Hackers beroven bank tijdens DDoS-aanval

Een digitale bankroof bij een Amerikaanse bank werd mogelijk gemaakt door een slim ingezette DDoS-aanval. Hierdoor konden cybercriminelen in alle rust pinautomaten leegtrekken.

De multivectoraanval waarbij hackers een heleboel aanvallen tegelijk uitvoeren komt waarschijnlijk al veel langer voor, maar het ontbrak onderzoekers aan praktijkvoorbeelden. Symantec zegt nu in de praktijk te hebben gezien dat gespecialiseerde hackers een DDoS-aanval hebben ingezet als afleidingsmanoeuvre. Dit type aanval wordt ingezet door gespecialiseerde cybercriminelen die zich richten op ťťn doelwit.

In het voorbeeld van Symantec braken hackers in bij een Amerikaanse bank en gingen aan de haal met pinpas- en creditcardgegevens. Met deze data kloonden ze pasjes en huurden criminelen in om geld te trekken uit pinautomaten. Tegelijkertijd legde een DDoS-aanval het telefoonsysteem van de bank plat, zodat klanten niet konden worden gevraagd naar verdachte activiteit op hun rekening. De cyberbende ging er zodoende in 48 uur met 9 miljoen dollar vandoor.

Grote hoeveelheid alarmbellen

Er worden waarschijnlijk al langer gecombineerde aanvallen uitgevoerd waarbij een netwerk wordt overladen met waarschuwingen. "Het is niet makkelijk om te zien dat het dezelfde mensen zijn die zowel de DDoS uitvoeren als de cyberinbraak", vertelt beveiligingsdeskundige Candid WŁest van Symantec aan Webwereld. "Maar we hebben bij ťťn incident gezien dat beide aanvallen zich via dezelfde C&C-server verspreiden." Dit geeft aan dat hetzelfde team zowel de cyberinbraak als de DDoS-aanval uitvoert.

Het lamleggen van bijvoorbeeld een bank met een DDoS levert meerdere voordelen op. Het levert tijd op om rekeningen leeg te trekken en het leidt tot extra afleiding zodat een cyberinval onopgemerkt blijft. "Bij deze bank gebeurde dit laat op de vrijdagmiddag, zodat de ICT-afdeling onderbemand was. Dit vergroot de kans dat de achterliggende inbraak onopgemerkt blijft. Terwijl systeembeheer werkt om de DDoS af te slaan, hebben de hackers de ruimte om de echte aanval te openen", vertelt WŁest.

Onderzoeker David Jacoby van Kaspersky vergelijkt zo'n aanval met de chaos die rovers gebruiken tijdens een rel. "Stel je zet allemaal auto's in brand in een buurt verderop. Dan gaat er een politiemacht daarheen om de situatie onder controle te krijgen en ondertussen is er minder aandacht voor het eigenlijke doelwit." Bij een DDoS-aanval zijn IT'ers druk bezig de site in de lucht te houden of te krijgen en hebben dan mogelijk minder aandacht voor andere toegangspunten in het netwerk. "Je wordt overspoeld met meldingen en een waarschuwing voor een andere aanval kan dan verloren gaan in de chaos."

Cybercriminelen vertragen reactie
Behalve de chaos die ontstaat tijdens de inbraak, heeft het DDoS'en van een bank een tweede voordeel. Cybercriminelen hebben langer de tijd om bijvoorbeeld pinautomaten leeg te trekken met gestolen gegevens of dure spullen te kopen met buitgemaakte creditcardgegevens, zoals bij de aanval die Symantec ontdekte. "Bij verdachte activiteiten wordt er contact opgenomen met de klant om te kijken of die wel echt transacties maakt", zegt WŁest. "Als de telefoonlijnen worden platgelegd met een DDoS, hebben de criminelen meer tijd om transacties uit te voeren."

Op de volgende pagina: Cybercriminelen liften mee op DDoS-aanvallen van hacktivisten.

"Deze cybercriminelen vormen vaak kleine teams van vaardige hackers met gespecialiseerde tools", vertelt Kaspersky's Jacoby. Volgens WŁest worden er botnets ingezet om de DDoS uit te voeren, terwijl hackers zich richten op de daadwerkelijke cybercrime. Het grote voordeel daarvan is dat de hackers van tevoren geen botnet hoeven uit te rollen, omdat commerciŽle botnets gewoon te huur zijn. Via het botnet is dan de afleidingsmanoeuvre geautomatiseerd uit te voeren.

"Een ander voorbeeld is het netwerk overstelpen met waarschuwingen door bijvoorbeeld pentesttools te gebruiken", aldus WŁest. Deze software wordt ook gebruikt tijdens een IT-audit om kwetsbaarheden in het systeem uit te voeren. "Dit hebben we nog niet in de praktijk gezien, maar het zou een methode kunnen zijn om netwerkbeheerders af te leiden." Al die scans leveren verschillende meldingen op waardoor de ingang die eigenlijk wordt misbruikt langer onopgemerkt blijft.

Inhaken op hacktivisten-op
Beveiligingsdeskundigen vermoeden al langer dat cybercriminelen meeliften op operaties van hacktivisten. "Ik heb het nog niet zien gebeuren, maar een hacker zou natuurlijk zijn voordeel kunnen halen uit een aangekondigde aanval van een hacktivistencollectief", vertelt Jacoby. "Dat is in theorie een logische methode. Als je van tevoren een beeld hebt van het netwerk en de toegangspunten, hoef je alleen maar te wachten op de DDoS om binnen te sluipen." Jacoby benadrukt dat dit slechts theorie is.

Maar uit het onderzoek van Symantec blijkt dat in enkele gevallen dezelfde hackergroep verantwoordelijk was voor het platleggen van een zakelijke site, terwijl er tegelijkertijd een cyberdiefstal werd gepleegd. WŁest beaamt dat het heel goed mogelijk is dat cybercriminelen zich bemoeien met een actie van een groep hacktivisten. "Dat kan prima gebeuren. Het wachten is dan op een DDoS-aanval en dan kunnen hackers gewoon inhaken op de activiteit", aldus WŁest.

Reageren op multivectoraanval
"We moeten als beveiligingsgemeenschap scenario's ontwikkelen voor wat we doen als er aanvallen van meerdere kanten komen", stelt Jacoby. "Dat zijn nu nog vooral 'what if'-scenario's, maar het is goed om te weten wat er precies gebeurt tijdens zo'n aanval." Het prioriteren van meldingen is lastig, omdat je niet weet welke gaat over de ingangsmethode die in dit geval wordt misbruikt. "Het is daarom verstandig om bij een groot aantal meldingen gewaarschuwd te zijn dat er meer aan de hand kan zijn", stelt WŁest.

Volgens de Symantec-onderzoeker is de crux het in de gaten houden van het hele systeem bij een groot incident. "Je moet als systeembeheerder niet alles laten vallen om een groot probleem aan te pakken", waarschuwt hij. Verder ligt de oplossing in het zoveel mogelijk vertragen van hackers. Ze hebben tijdens een multivectoraanval beperkt de tijd voor hun inbraak. "Verschillende beveiligingslagen leveren extra tijd op zodat je zwakke plekken tijdig kunt dichten."