplatz von ATM-Malware-Gauner. Es scheint daher wahrscheinlich, dass Dutzende von Banken Opfer der Carbanak Bande oder der Metel (russisch für Blizzard) Banden wurden, dies jedoch noch nicht öffentlich gemacht haben.

Laut der ISACA, würden die Angreifer, wie bei früheren Diebstählen dieser Art, in der Regel öffentlich zugängliche Informationen nutzen, um vorab so viel wie möglich über die Bank herauszufinden. Vor dem Cybereinbruch würden auch monatelang penibel Informationen über interne Abläufe gesammelt und dieses Wissen dann genutzt, um Geldanweisungen sehr schnell über das SWIFT-Konto der Bank abzuwickeln.

Nun ist der ukrainische Vorfall bereits der fünfte öffentlich bekannt gewordene SWIFT-Diebstahl. Erst im März dieses Jahres hatten vermutlich die gleichen Kriminellen versucht, die riesige Summe von 81 Millionen US-Dollar von der Zentralbank in Bangladesch zu stehlen. Sie kamen an die Zugangsdaten für Zahlungsüberweisungen durch das Knacken der Sicherheitssysteme der Notenbank. Damit konnten sie die Zweigstelle der US-Notenbank (Fed) in New York beauftragen, eine Vielzahl von Geldtransaktionen an private Einrichtungen auf den Philippinen und in Sri Lanka vorzunehmen. Die Fed wickelt in diesem Fall alle internationalen Zahlungen für die Zentralbank in Bangladesch ab.

Als Nächstes wurden gleichartige Coups auf Banken in Vietnam, Ecuador und Osteuropa versucht. Und die Wahrscheinlichkeit ist groß, dass es noch andere gleichartige Vorfälle gibt, die bisher aus vielfältigen Gründen noch nicht gemeldet worden sind. Aus Angst gehen die meisten betroffenen Banken mit Informationen zu solchen Vorfällen nicht an die Öffentlichkeit. Andrew Patel, Senior Manager der Abteilung Technological Outreach bei F-Secure erläuterte, dass die Länder auch alle unterschiedliche Meldungsvorschriften für solche Vorfälle hätten, und dass es deshalb möglich ist, dass der volle Umfang dieser Angriffs-Kampagne ist noch nicht bekannt ist oder zumindest noch nicht darüber berichtet wurde.

SWIFT hat zudem wiederholt darauf hingewiesen, dass die Sicherheit in erster Linie die eigene Verantwortung der einzelnen Mitglieder sei. Das Unternehmen hatte auch stets erklärt, sein eigenes Netzwerk und seine Dienstleistungen seien sicher und immer wieder die Banken dafür verantwortlich gemacht, dass Hacker interne Terminals für die Banküberweisungen missbrauchen würden.

Gottfried Leibbrandt, Hauptgeschäftsführer von SWIFT, liebäugelt daher sogar mit der Idee des Ausschlusses von Mitgliedern, deren Sicherheitsrichtlinien nicht den Anforderungen entsprechen würden, bis sie ihre Cyber-Sicherheit verbessert hätten. Dies sagte er vor dem Hintergrund, dass die Kriminellen wiederholt lokale Sicherheitsmaßnahmen der betroffenen Banken überwinden konnten, um SWIFT zu kompromittieren, nicht umgekehrt.

Angreifer fanden auch Möglichkeiten, Aufzeichnungen über die Transaktionsvorgänge der gestohlenen Gelder zu verstecken, indem sie die Transaktionsprotokolle löschten. Dann verschafften sich die Diebe Zugriff auf die SWIFT-Konten der jeweiligen Banken mithilfe der gestohlenen Zugangsdaten und führten die Geldanweisungen auf eigene Konten durch.

