Digitale roof liep via hét bankenplatform

Is het transactiesysteem van de banken veilig? Cyberrovers zijn er actief.

Illustratie Studio NRC

Een van de grootste digitale bankroven aller tijden wordt steeds spannender. Vorige maand bleek dat de centrale bank van Bangladesh in februari werd beroofd van 81 miljoen dollar – de rovers probeerden overigens 951 miljoen te stelen.

De bankroof kostte de president van de centrale bank de kop, veroorzaakte een rel op de Filippijnen waar de miljoenen naartoe werden gesluisd en witgewassen en zorgde voor politieke ophef in de VS. Het geld van de Bangladesh Bank stond namelijk geparkeerd bij de New York Federal Reserve Bank. „Een hondsbrutale roof”, noemde het Congreslid Carolyn Maloney de inbraak, die „de veiligheid en betrouwbaarheid van internationale monetaire transacties” bedreigt.

Sinds deze week heeft de zaak nóg een dimensie. De diefstal vond namelijk plaats via manipulatie van SWIFT, het platform waarmee 11.000 banken en financiële instellingen hun internationale overboekingen regelen. Dat blijkt uit een analyse van de gebruikte malware (inbreeksoftware) die het Britse beveiligingsbedrijf BAE Systems maandag publiceerde. En dat roept de vraag op in hoeverre andere banken kwetsbaar zijn voor vergelijkbare inbraken.

Alle instellingen die SWIFT gebruiken moeten volgens het beveiligingsbedrijf „serieus hun veiligheid checken om zeker te weten dat ze hier niet aan blootstaan”.

SWIFT lijkt de cyberroof zelf te willen relativeren en laat via een persbericht weten dat de malware van de hackers nooit het internationale SWIFT-netwerk heeft bereikt en dat de hack heeft te maken met zwakheden in de lokale systemen van de Bangladesh Bank. Desalniettemin heeft SWIFT deze week een software-update uitgebracht om klanten te helpen „hun veiligheid te verhogen” en om „inconsistenties” in hun netwerken te ontdekken.

Zwakheden op allerlei plekken

De vraag is dan ook hoe terecht de relativering van SWIFT is. Uit de bekend geworden details blijkt dat de dieven geraffineerd gebruik hebben gemaakt van zwakheden op verschillende plekken, van New York tot de Filippijnen.

Het meest opvallende is dat de hackers hun sporen tijdens de diefstal zo goed wisten te verbergen. Via een inbraak bij de Bangladesh Bank kregen ze toegang tot het SWIFT Alliance Access programma van de bank. Daarmee konden ze de New York Federal Reserve Bank, waar de Bangladesh Bank een rekening aanhoudt, opdracht geven tot 35 verschillende overboekingen van in totaal 951 miljoen dollar naar rekeningen op Sri Lanka en de Filippijnen.

Normaal gesproken zouden die overboekingen direct bij de Bangladesh Bank moeten worden opgemerkt, maar dat gebeurde niet omdat de rovers malware installeerden. Daardoor verdwenen ze uit de dagelijkse overzichten van SWIFT. Ze zorgden ervoor dat foutmeldingen niet verschenen en dat de extra check – fysieke printjes van transacties – niet uitgevoerd werd. Daartoe specificeerden de hackers zelfs het HP Laserjet-printermodel van de Bangladesh Bank in hun code.

De hackers combineerden programmeerhoogstandjes met slimme timing en eindbestemmingen waar geld gemakkelijk anoniem kan worden witgewassen.

New York Fed rook onraad

Zo werden de overboekingen gedaan op donderdagavond. Het weekend in Bangladesh, een islamitisch land, valt op vrijdag en zaterdag. De New York Federal Reserve Bank rook wel degelijk onraad en stelde vrijdag vragen over de transacties, maar die vragen werden vanwege het weekend niet beantwoord. De New York Fed besloot daarop 5 van de 35 transacties alsnog maar gewoon uit te voeren.

Eén daarvan is later in de keten tegengehouden vanwege foutieve spelling van de naam van een rekeninghouder: Shalika Fandation in plaats van Foundation. Maar de hackers hadden toen al wel 81 miljoen dollar overgeboekt naar de Filippijnen – een handige bestemming vanwege het strenge bankgeheim. Ook geldt er geen antiwitwaswetgeving voor casino’s, waar het gestolen girale uiteindelijk belandde.

Het geld is nu vrijwel allemaal spoorloos, zo blijkt uit recente hoorzittingen van briesende Filippijnse senatoren. Het is ingewisseld voor fiches en niemand weet door wie. De Chinese namen die circuleren lijken niet te kloppen. En de hackers zijn in de verste verte niet in beeld.

Reden tot zorg? Volgens het Britse beveiligingsbedrijf BAE Systems wel. Hackerbendes worden steeds „geraffineerder”. De malware is „op maat geschreven voor de specifieke infrastructuur van het slachtoffer”. En oefening baart kunst, want bendes kunnen „opnieuw toeslaan met het gereedschap, de techniek en de procedures die gebruikt zijn.”