Bangladesh Bank Heist 2016: Lazarus Curi $81 Juta lewat SWIFT
PELAKU
Lazarus Group adalah unit hacking yang disponsori negara Korea Utara di bawah Bureau 121 (Reconnaissance General Bureau). Beroperasi sejak 2009, mereka menjadi terkenal lewat heist SWIFT, ransomware WannaCry, dan pencurian crypto miliaran dolar yang dipakai untuk membiayai program rudal Pyongyang.
METODE
Memanipulasi pesan SWIFT MT103 dan menonaktifkan log printer transaksi untuk menutupi transfer ilegal antar bank. Dipakai dalam Bangladesh Bank Heist 2016.
Pada Februari 2016, hacker Korea Utara mengeksekusi 35 instruksi transfer SWIFT senilai $951 juta dari rekening Bangladesh Bank di Federal Reserve New York. Berkat typo "fandation" dan kewaspadaan staf Deutsche Bank, hanya $81 juta yang lolos — sebagian besar menguap di kasino RCBC Manila.
Konteks Operasional
Operasi terhadap Bangladesh Bank merupakan contoh klasik financial cyber-ops dengan pola long-term persistence dan institutional knowledge gathering. Lazarus mengincar bank sentral dengan akses ke jaringan SWIFT, bukan sekadar institusi komersial. Target selektif ini menunjukkan pemahaman mendalam tentang aliran uang global dan titik kritis infrastruktur keuangan.
Vektor Awal & Lateral Movement
Infiltrasi dimulai melalui spear-phishing berlapis dengan dokumen Word ber-embedded malware (kemungkinan varian Banjori atau Carbanak). Setelah mendapatkan foothold:
- Operator menggunakan keyloggers dan RDP hijacking untuk mengumpulkan kredensial admin
- Memetakan jaringan internal selama 3 bulan sebelum aksi SWIFT
- Memodifikasi software
SWIFT Alliance Accessuntuk menyembunyikan transaksi fraud - Men-deploy custom malware yang secara spesifik menargetkan printer bank untuk menghapus bukti cetak transfer
Pivot Yang Sering Diabaikan Defender
Dua titik buta kritis dalam kasus ini:
- Printer network segmentation: Perangkat cetak dianggap non-kritis sehingga tidak dimonitor, padahal digunakan untuk menghapus jejak
- SWIFT software integrity checks Tidak ada mekanisme validasi checksum atau signature untuk aplikasi SWIFT client
- Outbound command-and-control traffic yang menyamar sebagai update Windows biasa
Pelajaran untuk Tim Indonesia
- Implementasi application whitelisting khusus untuk sistem pembayaran kritis
- Pemisahan fisik jaringan SWIFT dari jaringan kantor biasa (air-gapping tidak cukup)
- Pemantauan process hollowing pada aplikasi keuangan
- Latihan red team khusus skenario financial transaction fraud
- Integrasi sistem deteksi typo pada instruksi transfer besar (seperti "fandation")
Indikator Detection Yang Bisa Dipasang Besok
- Monitor
SWIFT Allianceprocess memory untuk code injection - Alert pada percobaan penghapusan file log SWIFT lebih dari 2MB dalam satu aksi
- Signature network traffic untuk pola
GET /swift/confdari IP internal - Deteksi perubahan tak terduga pada file
liboradb.sodi sistem SWIFT - Pemantauan ketat RDP sessions yang mengakses server SWIFT di luar jam kerja
Tim IR + forensik kami standby 24/7. Audit cepat 30 menit, gratis, NDA-ready.
TIMELINE
PELAJARAN UNTUK TIM ANDA
- Whitelist destination IP/MAC untuk SWIFT Alliance Access
- Out-of-band confirmation untuk transfer > $1M
- Tamper-evident logging printer transaksi
- Air-gap SWIFT terminal dari jaringan korporat
- Anomaly detection untuk transaksi off-hours
SUMBER
JANGAN JADI BARIS BERIKUTNYA DI ARSIP INI
Setiap heist di sini dimulai dengan kelemahan yang masih ada hari ini. Kami petakan kelemahan Anda sebelum yang tak diundang menemukannya duluan.
DISKUSI (0)
Belum ada komentar. Jadi yang pertama bagikan analisis Anda.