Patel fügte hinzu, dass

„Die Strippenzieher hinter diesen Angriffen auch eine erhebliche Menge Zeit und Mühe investieren, das SWIFT System kennenzulernen und wie sie es angreifen können. Ich wäre nicht überrascht, wenn sie sich eine eigene SWIFT-Testumgebung besorgt und eingerichtet haben, um zu es eingehend zu studieren und ihre Angriffsszenarien vorab zu testen. In Anbetracht der Schwierigkeit, wie lange es dauern würde, die Handhabung dieses System zu erlernen, ist es möglich, dass sie mehrere verschiedene Angriffsvarianten parat haben.“

Zwar gibt es derzeit noch wenig Aufschluss über die Identität der Angreifer. Allerdings deutet die verwendete Malware, die zunächst die lokalen Server der SWIFT-Partner angreift und dann die weitläufig ausgelegten Angriffe verbindet, auf die Methoden der Lazarus-Gruppe hin. Verschiedene Analysen behaupten, dass die gleichen „Fingerabdrücke“ der nordkoreanischen APT-Gruppe auf den Sony Hacks 2014 zu finden waren.

Banken in Bangladesch – mehrfach Ziel der Cyberdiebe
Die Polizei in Bangladesch untersucht einen fast vergessenen Cyberangriff aus 2013 auf die größte Geschäftsbank des Landes. Sie erhoffen sich dabei Verbindungen zu dem Angriff vom Februar dieses Jahres aufzudecken, bei dem versucht wurde, 81.000.000 US-Dollar von der Zentralbank zu entwenden. Beim unaufgeklärten Diebstahl über 250.000 US-Dollar von der Sonali Bank wurden ebenfalls betrügerische Überweisungsanfragen über das SWIFT-Netzwerk übermittelt. Die Sonali Bank informierte SWIFT seinerzeit über den Vorfall und ihre Versuche, das Geld von den Empfängern in der Türkei zurückzuholen, blieben erfolglos.

Der Freitag, als der diesjährige Angriff durchgeführt wurde, war gut gewählt. Die Zentralbank von Bangladesch war aufgrund eines wichtigen Feiertages geschlossen. Ein Rechner eines Angestellten der Bangladescher Zentral Bank konnte daher von unbekannten Hackern missbraucht werden, um Zahlungen über SWIFT auszuführen. Die Hacker sendeten betrügerische Nachrichten, angeblich von der Zentralbank in Dhaka, zum SWIFT-System der New Yorker Federal Reserve Bank, um von dort aus fast 1 Mrd. EUR von dem Bank-Konto in Bangladesch zu überweisen. 30 der Transferversuche wurden blockiert, aber etwa 81 Mio. US-Dollar landeten bei einer philippinischen Bank und wurden von dort in Kasinos weitergeleitet und gelangten später nach Hongkong. Von dort verliert sich dann jede Spur des Geldes.

Der Transfer von 20.000.000 US-Dollar nach Sri Lanka sollte zur Shalika Foundation, einer in Sri Lanka ansässigen private Gesellschaft mit beschränkter Haftung gesendet werden. Die Hacker leisteten sich jedoch einen verhängnisvollen Tippfehler und trugen im Überweisungsformular statt „foundation“ – „fundation“ ein. Dieser Rechtschreibfehler kam der Deutschen Bank verdächtig vor, die als Routing-Bank, die Transaktion stoppte und infrage stellte, worauf die Manipulation aufflog.

Es gab nach der eingeleiteten Untersuchung des Vorfalls durch World Informatix Cyber Security unter Mitwirkung von Forensikern der Mandiant FireEye gewisse Hinweise, wer die Hacker sein könnten, die die gestohlenen 81 Millionen US-Dollar in die Philippinen geleitet hätten. Ralph Recto, einer der Untersuchungsleiter auf den Philippinen sagte, wahrscheinlich waren chinesische Hacker an dem Coup beteiligt. China hat dies zurückgewiesen. Letztendlich konnten 15 Millionen US-Dollar der gestohlenen Gelder zurückgeholt werden. Obwohl die Untersuchungen abgeschlossen sind, sind die Hintergründe der Vorgehensweise des Angriffs weiterhin ungeklärt. Dies liegt daran, dass die Untersuchungen an den strengen Gesetzen zum Bankgeheimnis gelähmt wurden und auch daran, dass Kasinos nicht in den Geltungsbereich des Anti-Geldwäschegesetzes fallen. Nicht verwunderlich ist daher, dass Bangladesch auf Rang 20 der Kaspersky Lab Liste der Länder mit den meisten Cyber-Angriffe steht.

