Kaum ist die letzte haarsträubende Meldung von einem erfolgreichen Hackerangriff gelesen und im Gedächtnis zu Erinnerungsbruchstücken reduziert, kommt schon die nächste, noch erschrekendere Meldung. Dabei ist das Geschehene ja in dem Moment selbst auch schon lange Geschichte, bereits erfolgreich ausgeführt von Hackern und ausführlich analysiert von Computerforensikern. Da bekommen Leser doch das unwohle Gefühl, gar eine reale Vorahnung, was Hacker gerade in diesem Moment in der Welt mit den elektronischen Daten vieler unbedarfter Menschen anstellen. Vielleicht so etwas ähnliches:

Zwei Experten von Kaspersky Lab, Dmitry Bestuzhev und Fabio Assolini haben sich Anfang dieses Jahres ausführlich durch den Ablauf eines sehr spektakulären Hackerangriffs auf eine brasilianische Bank gearbeitet. Der Angriff fand im Oktober des letzten Jahres statt und zog sich über drei Monate hin. Der unglaublich breit ausgelegte Angriff umfasste die komplette Übernahme der 36 Domains der Bank, die E-Mail Server und DNS. Und nicht nur das! Die noch unbekannten Hacker konnten ihre Operationen auf neun weitere Banken in aller Welt ausweiten. Über die betroffene Bank ist noch nicht viel bekannt außer dass es sich um ein alteingesessenes Finanzhaus mit 5 Mio. Kunden handelt, das 500 Niederlassungen in Südamerika, den USA und auf den Grand Cayman Inseln betreibt.

Genial, geschickt und pragmatisch gingen die Hacker vor. Sie hatten es nicht aufs Rosinenpicken abgesehen, sondern wollten den ganzen Kuchen. Ihr Coup begann an einem Wochenende im Oktober letzten Jahres. Innerhalb etwa fünf Stunden hatten die Cyberdiebe es tatsächlich geschafft, ganz gezielt Kontrolle über den DNS-Hosting-Service der Bank zu bekommen. Damit hatten sie Kontrolle über alle der 36 Domains der Bank, deren Besucherverkehr auf gefälschte Webseiten zu einem Server in der Google Cloud weitergeleitet wurde.

Aber nicht nur das! Auch das Online- und Mobilbanking, die Bankautomaten und die Kassensysteme beim bargeldlosen Einkauf und – praktisch allem. Die falschen Webseiten verwendeten kostenlose HTTPS-Zertifikate von Let’s Encrypt und waren für die Bankkunden so gut wie gar nicht von den echten Online-Diensten der Bank zu unterscheiden. Und noch schlimmer – die Besucher sahen sogar das bekannte grüne Schloss im Browser. So konnten die Hacker Benutzernamen und Passwörter der Kunden stehlen, die sich auf den gefälschten Onlinebanking Seiten einloggten. Die Angreifer gingen aber noch einen Schritt weiter und übernahmen bei der Gelegenheit auch gleich alle E-Mail-Server der Bank. Damit waren der Bank die Hände gebunden – eine Kommunikation mit ihren Kunden war nicht mehr möglich – sie zu warnen damit ebenfalls nicht.

So nahmen folglich die Dinge ihren Lauf und alle Daten von Kunden die sich einloggten, wurden zu einem Befehls- und Kontrollserver in Kanada weitergeleitet. Darüber hinaus haben die gefälschten Webseiten auf dem Computer jedes Besuchers Malware in Form von Java-Plug-in-Dateien abgelegt. Sie war als Update des Trustee Browser-Sicherheits-Plug-ins getarnt. Der Trojaner bestand aus acht separaten Modulen, u. a. zum Abgreifen von Anmeldeinformationen von Microsoft Exchange, Thunderbird und dem lokalen Adressbuch, zur Aktualisierung von Systemen und einem Programm namens Avenger.

Letzteres war sogar ein legitimes Rootkit-Tool, das von Penetrationstester verwendet wird. Es wurde leicht verändert, damit es Sicherheitssoftware der kompromittieren Geräte ausschalten konnte. Das war sozusagen der nebenbei sichergestellte Arbeitsvorrat für zukünftige Angriffe dieser Hacker. Interessanterweise konnten die Kaspersky Experten durch dieses Programm feststellen, dass neun andere Banken in aller Welt ähnlich angegriffen und übernommen wurden. Aufgrund von ein paar Hinweisen gehen die Forscher davon aus, dass der gesamte Coup eine Planungsvorlaufzeit von mindestens fünf Monaten hatte.

Stellt sich abschließend die Frage: Wie konnten die Hacker das alles überhaupt abziehen? Die Kaspersky Forscher haben dafür keine eindeutige Antwort. Allerdings steht und fällt alles mit der Übernahme des Registrierungsdienstes. Kaspersky geht daher davon aus, dass das Bankenhaus zuerst bei seinem Domainregistrierungsdienst Registro.br kompromittiert wurde. Damit war dann der gesamte weitere Plan der Hacker überhaupt erst ausführbar.

Wie der Registrierungsdienst NIC.br die Kontrolle über die Bankdomains allerdings verlieren konnte, ist leider immer noch nur ein Vermutung Kasperskys, die auf einem Blogbeitrag beruht. Dort hatte NIC.br über eine Schwachstelle auf ihrer Webseite berichtet und auch über „jüngste Vorfälle“ bezüglich Änderungen an DNS-Servern. Der Registrierungsdienst wies diese Mutmaßungen jedoch zurück mit dem Hinweis, es mangele an Beweisen für diese Annahme. Die zitierten Vorfälle ständen im Zusammenhang mit anderen Social-Engineering Attacken.

Außerdem wies der NIC.br Sprecher Frederico Neves, die Zahl von 36 gehackten Domains als „reine Spekulation“ zurück. Obwohl er einen Hackingangriff auf sein Unternehmen bestritt, räumte er gegenüber Kaspersky ein, dass die Konten eventuell via gehackter E-Mail-Konten oder Phishingattacken gegen Kunden verändert wurden – das gehöre sozusagen zu den Risiken und Nebenwirkungen im Tagesgeschäft seiner Branche.

Artikel von threatpost.com, 04.04.2017: Lessons From Top-to-Bottom Compromise of Brazilian Bank
Artikel von wired.com, 4.4.2017: How Hackers Hijacked a Bank’s Entire Online Operation
Artikel von theregister.co.uk, 05.04.2017: Brazilians whacked: Crooks hijack bank’s DNS to fleece victims

Urheberrecht des Beitragsbildes: © by 123RF.com