Online-Bankraub à la "Ocean's Eleven" bei rund 100 Finanzinstituten
"Carbanak"-Angriff: Hacker erbeuten bis zu eine Milliarde Dollar
Der russische Security-Anbieter Kaspersky Lab meldet die Aufdeckung eines riesigen Online-Bankraubs: Kriminelle sind in Bankennetze eingedrungen, haben Mitarbeiter per Screenshots und Videomitschnitten überwacht und so innerhalb von zwei Jahren bei rund 100 Banken zwischen 300 Millionen und einer Milliarde Dollar gestohlen. Schwerpunkt des Angriffs waren Russland und die USA, aber rund 30 Länder sind betroffen.
Cirosec IT-Defense, Leipzig: Täuschungen besser erkennen
Cirosec IT-Defense, Leipzig (II): IT-Sicherheit braucht wachsame Endanwender
Cirosec IT-Defense, Leipzig (III): Kein „Norton Anti-Nordkorea“ in Sicht
Proofpoint: Phishing-Attacke greift deutsche Nutzer mit gefälschten Kontoauszügen an
Fireeye beobachtet mehr als 100 Angriffe per Social-Engineering-Taktik
Die nach der verwendeten Malware benannte „Carbanak“-Bande nutzte laut Kaspersky-Verlautbarung Techniken aus dem Arsenal zielgerichteter Attacken (Advanced Persistent Threat, APT). Der Angriff markiere den Beginn einer neuen Phase in der Entwicklung der Cyberkriminalität: Die Kriminellen stahlen hier das Geld direkt von den Banken statt von Endanwendern. Den Angriff habe Kaspersky Lab zusammen mit Interpol, Europol und Institutionen verschiedener Länder aufdecken können.
Seit dem Jahr 2013 haben die Kriminellen laut Kaspersky Angriffe auf bis zu 100 Banken, E-Payment-Systeme und andere Finanzinstitute in rund 30 Ländern durchgeführt. Die betroffenen Banken nannte der russische Security-Anbieter nicht, betonte aber, diese Angriffe seien nach wie vor aktiv. Die Angriffsziele befänden sich in Russland, den USA, China, der Ukraine, Kanada, Hong Kong, Taiwan, Rumänien, Frankreich, Spanien, Norwegen, Indien, Großbritannien, Polen, Pakistan, Nepal, Marokko, Island, Irland, Tschechien, Brasilien, Bulgarien und Australien sowie in Deutschland und in der Schweiz.
Man gehe davon aus, dass die Täter bis zu zehn Millionen Dollar pro Überfall erbeutet haben – nie mehr, um nicht aufzufallen. Im Durchschnitt habe ein Angriff zwischen zwei und vier Monate gedauert, gerechnet von der Infizierung des ersten Computers im Banknetz per Phishing und Malware-Installation bis zum eigentlichen Diebstahl.
Der Ablauf war dabei laut den russischen Security-Experten stets wie folgt: Anfangs haben sich die Kriminellen über gezieltes Phishing („Spearphishing“) Zugang zu einem Angestellten-PC verschafft und diesen mit der Carbanak-Malware infiziert. Damit konnten sie sich im internen Netzwerk zu bewegen, um die für die Videoüberwachung zuständigen Computer der Administratoren aufzuspüren und zu übernehmen.
Dadurch konnten die Angreifer alles, was sich auf den Bildschirmen der für die Betreuung der Geldtransfersysteme verantwortlichen Mitarbeiter abspielte, einsehen und aufnehmen, so Kaspersky. So kannten sie jedes einzelne Detail über die Arbeit der Angestellten und konnten die Aktivitäten der Angestellten imitieren, um Geld zu überweisen oder an Geldautomaten per Fernsteuerung bar auszuzahlen.
