Internetkriminalität und -spionage Chirurgisch präzise Cyberoperationen

Autor / Redakteur: Holger Suhl / Susanne Ehneß

Hackerattacken auf öffentliche Einrichtungen werden immer raffinierter. Holger Suhl von Kaspersky Lab erklärt, wie zielgenau Organisationen derzeit über das Internet angegriffen werden.

Firmen zum Thema

Cyber-Angriffe werden immer ausgefeilter
Cyber-Angriffe werden immer ausgefeilter
(Bild: lenets_tan - Fotolia.com)

Advanced Persistent Threats (APTs) sind hoch professionelle, andauernde und äußerst präzise Cyberattacken gegen Organisationen, beispielsweise staatliche Einrichtungen. Derzeit können bei APTs zwei große Trends festgemacht werden:

  • 1. Mutmaßlich von Nationalstaaten unterstützte Cyberspionage-Attacken werden immer raffinierter. Sie nehmen mit komplexen, modularen Werkzeugen sorgfältig ausgewählte Nutzer ins Visier und verbergen sich vor effektiven Detektionssystemen.
  • 2. Anstatt einzelne Nutzer zu malträtieren, attackieren professionelle Cyber-Gangs direkt Organisationen oder Institute. Vor allem Banken werden zusehends ein lukratives Opfer.

Dieser Artikel beschäftigt sich mit zwei spektakulären Fällen, die Anfang des Jahres an die Öffentlichkeit gelangten. Die Carbanak-Gang und die Equation Group illustrieren die oben skizzierten Trends nahezu ideal.

Die Equation Group

Im Februar dieses Jahres enttarnte Kaspersky Lab einen Bedrohungsakteur, der hinsichtlich technischer Komplexität und Raffinesse alles bisher Bekannte in den Schatten stellte – die so genannte Equation Group. Die IT-Sicherheitsexperten von Kaspersky Lab beobachten seit einigen Jahren mehr als 60 fortschrittliche und für weltweite Cyberangriffe verantwortliche Bedrohungsakteure und analysieren dabei immer komplexer werdende Attacken.

Dabei mischen auch immer mehr Nationalstaaten im Cyberspace mit und rüsten sich mit den fortschrittlichsten Werkzeugen aus. Die Equation Group ist jedoch in annähernd all ihren Aktivitäten einzigartig: Sie nutzt Werkzeuge, die sehr kompliziert und kostenintensiv zu entwickeln sind. Damit infizieren sie ihre Opfer, rufen Daten ab und verbergen ihre Aktionen in einer außergewöhnlich professionellen Weise.

Seit dem Jahr 2001 hat die Equation-Gruppe tausende Opfer in über 30 Ländern weltweit aus folgenden Bereichen infiziert: Regierungs- und diplomatische Institutionen, Telekommunikation, Luft- und Raumfahrt, Energie, Nuklearforschung, Öl- und Gasindustrie, Militär, Nanotechnologie, islamische Aktivisten und Gelehrte, Massenmedien, Transport, Finanzinstitute sowie Unternehmen, die Verschlüsselungstechnologien entwickeln.

Zur Infektion setzt die Gruppe eine Reihe von „Implantaten“ (Trojanern) ein, darunter die von Kaspersky Lab wie folgt benannten:

  • EquationLaser,
  • EquationDrug,
  • DoubleFantasy,
  • TripleFantasy,
  • Fanny und
  • GrayFish.

Zweifelsohne existieren noch weitere Implantate.

Interessant sind zwei Module, mit denen die Neuprogrammierung der Festplatten-Firmware bei einem Dutzend beliebter Festplattenhersteller möglich ist. Dies ist vielleicht das stärkste Werkzeug im Arsenal der Equation Group und die erste bekannte Malware, die direkt Festplatten infiziert.

Lesen Sie bitte auf der nächsten Seite weiter.

