In den letzten zwei Jahren befassten sich Experten von Kaspersky Lab mit einem bestimmten Angriffsszenario auf mindestens acht Banken in Osteuropa. Noch unbekannter Hacker hatten dabei Geldmittel im Wert von mehreren 10 Millionen US-Dollar in filmreifer Manier abgegriffen.

Die Angriffe bestanden aus einer Kombination von echten Helfershelfern vor Ort, die mit Datenträgern verschiedener Art bewaffnet, direkt in den Banken aktiv wurden. Jeder einzelne der Vorgänge hatte nur einige wenige Gemeinsamkeiten, waren sie doch letztendlich alle sehr unterschiedlich und höchst flexibel in der Ausführung. Zum einen verschafften sich die Hacker Zugang zu dem lokalen Bankennetzwerk direkt vor Ort und mithilfe eines individuellen Helfers. Und letztendlich fanden alle Angriffe über Remotezugriff statt. Das wars im Prinzip auch schon mit den Gemeinsamkeiten. Dazwischen waren alle Abschnitte oder Komponenten der Angriffe unterschiedlich.

Angefangen von den Personen vor Ort – eingesetzt wurden Helfershelfer, die sich alle unter einem bestimmten Vorwand legitimen Zugang zu den Bankenbüros verschafften. Dies waren Kuriere, Bewerber oder andere Personen. Sie hatten jeweils die Aufgabe, ein Speichergerät mit Schadsoftware an das lokale Netzwerk anzuschließen. Auch die Eintrittspunkte der Helfer waren unterschiedlich gewählt. Teilweise lagen diese direkt in den Zentralbüros einer Bank, manchmal in einer regionalen Niederlassung oder sogar in einem ausländischen Ableger einer Bank. Die Speichergeräte mussten dort dann an irgendeiner Stelle angedockt werden. In Besprechungsräumen beispielsweise. Die verwendeten Speichergeräte waren ebenfalls alle unterschiedlich: kleine Netbooks oder billige Laptops, Raspberry Pi Rechner oder ein Bash Bunny, ein kleines Tool, um USB-Angriffe durchzuführen. Teilweise wurden diese Geräte sogar versteckt oder getarnt in den Ziel-Räumlichkeiten. Die Netzwerkscanner erkannten die Geräte lediglich als „unbekanntes Gerät“, was alles sein konnte von einem Laptop, USB-Stick oder sogar eine Tastatur. Eine direkte Lokalisation war ausgesprochen schwierig für die IT-Sicherheitsleute.

Waren diese Geräte erst einmal platziert, begann die nächste Angriffsphase. Mittels der darauf abgelegten Fernzugriffsmöglichkeiten wie GPRS / 3G / LTE-Modem, wurden die Hacker aktiv. Sie leiteten das Scannen des jeweiligen Netzwerks ein, um Zugriffspunkte auf gemeinsam genutzte öffentliche Ordner, Webserver und andere offene Ressourcen aufzuspüren. Von da aus sollten Informationen zusammengetragen werden über Server und Arbeitsplätze, die eine direkte Funktion im Zahlungsverkehr oder der Zahlungsabwicklung hatten. Via Brute-force-Angriffe wurden Anmeldedaten ausspioniert. Hindernisse wie Firewalls wurden umgangen mit Shellcodes mit lokal eingerichtet TCP-Servern. Immer wenn den Hackern die Türe sprichwörtlich vor der Nase zugeschlagen wurde, versuchten sie es auf andere Weise. Aber irgendwann waren sie an der Stelle angelangt, auf die sie es abgesehen hatten.

Hier begann die nächste Angriffsphase: die Anmeldung im Zielsystem und der Einsatz Fernzugriffssoftware. Damit wurden mit msfvenom (Metasploit Framework) erstellte schädliche Dienste auf den angegriffenen Rechnern gestartet – alles dateilose Vorgänge oder PowerShell. Die Angreifer konnten sogar Whitelisting-Technologien und Domänenrichtlinien umgehen. Wenn sie so nicht weiterkamen, nutzten sie winexesvc.exe oder psexec.exe. So gelangten die Hacker noch tiefer in das jeweilige Netzwerk, fanden spezielle Systeme und manipulierten sie entsprechend, um so die vielen Millionen von US-Dollar von Geldautomaten und anderen Diensten abzuheben.

Danach verschwanden die Cyberkriminellen spurlos. Nicht einmal Protokolle über ihre Bewegungen waren mehr im jeweiligen Netzwerk zu finden. Kaspersky nannte die Angriffsserie DarkVishnya.

Artikel von darkreading.com, 07.12.2018: Criminals Use Locally Connected Devices to Attack, Loot Banks

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0