Vietnamesisch Bank vereitelt Hackingeinbruch über SWIFT-Messaging-System

Vietnam Tien Phong Bank bekam die zweite Bank, die mittels gesendeter gefälschter Nachrichten über das SWIFT -System angegriffen wurde. Tien Phong erklärte, es habe eine verdächtige Anfrage auf Überweisung von 1.100.000 US-Dollar durch SWIFT identifiziert und gestoppt. Die Überweisungsanfrage kam über einen weiter nicht näher benannten Drittanbieter, den die Bank verwendet, um sich mit dem SWIFT-System zu verbinden. Tien Phong hat mittlerweile den Drittanbieter gewechselt.

Laut SWIFT war auch eine zweite Bank in Vietnam Ziel eines Angriffs. Es wurden aber keine näheren Angaben dazu gemacht.

Ecuador Bank gehackt – 12 Millionen US-Dollar gestohlen im 3. Angriff auf SWIFT-System

Der dritte SWIFT Fall wurde von einer ecuadorianischen Bank gemeldet. Die Cyber-Kriminellen verwendeten ähnliche Methoden wie beim Angriff gegen die Zentralbank in Bangladesch. Bei dem über einen Zeitraum von mehr als zehn Tagen ausgeführten Angriff verwendet Hacker ebenfalls die SWIFT Anmeldeinformationen eines Bankangestellten, um Überweisungsdetails für mindestens 12 Transfers zu ändern, und über 12 Millionen US-Dollar auf Konten in Hongkong, Dubai, New York und Los Angeles zu überweisen.

Der Angriff auf die Banco del Austro in Ecuador fand bereits im Januar 2015 statt und kam am 28. Januar 2016 ans Licht aufgrund einer Klage der Bank gegen Wells Fargo, eine in San Francisco ansässige Bank. Banco del Austro macht Wells Fargo dafür verantwortlich, die betrügerische Transaktionen nicht entdeckt zu haben und verlangt, dass Wells Fargo den vollen Betrag zurückzahlt.
Die Klage vor einem New Yorker Bundesgericht basiert darauf, dass einige dieser Angriffe hätten verhindert werden können, wenn Banken mehr Details über die Angriffe mit der SWIFT-Organisation geteilt hätten.

Wells Fargo focht zurück und beschuldigt die Sicherheitsrichtlinien und Verfahren der Bank am erfolgreichen Coup und belegte, dass sie die Überweisungen die sie über authentifizierte SWIFT-Nachrichten empfangen hatte, korrekt weiterverarbeitet hatte. SWIFT dagegen hatte bis dahin keine Ahnung von dem Vorfall, da weder Banco del Austro noch Wells Fargo Details über den Angriff geteilt hätten. Es stellt sich heraus, dass die Sicherheit von SWIFT bei dem Angriff selbst nicht verletzt wurde, aber die Cyber-Kriminellen verwendeten weiterentwickelte Malware, um Anmeldeinformationen von Bankangestellten zu stehlen und auch um ihre eigenen Spuren zu verwischen.

Im vierten Hackerangriff traf es eine philippinische Bank

Die gleiche Methode wie in allen anderen Überfällen wurde auch in den Philippinen angewendet. Symantec hat hier drei Malware-Programme identifiziert, die in Südostasien bei gezielten Angriffen gegen die Finanzindustrie verwendet wurden: Backdoor.Fimlis, Backdoor.Fimlis.B und Backdoor.Contopee. Zunächst war unklar, was die Motivation hinter diesen Angriffen war, jedoch stellten Code-Sharing zwischen Trojan.Banswift (im Bangladesch-Angriff verwendet um SWIFT-Transaktionen zu manipulieren) und frühen Varianten von Backdoor.Contopee, einen Zusammenhang her.
Verwischungscodes wurden verwendet, um die Banküberfälle zu vertuschen, die identisch sind mit denen der Sony Pictures Angriffe, entdeckten die Symnatec Forscher während ihrer Ermittlungen. Diese Gemeinsamkeit lässt demnach auf die gleiche Hackergruppe schließen.

Symantec glaubt nun, dass dieser unverwechselbare Code geteilt wurde und dass Backdoor.Contopee in gezielte Angriffe gegen Finanzinstitute in der Region eingesetzt wurde. Backdoor.Contopee wurde bisher von breit gefächerten Angriffsgruppen wie Lazarus verwendet. Lazarus wird seit 2009 mit einer Reihe von aggressiven Attacken, weitgehend auf Ziele in den USA und Südkorea, in Verbindung gebracht.