Weltweit wurden Ziele wie Regierungsstellen, Botschaften oder Forschungsinstitute von der Equation Group ausspioniert
Weltweit wurden Ziele wie Regierungsstellen, Botschaften oder Forschungsinstitute von der Equation Group ausspioniert
(Bild: Kaspersky Lab)
Das Ändern der Systemsoftware einer Festplatte hat schwerwiegende Folgen:

  • Eine extrem hohe Widerstandsfähigkeit, mit der die Malware selbst eine Festplattenformatierung oder eine Neuinstallation des Betriebssystems überlebt. Sobald die Malware in die Firmware gelangt, kann sie sich selbst für immer wieder herstellen und das Löschen bestimmter Festplattenbereiche verhindern beziehungsweise diesen Bereich durch einen schädlichen während eines Systemneustarts ersetzen.
  • Wird eine Festplatte mit diesem gefährlichen Code infiziert, ist es unmöglich, die Firmware zu scannen. Einfacher gesagt: Für die meisten Festplatten existieren Funktionen zum Beschreiben des Firmware-Bereichs ihrer Hardware, aber nicht zur Wiedergabe. Das bedeutet, dass wir praktisch blind sind und mit dieser Malware infizierte Festplatten nicht erkennen können.
  • Die Möglichkeit, einen unsichtbaren und dauerhaften Bereich auf der Festplatte zu schaffen, wird auch genutzt, um herausgefilterte Informationen zu speichern, die später von den Angreifern abgerufen werden können. Zudem kann dies in einigen Fällen beim Knacken der Verschlüsselung hilfreich sein.

Es gibt zuverlässige Hinweise darauf, dass die Equation Group mit anderen einflussreichen Gruppen wie beispielsweise mit den Betreibern von Stuxnet und Flame interagiert – wobei die Equation Group offenbar eine führende Position innehatte. Die Equation Group hatte Zugang zu Zero-Day-Schwachstellen, bevor diese von Stuxnet und Flame genutzt wurden. Zu einem anderen Zeitpunkt teilten sie die Exploits mit den anderen.

Im Jahr 2008 nutzte der Schädling Fanny zwei Zero-Days, die erst im Juni 2009 und März 2010 in Stuxnet eingebaut wurden. Einer dieser Zero-Days in Stuxnet war ursprünglich ein Flame-Modul, das dieselbe Schwachstelle ausnutzt. Dieser wurde direkt aus der Flame-Plattform entnommen und in Stuxnet eingebaut.

Die Carbanak-Gang

Ebenfalls im Februar deckte Kaspersky Lab zusammen mit Interpol, Europol und Institutionen verschiedener Länder die Geschichte eines beispiellosen Cyber-Bankraubs auf. Dabei wurde innerhalb von zwei Jahren bis zu einer Milliarde US-Dollar von Finanzinstituten weltweit gestohlen. Laut den Experten ist eine internationale Gang von Cyberkriminellen aus Russland, der Ukraine, Teilen Europas sowie China für den Raubzug verantwortlich.

Die so genannte Carbanak-Gang nutzte für die Cyberüberfälle Techniken aus dem Arsenal zielgerichteter Attacken (APTs). Der Vorgang markiert den Beginn einer neuen Phase in der Entwicklung der Cyberkriminalität, in der Geld direkt von Banken anstatt von Heimanwendern gestohlen wird.

Seit dem Jahr 2013 haben die Kriminellen Angriffe auf bis zu 100 Banken, ePayment-Systeme und andere Finanzinstitute in rund 30 Ländern gestartet. Es ist davon auszugehen, dass die größten Summen durch das Hacken von Banken erbeutet wurden – bis zu zehn Millionen US-Dollar pro Überfall. Im Durchschnitt dauerte jeder Banküberfall zwischen zwei und vier Monate an, von der Infizierung des ersten Computers im Unternehmensnetzwerk der Bank bis zum eigentlichen Diebstahl.

Anfangs haben sich die Cyberkriminellen über gezielte Spear-Phishing-Attacken Zugang zu einem Angestellten-Computer verschafft und diesen mit dem Carbanak-Schadprogramm infiziert. Anschließend waren sie in der Lage, sich im internen Netzwerk zu bewegen, um die für die Videoüberwachung zuständigen Computer der Administratoren aufzuspüren und zu übernehmen. Die Folge: Die Angreifer konnten alles, was sich auf den Bildschirmen der für die Betreuung der Geldtransfersysteme verantwortlichen Mitarbeiter abspielte, einsehen und aufnehmen.