Die Carbanak-Bande habe dabei mehrere Methoden genutzt:
1. Sie nutzten Online-Banking- oder E-Payment-Systeme, um Geld von den Konten der Bank auf die eigenen Konten zu überweisen. Zum Teil wurde das gestohlene Geld auch bei Banken in China oder Amerika hinterlegt. Die Experten schließen nicht aus, dass die Kriminellen weitere Banken und Länder herangezogen haben.
2. In anderen Fällen sind die Kriminellen direkt in das Herz der Buchhaltungssysteme eingedrungen, um Kontensaldi zu erhöhen und im Anschluss die überschüssigen Geldmittel per Überweisung zu entwenden. Ein Beispiel: Liegen auf einem Bankkonto 1.000 Dollar, erhöhen die Kriminellen den Saldo auf 10.000 Dollar und überweisen im Anschluss 9.000 Dollar auf eigene Konten. Der Kontoinhaber vermutet keine Probleme, weil sein Kontostand gleichbleibt.
3. Zudem hatte die Bande die Kontrolle über die Geldautomaten der Banken und konnten diese anweisen, Bargeld zu einer vorbestimmten Zeit auszuzahlen. Zum Zeitpunkt der Auszahlung wartete ein Handlanger am betroffenen Geldautomaten und sammelte das Bargeld ein.
„Das Überraschende an diesen Banküberfällen war, dass es den Kriminellen egal war, welche Software die Bank nutzte“, kommentierte Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. „Daher sollten Banken sich nicht in Sicherheit wiegen, selbst wenn sie eine einzigartige Software verwenden. Die Angreifer mussten nicht einmal die Services der Bank hacken. Sobald sie ein Netzwerk geentert hatten, lernten sie, ihr gefährliches Komplott hinter legitimen Aktionen zu verstecken. Alles in allem ein sehr geschickter und professioneller Cyberraub.“
Kaspersky Lab rät allen Finanzorganisationen dazu, ihre Netzwerke sorgfältig in Hinblick auf Carbanak zu prüfen. Bei einem Fund sollte die Bank umgehend die Strafverfolgungsbehörden einschalten.
Kaspersky Lab hat den Report zu der Carbanak-Operation am Wochenende bereits der New York Times mitgeteilt. Hier war zunächst von einer Gesamtsumme von mindestens 300 Millionen Dollar die Rede, wenngleich mit dem Hinweis, die Summe könne auch gut dreimal so hoch sein. Der kriminellen Gruppierung gehörten Russen ebenso an wie andere Europäer und Chinesen, so die NYT.
Im NYT-Bericht beschrieb der US-amerikanische Kaspersky-Mitarbeiter Chris Doggett das Vorgehen so: Bislang seien Cyberangriffe wie im Film „Bonnie und Clyde“ abgelaufen – also einbrechen, das Geld schnappen, abhauen. In diesem Fall hingegen sei die Operation eher im Stil von „Ocean’s Eleven“ erfolgt – eine sehr anschauliche und auch für Nicht-IT-Fachleute verständliche Formulierung für einen APT-basierten Online-Bankraub dieses Ausmaßes. Allerdings lässt diese Formulierung das Vorgehen der Bande als einmaligen „“Super-Coup““ dastehen – dabei könnte es aber durchaus sein, dass selbst Bankennetze durch Spearphishing, Malware und APT-Taktiken durchaus in größerem Maße angreifbar sind.
Bereits im Dezember haben Security-Blogger wie Brian Krebs oder Graham Cluley auf der Basis von Informationen der Sicherheitsanbieter Group-IB und Fox-IT über Cyberkriminelle berichtet, die Banken unter anderem durch Manipulationen an der Infrastruktur für Geldautomaten um mehrere Millionen Dollar erleichtert haben. Die Fox-IT-Forscher nannten die Bande „“Anunak““. Es handelt sich offenbar um die gleiche kriminelle Vereinigung, die Kaspersky nun als „“Carbanak““ bezeichnet.
Weitere Details zur Carbanak-Operation will Kaspersky Lab in Kürze unter viruslist.com/de/ bereitstellen.
Lesen Sie mehr zum Thema
