TeleBots-Gruppe – Angriff auf russisches Finanzsystem über private Botnets

Publiziert am von chris |Posted in Angriffe | Tagged , , , |

Das Sicherheitsunternehmen ESET hatte Anfang Dezember bereits ein bösartiges Toolset aufgespürt, das bei Angriffen auf fünf ukrainische Banken eingesetzt wurde. Die Angriffe wurden der TeleBots-Gruppe zugeordnet, die Spear-Phishing-E-Mails mit versteckten bösartigen Makros in angehängten MS-Excel-Dokumenten verschickte. Nun gibt es Informationen zu einem oder mehreren ähnlichen Angriffen im gleichen Zeitraum, die allerdings das russische Finanzsystem betrafen.

Wie bekannt wurde, konnten die Angriffe jedoch in Form und Umfang deutlich abgeschwächt werden durch rasches Erkennen und Eingreifen des russischen Telekommunikationsunternehmens Rostelcom. Moslem Medzhlumov, Direktor des Cybersicherheitszentrums bei Rostelecom erklärte, dass die DDoS-Angriffe gegen die russischen Banken eine TCP-SYN-Überflutungstechnik nutzten, die mit Hilfe von gehackten Heim-Routern ausgeführt wurden.

Die nationale Föderale Sicherheitsbehörde Russlands (FSB) berichtete kürzlich von noch einem zeitgleichen, angeblich durch einen ausländischen Nachrichtendienst geplanten, großen Cyberangriff, der jedoch vereitelt werden konnte. Der für den 5. Dezember geplante Angriff hätte falsche Nachrichten über eine angebliche russische Finanzkrise über Social Media und Textnachrichten verbreitet. Es ist allerdings nicht klar, ob die von Rostelecom abgeschwächten Angriffe mit diesem Angriff zusammenhängen.

Rostelcoms Untersuchungen ergaben, dass die von den Angreifern verwendeten Router höchstwahrscheinlich über eine kürzlich gefundene Schwachstelle im Management Protokoll von Routern ausgeführt wurden. Die Heimrouter konnten damit gehackt werden, und dann als Botnets gemeinsame DDoS-Angriffe auf die fünf größten russischen Banken ausführen. Alle verwendeten Router nutzen das CPE WAN Protokoll. Auch bekannt als TR-069, ist es ein Teil der Internet Sicherheitsprotokolle in privaten Heimroutern, die ferngesteuert bedient werden. Soweit bekannt, nutzen Telekommunikationsunternehmen u.a. in Deutschland (Deutsche Telekom), in Irland (Eir) und im Vereinigten Königreich (TalkTalk) Router mit TR-069.

DDoS-Attacken wurden bereits mehrfach erfolgreich gegen Banken durchgeführt. 2012 traf es einige US-amerikanische Banken und 2015 drei britische. Auch das FBI bestätigt, dass Finanzhäuser sehr häufig Erpresser-E-Mails erhalten mit Drohungen, ihre Banksysteme zu stören oder gar komplett lahmzulegen.

Siehe auch:

Artikel von computerworld.com, 09.12.2016: Attackers use hacked home routers to hit 5 Russian banks

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*