Experten eines IT-Sicherheitsanbieters haben eine realen Phishing-Attacke auf eine Bank analysiert und so den zeitlichen Verlauf des Angriffs rekonstruiert.

 

So ist ein Großteil der Firmen nicht in der Lage, seine IT-Systeme effektiv zu schützen, obwohl die Bedrohungslage durch Hacker immer weiter zunimmt – und inzwischen auch zahlreiche Fälle riesiger Cyberattacken mit teils drastischen Auswirkungen allseits bekannt sind.

Die Anatomie eines solcher Angriffs hat jetzt der rumänische IT-Sicherheitshersteller Bitdefender rekonstruiert. So ist es den Security-Experten gelungen, den zeitlichen Verlauf eines Angriffs der sogenannten Carbanak-Gruppe zu rekonstruieren. Opfer der Hacker war eine osteuropäische Bank, die im Mai 2018 attackiert wurde.

 

Die Carbanak-Bande blickt auf eine lange Erfolgsgeschichte bei Angriffen auf Finanzinstitutionen zurück. Ihre Strategie zielt darauf ab, illegale Transaktionen durchzuführen oder Geldautomaten­infrastrukturen zu übernehmen, die mit Hilfe von „Money Mules“ – das sind Kleinkriminelle, die illegales Geld persönlich oder elektronisch wie ein „Geldesel“ transportieren – geplündert werden. In einem der bekanntesten Fälle Anfang 2015 sollen die Kriminellen angeblich hunderte Millionen US-Dollar von über 100 Banken in 30 Ländern erbeutet haben.

Der hier analysierte Fall fand zwischen März und Mai 2018 mittels mehrerer sogenannter Spear-Phishing-Kampagnen statt, das sind sehr gezielte Angriffe auf ein bestimmtes Ziel. Hier gaben sich die Angreifer als E-Mails von hochkarätigen Organisationen wie IBM, der Europäischen Zentralbank oder auch von Cybersicherheitsunternehmen aus. Im folgenden der zeitliche Verlauf des Angriffs:

Tag 0 – Infiltration: An einem regulären Arbeitstag um 16:48 Uhr erhalten zwei Mitarbeiter einer Bank eine E-Mail, dessen schadhaften Anhang beide unabhängig voneinander binnen einer Minute öffnen. Das angehängte Dokument nutzt eine Lücke von Microsoft Word. Darüber wird unbemerkt eine Verbindung über eine Backdoor hergestellt, die wiederum die Schadsoftware Cobalt Strike Beacon herunterlädt.

Im Anschluss daran werden Zugangsdaten zum Domain-Server entwendet, getestet und schließlich der Domain-Controller übernommen. Mit Ende dieser ersten Angriffswelle um 18:20 Uhr sind die Angreifer bereits in der Lage, weitere Nutzerdaten herunterzuladen und auszuführen, sich unbemerkt durch das System zu bewegen, Dateien zu löschen und Registrierungsschlüssel zu beseitigen, um ihre Spuren zu verwischen.

Tag 1-28 – Ausspähung: In den fünf darauffolgenden Wochen konzentrieren die Angreifer ihre Aktivitäten darauf, systematisch zahlreiche Arbeitsplätze zu kompromittieren, um an Informationen zu gelangen, die von Nutzen sein könnten. An Tag 10 erfasst der Angriff den dreizehnten Endpunkt, welcher im späteren Verlauf für die Informationssammlung und -speicherung genutzt wird.

An Tag 28 wird eine Reihe von als potenziell wertvoll erachteten Dokumenten zu internen Anwendungen und Verfahren für die Daten-Exfiltration, also den heimlichen Daten-Transfer aus der Bank heraus vorbereitet.

Tag 30-63 – Informationssammlung und Vorbereitung des Diebstahls: Im weiteren Verlauf wird die Informationssammlung systematisiert. In einem Zeitraum von 17 Tagen legen die Angreifer verschiedene Ordner mit Handbüchern, Anleitungen und Schulungsunterlagen für verschiedene Anwendungen an. Dabei ist davon auszugehen, dass diese Informationen nicht nur dazu dienen, den finalen Diebstahl ausführen zu können, sondern auch dazu verwendet werden, Angriffstaktiken für künftige Ziele mit vergleichbaren Systemen zu verfeinern.

Ab Tag 33 beginnen die Angreifer damit, interne Hosts und Server zu kompromittieren, die für den eigentlichen Raubüberfall benötigt werden. Die „Cobalt-Strike-Beacon“-Malware erzeugt einen VPN-Tunnel zu einem externen Arbeitsplatz der Hacker, von dem aus ausgewählte Workstations der legitimen Banken-Infrastruktur angemeldet werden. Diese Verbindungen dauerten zwischen 20 Minuten und einer Stunde und wurden stets außerhalb der Geschäftszeiten und an Wochenenden durchgeführt.

An Tag 63 schließlich verwischen die Angreifer ihre Spuren, indem sie sämtliche Beweise für ihre Informationssammlung vernichten.

Wäre der Angriff unentdeckt geblieben, hätten die Hacker die Kontrolle über das Geldautomaten-Netzwerk der Bank erlangt. Damit wären sie in der Lage gewesen, das Auszahlungslimit an Geldautomaten mit einer vorab autorisierten Karte zurückzusetzen. Auf diese Weise hätten die vor Ort abgestellten Money Mules beliebig oft den festgesetzten Höchstbetrag abheben können, ohne dass von dem betreffenden Automaten die Transaktion als verdächtig an die Bank gemeldet würde.