Zuid-Koreaanse banken aangevallen via zero days in antivirus en VM

De afgelopen jaren zijn Zuid-Koreaanse banken meerdere keren gehackt. Kwaadwillenden maakten daarbij gebruik van zero days in anti-virussoftware en virtual machinesoftware. Medewerkers van het Koreaanse Financial Security Institute hebben dit tijdens de Black Hat Asia beveiligingsconferentie bekendgemaakt.

In maart 2017 werd één van de grootste Zuid-Koreaanse banken op deze manier gehackt. De aanval begon met spear-phishingmails aan het bankpersoneel. Deze mails kwamen binnen op een virtual machine die het personeel toegang geeft tot internet, maar niet tot het interne netwerk.

Virtual machinesoftware

De hackers hadden echter een zero day in de virtual machinesoftware ontdekt, zodat ze zich alsnog via de host-computer toegang konden verschaffen tot het interne netwerk. De virtual machinesoftware had de mogelijkheid om bestanden tussen de hostcomputer en het gastsysteem te delen. Deze functie was niet standaard uitgeschakeld, zoals de fabrikant ervan beweerde, maar bleek slechts verborgen te zijn.

Anti-virus

Een andere hack waar de onderzoekers informatie over gaven, dateert uit 2015. Kwaadwillenden benutten toen zowel een zero day in de anti-virusserver van een bank als een verkeerde configuratie tussen de geldautomaten en de updateserver. Eenmaal toegang tot de updateserver, infecteerden de aanvallers ruim 60 geldautomaten. Het duurde tot maart 2017, totdat de bank dit ontdekte. Inmiddels waren er toen data van 230.000 unieke betaalkaarten onderschept.

Nation state actors

Verder vermeldden de onderzoekers aanvallen op bitcoinbeurzen en een Egyptische bank. Deze hacks zouden door ‘nation state actors’ zijn gepleegd. “In veel gevallen hebben de aanvallers uitgebreide kennis van het gecompromitteerde systeem, de netwerkomgeving en hun doelwitten. Ze passen hun tools aan en ontwikkelen zero-days voor hun doelwitten,” concludeerden de onderzoekers.

Aanmelden voor onze nieuwsbrief