Nach diversen Banken-Hacks in Osteuropa stellte sich heraus, dass innerhalb der Banken Hardware durch die Cyber-Kriminellen eingeschleust und mit dem Netzwerk der Banken verbunden worden war.
Anzeige
Der DarkVishnya Banken-Hack
In den Jahren 2017-2018 wurden die Spezialisten von Kaspersky Lab beauftragt, eine Reihe von Cyber-Diebstahl-Vorfällen zu untersuchen. Jeder Angriff hatte etwas gemeinsames: ein unbekanntes Gerät, das direkt mit dem lokalen Netzwerk des Unternehmens verbunden war. In einigen Fällen war es die Zentrale, in anderen ein Regionalbüro, manchmal mit Sitz in einem anderen Land. Mindestens acht Banken in Osteuropa waren das Ziel der Angriffe (zusammenfassend DarkVishnya genannt), die Schäden in zweistelliger Millionenhöhe verursachten. Jeder Angriff kann in mehrere identische Stufen unterteilt werden.
Phase 1: Infiltration der Bank
In der ersten Phase betrat ein Cyberkrimineller das Gebäude der Bank. Der Täter gab sich als Kurier, Arbeitssuchender usw. aus und platziert ein Gerät (zum Beispiel in einem der Besprechungsräume), welches er mit dem lokalen Netzwerk der Bank verband. Diese Geräte wurden nach Möglichkeit versteckt oder in die Umgebung eingepasst, um keinen Verdacht zu erregen. Die bei den DarkVishnya-Angriffen verwendeten Geräte variierten je nach den Fähigkeiten und persönlichen Vorlieben der Cyberkriminellen. In den von Kaspersky untersuchten Fällen war es eines von drei Werkzeugen:
- Netbook oder preiswerter Laptop
- Raspberry Pi
- Bash Bunny, ein spezielles Tool zur Durchführung von USB-Angriffen
Innerhalb des lokalen Netzwerks erschien das Gerät als unbekannter Computer, externes Flash-Laufwerk oder sogar als Tastatur. Der Bash Bunny besitzt die Größe eines USB-Sticks, so dass so etwas nur schwer zu entdecken ist. Der Fernzugriff auf das im Netzwerk installierte Gerät erfolgte über ein eingebautes oder über USB angeschlossenes GPRS/3G/LTE-Modem.
Phase 2: Daten aus dem lokalen Netzwerk abgreifen
Im zweiten Schritt verbanden sich die Angreifer per Funkt mit dem Gerät und durchsuchten das lokale Netzwerk, um Zugang zu öffentlich freigegebenen Ordnern, Webservern und allen anderen offenen Ressourcen zu erhalten. Ziel war es, Informationen über das Netzwerk, vor allem über die Server und Workstations, mit denen die Zahlungen erfolgen,zu sammeln. Gleichzeitig versuchten die Angreifer, Login-Daten für solche Maschinen zu erpressen oder zu schnüffeln. Um die Einschränkungen der Firewall zu überwinden, platzierten sie Shell-Codes bei lokalen TCP-Servern. Wenn die Firewall den Zugang von einem Segment des Netzwerks zum anderen blockierte, aber eine umgekehrte Verbindung erlaubte, nutzten die Angreifer eine andere Nutzlast, um einen Tunnel zum Datentransfer zu bauen.
Phase 3: Gelder abziehen
Waren diese Stufen erfolgreich, gingen die Cyberkriminellen zur dritten Stufe über. Sie loggten sich in das Zielsystem ein und benutzten eine Fernzugriffssoftware, um den Zugriff zu erhalten. Als nächstes wurden mit msfvenom erstellte bösartige Schadfunktionen auf dem betroffenen Computer gestartet.
Da die Hacker dateifreie Angriffe und PowerShell verwendeten, konnten sie Whitelisttechnologien und Domänenrichtlinien vermeiden. Wenn sie auf eine Whitelist stießen, die nicht umgangen werden konnte, oder PowerShell auf dem Zielcomputer blockiert wurde, verwendeten die Cyberkriminellen impacket und winexesvc.exe oder psexec.exe, um ausführbare Dateien remote auszuführen. So gelang es den Cyberkriminellen, Zahlungen durch die Banken an deren Sicherheitsmechanismen vorbei zu veranlassen. Details lassen sich in diesem Kaspersky Blog-Beitrag nachlesen.
2015
