Es ist einer der wohl ausgeklügeltsten Angriffe der letzten Jahre. Cyberkriminelle konnten sich Zugriffe auf die internen Netzwerke auf zumindest acht osteuropäische Banken verschaffen. Der Angriff, den die Experten von Kaspersky "DarkVishnya" getauft haben, lief dabei in mehreren Stufen ab – inklusive direkter Infiltration der Geldinstitute.

Im ersten Schritt verschafften sich die Kriminellen oder Helfer Zutritt zur Konzernzentrale oder einem regionalen Büro der jeweiligen Bank. Dazu gaben sie sich etwa als Paketkurier oder Bewerber aus. Vor Ort nutzten sie dann die Gelegenheit, um ein Gerät mit gefährlicher Beifracht zu hinterlassen. Dabei handelte es sich entweder um ein Netbook oder einen billigen Laptop, ein eigenes Gerät für Attacken über USB namens "Bash Bunny" oder einen mit Malware ausgestatteten Raspberry Pi-Mini-PC. Die Geräte waren jeweils mit einem Modem für mobiles Internet ausgestattet.

Hardware gut versteckt

Angehängt wurden sie entweder an einen Rechner oder eine Schnittstelle zum lokalen Netzwerk. Oft boten sich dafür Wand- und Bodenpanels an, die Strom- und Netzwerkanschlüsse beinhalten. Ihr Vorteil liegt auch darin, dass sie oft etwas versteckt liegen und somit der Anschluss fremder Hardware noch schwerer auffällt. Insbesondere das Auffinden von "Bash Bunny" gestaltete sich schwierig, ist es doch nur ungefähr so groß, wie ein typischer USB-Stick.

Einmal installiert, wurden die Geräte schließlich aus der Ferne kontaktiert. Das Netzwerk wurde gescanned, um Ressourcen zu finden, die für alle Teilnehmer freigegeben waren. Damit gewann man nicht nur Einblick in den Aufbau der Infrastruktur, sondern versuchte auch, gezielt Server zu finden, die für Zahlungsabwicklungen gedacht sind. Gleichzeitig probierte man, den Netzwerkdatenverkehr abzuhören oder durch die Abarbeitung von Nutzer-Passwort-Kombinationen (Brute Force) Zugang zu bekommen. Zudem wurden auch Maßnahmen gesetzt, um interne Firewalls zu umgehen.

Zahlungsserver ausspioniert

Einmal auf einen Zahlungsserver vorgedrungen, wurde dort ein Tool für den Fernzugriff installiert, über das wiederum Malware für den Abgriff sensibler Daten nachgeladen wurde. Auch hier nutzte man ausgeklügelte Methoden, um Schranken wie Whitelists für Prozesse oder die Sperrung der Powershell auszuhebeln.

Die Angriffe wurden 2017 und in diesem Jahr untersucht. Welche Banken infiltriert wurden oder wie viele Kunden betroffen sind, ist im Bericht allerdings nicht ausgeschildert. (red, 10.12.2018)