Group-IB, eine russische Sicherheitsfirma ist einer sehr aktiven Hacker-Gruppe auf den Fersen. MoneyTaker ist deren Name – ihr Name ist Programm. Bisher waren sie noch gänzlich unbekannt. Sie hat seit Mai 2016 Banken und Unternehmen in Russland, den USA und Großbritannien um rund 10 Millionen US-Dollar erleichtert und blieb dabei unentdeckt. Ihre Masche ist ganz erstaunlich – Sicherheitsforscher nennen sie sogar sehr simpel.

Die Forscher von Group-IB sind aber nur mit zufälligem Glück auf die bis dahin unbekannte Gruppe gestoßen. MoneyTakers einziger Fehler reichte aus, sie auffliegen zu lassen. Sie konnten dann mit anderen Diebstählen in Verbindung gebracht werden. Ein Programmierfehler reichte aus, um die ansonsten akribisch konstruierte Deckung der Hacker-Gruppe bloß zu legen.

Die MoneyTakers Hacker setzten bei ihren Angriffen Malware ein, die sich nur im Speicher der angegriffenen Computer einnistet. Das macht ihre Entdeckung extrem schwierig. Sie unterlaufen die Antivirus-Abwehrmechanismen des angegriffenen Systems. Nicht einmal im Nachhinein erkennt ein System, dass es gehackt wurde. Die MoneyTaker Malware zerstört sich selbst nach einem Neustart und damit auch alle anderen Spuren.

Ihren Namen erhielt die Hacker-Gruppe von ihrem eigenen Malwareprogramm, genannt MoneyTaker. Die Hacker passen ihre Malware ständig an und ändert auch ihre Vorgehensweise um IT-Sicherheitsmaßnahmen zu umgehen. Unter den Angriffswerkzeugen der Hackergruppe gibt es verschiedene selbstentwickelte Malwaretools. Das sind Spionagewerkzeuge um Banken auszuspionieren und die die  Möglichkeit bieten, Screenshots und Tastenanschläge aufzuzeichnen. Ein Tool kann sogar einen betrügerisch modifizierten Zahlungsauftrag für die Bank unverändert erscheinen lassen. Der überwiegende Teil der verwendeten Malware wird nicht auf der Festplatte gespeichert und ist nur im Systemspeicher existent. Die Hacker änderten sogar während eines Angriffs den Malware Code.

Mit andere Werkzeuge konnte eine Privilegien-Eskalation durchgeführt werden. Dies wurde aus Codes zusammengebastelt, die 2016 auf der russischen Cybersecurity-Konferenz ZeroNights vorgestellt worden waren. Auch die berüchtigten Citadel- und Kronos-Banking-Trojaner wurden gelegentlich von MoneyTaker eingesetzt. Die Malware Kronos wurde verwendet, um Point-of-Sale-Malware (POS, Bankomatkassen) zu infizieren. Ganz speziell designt wurde MoneyTaker v5.0. Jede Malwarekomponente dieser modularen Software kann eine bestimmte Aktion ausführen: nach Zahlungsaufträgen suchen und sie ändern, ursprüngliche Zahlungsdetails durch gefälschte ersetzten und dann noch die eigenen Spuren löschen.

MoneyTaker verschaffte sich autorisierten Zugriff auf einen der Arbeitsplätze, mit der die Bank eine Verbindung zum First Data STAR-Netzwerk herstellt. Über 5.000 Banken wickeln über das First Data STAR-Netzwerk Zahlungen mit Bankkarten ab. Andere nutzen das SWIFT-Netzwerk. Die Hacker-Gruppe hatte es vornehmlich auf Schnittstelle im AWS CBR (Russian Interbank System) und wohl auch SWIFT abgesehen. AWS CBR hat eine Schnittstelle mit der Russischen Zentralbank. Dann laufen die Angriffe über ein Metasploit-Framework weiter. Nötige Kommunikationen sind mit namhaften Zertifikaten verschlüsselt: Bank of America, Federal Reserve Bank, Microsoft und Yahoo.

Sobald MoneyTaker die Kontrolle über das Netzwerk der angegriffenen Bank hatte, war es laut den Forschern recht einfach weiterzumachen. Sie überprüften, ob eine Verbindung mit dem jeweiligen Kartenverarbeitungssystem hergestellt werden konnte. Danach besorgten sie sich ganz legal Bankkarten dieser Bank. Sie hatten andere Kriminelle parat, die damit dann Geld von den Geldautomaten der angegriffenen Bank abhoben. Im Hintergrund hatten die Hacker die Barauszahlungsgrenzen und Überziehungslimits dieser Bankkarten entfernt oder erhöht. Auf ein Zeichen konnten die Partner vor Ort dann große Summen Geld von den Bankautomaten abheben. Im Schnitt 500.000 US-Dollar je Angriff.

Manchmal läuft es für MoneyTaker so gut, dass sie noch eine Weile im System ihrer Opfer herumschnüffelten. Die Forscher konnten feststellen, dass sie dann umfangreiche Dokumente abgriffen haben. Darunter Handbücher der Administration, Änderungsanträge und interne Richtlinien. Ganz offensichtlich sollten die Daten weitere Angriffe unterstützen. Die Hacker versenden auch völlig unerkannt E-Mails und andere Dokumente an die kostenlosen E-Mail-Dienste Yandex und Mail.ru. Inzwischen hat die Gruppe interne Handbücher und viele andere nützliche Informationen von den Star, SWIFT, und AWS CBR Netzwerken zusammenkopiert.

Indessen haben die Forscher von Group-IB ihr gesammeltes Wissen an Europol und Interpol weitergeleitet. Group-IB Direktor Nicholas Palmer, geht davon aus, dass MoneyTaker keine staatlich geförderte Hackertruppe ist.

Artikel von arstechnica.com, 11.12.2017: Hackers hit key ATM network in crime spree that clears $10 million
Artikel von theregister.co.uk, 11.12.2017: New Ruski hacker clan exposed: They’re called MoneyTaker, and they’re gonna take your money
Artikel von darkreading.com, 11.12.2017: Russian-Speaking ‚MoneyTaker‘ Group Helps Itself to Millions from US Banks