Hacker erbeuten über eine Milliarde Dollar bei digitalem Bankraub

Die Sicherheitsfirma Kaspersky Lab wird heute einen Bericht über einen atemberaubenden digitalen Beutezug veröffentlichen: Unbekannte Angreifer haben demnach jahrelang große Summen von über 100 Banken überall auf der Welt abgeräumt, wobei das ganze Ausmaß des Falls—in dem unter anderem auch Interpol und Europol ermitteln—noch gar nicht abzusehen ist. Es handelt sich aber definitv um einen der ertragreichsten virtuellen Beutezüge aller Zeiten—unter anderem auch deshalb, weil die Hacker nicht einzelne Nutzer, sondern die System diverser internationaler Bankinstitute angriffen.

Die Hacker-Gruppe, deren Mitglieder aus Russland, China, der Ukraine und verschiedenen europäischen Ländern stammen sollen, sind dabei scheinbar geduldig, gründlich und wohl koordiniert vorgegangen. Nachdem sie die Rechner der Banken infiltriert hatten gelangten sie an ihre Beute, indem sie Bankautomaten dazu brachten, ferngesteuert kleinere Beträge auszuspucken, die Komplizen dann vor Ort aus dem Automaten holten. Eine der von Kaspersky betreuten Banken soll allein auf diesem Wege über sechs Millionen Euro verloren haben.

Eine andere Methode des digitalen Bankraubs bestand darin, große Summe auf speziell angelegte eigene Konten zu überweisen, wobei die Transaktionen durch Eingriffe in das interne System verschleiert wurden. So wurden Kontostände einfach kurzzeitig um tausende Euro erhöht, die dann sofort transferiert wurden, so dass die betroffenen Endkunden von allem überhaupt nichts mitbekammen.

Dass diese Angriffe solange unbemerkt bleiben konnten, war überhaupt nur wegen eines lückenhaften Kontrollsystems möglich. „Wir mussten feststellen, dass viele Banken ihre Konten nur alle zehn Stunden überprüfen", erkläre Sergei Golovanov vom Kaspersky Lab. „In der Zwischenzeit kannst du beliebig die Zahlen ändern und das Geld transferieren." Der Beutezug lässt damit auch erhebliche Zweifel daran aufkommen, dass die Banken ihre gegebenen Versprechen digitaler Banking-Sicherheit einhalten können und zeigt, dass tatsächlich ​kein digitales System als sicher gelten kann, bis dass Gegenteil bewiesen ist.

Ob unter dem Hack auch einzelne Kunden zu leiden hatten, ist bisher nicht bekannt, allerdings scheinen die Verluste des Angriffs vor allem die Institute direkt getroffen zu haben. Ebenfalls nicht klar ist, ob die Hacking-Angriffe bereits aufgehört haben oder ob die Methode noch weiterhin angewandt wird.

Bank Hackers Steal Millions via #Malware http://t.co/ZIhdqL08dP #Carbanak #TheSAS2015 @k1k_ http://t.co/L471a4HE9Q pic.twitter.com/t9fMyPuamb

— Kaspersky Business (@KasperskyLabB2B) February 15, 2015

Fast genauso ausgefuchst wie der Bankraub, den die Ermittler als Carbanak bezeichneten, sind dabei im Übrigen die Wortspiele der renommierten Sicherheitsforscher („Once upon a time in a bank"). Die Ilustrationen von Kaspersky geben aber bis zur ​Veröffentlichung des ausführlichen Carbanak-Berichts einen guten Überblick über das Vorgehen der Angreifer.

Ciberdelincuentes roban millones de dólares a bancos en la operación #Carbanak http://t.co/ibnNHFzk1T pic.twitter.com/ADT7CQy5bi

— Kaspersky Lab España (@KasperskyES) February 16, 2015

Jeder der Angriffe soll mindestens sieben Millionen Euro eingebracht und zwischen zwei und vier Monaten gedauert haben. Begonnen hat dabei stets alles mit einer sogenannten Spear-Phishing-Attacke. Dabei versuchen die Hacker das Vertrauen eines speziellen Bankmitarbeiters zu gewinnen, um ihm per E-Mail schließlich Schadsoftware unterzujubeln. Bei der Schadsoftware handelt es sich laut den Sicherheitsforschern von FoxIT um Anunak, den sie in einem ​Bericht vom Dezember 2014 ausgiebig untersucht hatten.

Die betroffenen Bankmitarbeiter kamen dabei in den Genuß dieser aufwendigeren Malware-Attacke, weil sie bestimmte Administratorenrechte im internen Banksystem innehatten, auf welche es die Angreifer abgesehen hatten. Nachdem die Hacker durch die Schadsoftware nämlich eine Art Fernwartungssoftware bzw. ​Remote Access Tool auf den Bankrechnern installiert hatten, konnten sie über die Bildschirme ihrer Opfer auch die Überwachungs- und Kontrollsysteme der Bank einsehen.

Durch dieses gezielte Vorgehen konnten die Hacker die Angestellten ausspionieren und Rückschlüsse auf ihr Verhalten ziehen, was ihnen schließlich bei der Verschleierung der Angriffe half.

Bisher hat sich keine der betroffenen Banken zu ihrer Sicherheitslücke bekannt und auch Kaspersky hat sich dazu verpflichtet, die Institute nicht zu benennen. Der größte Teil der betroffenen Banken soll dabei in Russland liegen doch auch verschiedene deutsche Institute sind angeblich betroffen.