Die Fed hat neue Pläne für die Überwachung

Die Federal Reserve denk über eine „verstärkte Überwachung“ bestimmter Arten von Transaktionen nach, nachdem Hacker in der New Yorker Niederlassung der FED 81.000.000 US-Dollar von Konto der Bangladesch Bank gestohlen hatten. Fed-Chefin Janet Yellen sagte

„Wir erwarten, dass die Institutionen, die wir überwachen sicherstellen, dass sie selbst die Verfahren einhalten, die den Zugriff auf kritische Zahlungsdienste kontrollieren und zu überprüfen und sicherzustellen, dass die Sicherheitsanforderungen eingehalten werden“.

Es wurde auch gefordert Informationen über den Vorfall bei der Fed vorzulegen. Damit wird die Bankenaufsicht unter Druck gesetzt, auf die offensichtlichen Schwächen in SWIFT-Netzwerken zu Reagieren.

SWIFT holt sich Cybersicherheitshilfe von außen

Nach der Reihe von Diebstählen bei Banken holt sich SWIFT zusätzliche Unterstützung in Sachen Sicherheit. Das Unternehmen hat zwei Sicherheitsfirmen angeheuert – das britische Unternehmen BAE Systems und Fox-IT-Sicherheit aus den Niederlanden, um seinen Kunden dabei zu helfen, ihre Sicherheit zu verbessern.

Insbesondere BAE Systems kennt das SWIFT-Netzwerk recht gut, da es unabhängige Berichte über die jüngsten Angriffe veröffentlicht hat, insbesondere einen gegen eine Bank in Vietnam.

Seit diese Angriffe ans Licht kamen, hat SWIFT ein neues Sicherheitsprogramm für Kunden umgesetzt, in dem Bemühen ihnen klarzumachen, dass ihre Sicherheitssysteme auch einen entscheidenden Anteil daran haben, den Missbrauch des SWIFT-Netzwerks zu verhindern.

SWIFT hat auch ein eigenes Team das sich auf IT-Forensik und Kundensicherheit konzentriert, welches mit den beiden Sicherheitsfirmen zusammenarbeiten wird. Die SWIFT-Experten führen forensische Untersuchungen bei Banken, die SWIFT-bezogenen Angriffe erlitten haben durch und tauscht die Informationen in anonymisierter Form mit anderen Banken aus. Zu den Initiativen des Informationsaustauschs gehören Kataloge über eine Zusammenstellung der Malware, die bei den Angriffen eingesetzt wurde und der „Hauptindikatoren der Vorfälle“.

Jedoch werden keine dieser Initiativen zum Informationsaustausch funktionieren, wenn es keine Informationen zum Teilen gibt. SWIFT nutzte die Gelegenheit seine Kunden daran zu erinnern, dass sie vertraglich verpflichtet sind, SWIFT im Falle eines Angriffs auf ihre Systeme zu informieren – auch wenn der Angriff nicht zum Erfolg führte.

Artikel von theregister.co.uk, 28.06.2016: SWIFT hackers nick $10m from Ukraine bank
Artikel von scmagazineuk.com, 28.06.2016: SWIFT robbers swoop on Ukrainian bank
Artikel von reuters.com, 19.05.2916: Bangladesh Bank official’s computer was hacked to carry out $81 million heist: diplomat
Artikel von reuters.com, 25.05.2016: Exclusive: Bangladesh probes 2013 hack for links to central bank heist
Artikel von wikipedia.org, letzter Stand 11.07.2016: 2016 Bangladesh Bank heist
Artikel von scmagazine.com, 16.05.2016: Vietnamese bank thwarts hack made through SWIFT messaging system
Artikel von thehackernews.com, 20.05.2016: Ecuador Bank Hacked — $12 Million Stolen in 3rd Attack on SWIFT System
Artikel von theregister.co.uk, 27.05.2016: FOURTH bank hit by SWIFT hackers
Artikel von thehill.com, 22.06.2016: Fed weighs enhanced scrutiny on transfers after $81M cyberheist
Artikel von csoonline.com, 11.07.2016: SWIFT brings in external support as it fights wave of bank hacks
Artikel von scmagazine.com, 11.07.2016: SWIFT hires two cybersecurity firms in wake of digital heists