So kannten sie jedes einzelne Detail über die Arbeit der Angestellten und konnten die Aktivitäten der Angestellten imitieren, um Geld zu überweisen oder bar auszuzahlen.

Lesen Sie auf der nächsten Seite weiter.

Carbanak-Gruppe
Carbanak-Gruppe
(Bild: Kaspersky Lab)
Interessante Erkenntnisse liefern die Methoden, mit denen die Carbanak-Gang die Banken ausraubte:

  • Sobald die Betrüger aus ihren Aktivitäten Kapital schlagen wollten, nutzen sie Online-Banking-oder internationale ePayment-Systeme, um Geld von den Konten der Bank auf die eigenen Konten zu überweisen. Zum Teil wurde das gestohlene Geld auch bei Banken in China oder Amerika hinterlegt. Die Experten schließen nicht aus, dass weitere Banken und Länder ebenfalls als Empfänger genutzt wurden.
  • In anderen Fällen sind die Cyberkriminellen direkt in das Herz der Buchhaltungssysteme eingedrungen, um Kontensaldi zu erhöhen und im Anschluss die überschüssigen Geldmittel durch eine Überweisung zu entwenden. Ein Beispiel: Liegen auf einem Bankkonto 1.000 US-Dollar, erhöhen die Kriminellen den Saldo auf 10.000 US-Dollar und überweisen im Anschluss 9.000 US-Dollar auf eigene Konten. Der Kontoinhaber vermutet keine Probleme, weil auf seinem Konto nach wie vor 1.000 US-Dollar liegen.
  • Darüber hinaus hatten die Cyberräuber Kontrolle über die Geldautomaten der Banken und konnten diese anweisen, Bargeld zu einer vorbestimmten Zeit auszuzahlen. Zum Zeitpunkt der Auszahlung wartete ein Handlanger der Gang am betroffenen Geldautomaten und kassierte die Auszahlung ein.

Durch die wachsende Anzahl kleinerer spezialisierter APT-Gruppierungen könnten künftig mehr Organisationen Opfer zielgerichteter Attacken werden – ausgehend von mehreren Quellen.

Hotels sind ein geeigneter Ort, um hochrangige Personen auf der ganzen Welt ins Visier zu nehmen. Die so genannte Darkhotel-Gruppe hat im vergangenen Jahr bereits eine hierfür typische Kampagne durchgeführt, bei der Hotelgäste gezielt während ihres Hotelaufenthalts ausspioniert wurden.

Im Jahr 2015 könnten Gruppen vermehrt Cloud-Dienste nutzen, um über nicht erlaubte Datenübertragung von einem Computer den Diebstahl von Daten noch besser zu verheimlichen und ihn schwerer durchschaubar zu machen.

Da die Identität von Cyberangreifern immer häufiger veröffentlicht wird, könnten APT-Gruppen dazu übergehen, unter falscher Flagge zu operieren. So entsteht der Eindruck, dass die Attacke von einer anderen Gruppe durchgeführt wurde; die eigentlichen Hintermänner bleiben unerkannt.

Holger Suhl, General Manager Kaspersky Lab DACH
Holger Suhl, General Manager Kaspersky Lab DACH
(Bild: Kaspersky Lab)
APTs werden mobiler: Für das Jahr 2015 erwarten die Experten von Kaspersky Lab, dass mehr Malware für Android- und „gejailbreakte“ iOS-Geräte im Rahmen von APT-Angriffen auftauchen werden.

Schlussendlich ist noch davon auszugehen, dass es weitere APT-Attacken über Zero-Day-Schwachstellen geben wird. Das Zero-Day-Expoit CVE-2014-0515 wurde beispielsweise mehrmals von der so genannten „Animal Farm”-Gruppe ausgenutzt.

(ID:43380686)