Bedrohungen im Finanzwesen
Über die Gefahren von hybriden Cyberangriffen auf Banken
Wie sich Cyberkriminelle mit wenig Aufwand in das Netzwerk von Banken hacken
In unserem letzten Blogbeitrag Bald auch in Deutschland? Trustwave SpiderLabs deckt neue Cyber-Angriffe auf Banken auf haben wir darüber berichtet, wie die Security Experten der Trustwave SpiderLabs einem neuartigen Hacker-Angriff auf Banken auf die Spur gekommen sind. Bei diesem Angriff haben die Cyberkriminellen sich sowohl Zugriff auf das Bankennetzwerk verschafft, um Debitkarten zu manipulieren, als auch Menschen eingesetzt, um Geld von herkömmlichen Bankautomaten abzuheben.
Bei dem Cyber-Angriff nutzen die Hacker zunächst ungepatchte Sicherheitslücken aus, um sich Zugriff auf die IT-Infrastruktur der Bank zu verschaffen. Nachdem sie in das Netzwerk eingedrungen waren, manipulierten sie das Enterprise-Admin-Konto und erhielten so vollen Zugriff auf die IT-Infrastruktur. Im nächsten Schritt verschafften sich die Cyberkriminellen Zugriff auf alle Services, die mit den Debitkarten zusammenhängen.
Danach installierten die Cyberkriminellen ein legitimes Überwachungstool auf dem Terminal-Server, über den die Bankangestellten per Internet-Browser auf die Debitkarten-Management-Software zugreifen. Diese Software, die "Mipko" genannt wird, erfasst alle Daten, der in dem System eingeloggten Nutzer. Auf diese Weise konnten die Angreifer innerhalb eines Monats rund 4 GB Daten abgreifen.
Durch die Installation von Keyloggern konnten die Cyberkriminellen dann die Debitkarten herausfiltern, bei denen die Mitarbeiter der betroffenen Bank Änderungen vornehmen konnten.
Kurz bevor die Mittelsmänner mit den Debitkarten Geld abhoben, wurden die Debitkarten beziehungsweise das zugehörige Konto dann entsprechend manipuliert. Dabei wurde zum Beispiel das Überziehungslimit der Karte von 0 auf bis zu 35.000 US-Dollar abgeändert.
Interessant ist, dass die Angreifer nur sehr begrenzt Malware, die von den Sicherheitssystem wahrscheinlich erkannt worden wäre, eingesetzt haben, sondern legitime Windows- und PowerShell-Befehle in Kombination mit Tools wie PSEcex einsetzten, um Zugriff auf das Netzwerk zu erlangen. Außerdem verwendeten sie auch plink.exe (einen Windows SSH-Client), um sich Zugriff auf den Terminal-Server über einen bestehenden SSH-Tunnel zu verschaffen.
Die Experten der Trustwave SpiderLabs haben mit Erlaubnis der Bank die IT-Infrastruktur sorgfältig untersucht, um herauszufinden, über welchen Bereich des IT-Systems den Angreifern schlussendlich der Zugriff auf das Netzwerk und die Daten gelungen ist. Zwar war es möglich, den potenziellen Endpunkt zu lokalisieren, das entsprechende System war aber bereits unmittelbar nach dem Angriff nicht mehr "verfügbar". Bei der Analyse des Systems stellten die Forensiker fest, dass das Dateisystem beschädigt und das System weder gestartet werden konnte, noch eine Dateiansicht möglich war.
Die Security Experten der Trustwave SpiderLabs fanden heraus, dass der MBR (Master Boot Record) bewusst zerstört worden war. Die Cyberkriminellen nutzten dafür die Malware dropper.exe, die Sekunden vor dem letzten Beenden des Betriebssystems ausgeführt wurde. Sobald dropper.exe ausgeführt wird, beschädigt die Malware den MBR des Systems, löscht sich selbst und führt dann einen Neustart des Systems durch, das sich aber aufgrund des beschädigten MBR dann nicht mehr starten lässt.
Erschreckend ist, dass der Code, der zum Löschen des System-MRS führt, bei vielen Antiviren-Software-Herstellern noch nicht als bösartig eingestuft wurde. Zusätzlich zeigt der Angriff aber auch, wie motiviert und professionell Cyberkriminelle mittlerweile arbeiten. Denn neben dem eigentlichen Ziel, dem Stehlen von Geld, wird es für Cyberkriminelle auch immer wichtiger, ihre Spuren zu verwischen.
Für Unternehmen erhöht sich dadurch das Risiko enorm, eine Kompromittierung gar nicht oder erst sehr spät zu erkennen. Trustwave empfiehlt Unternehmen deshalb, immer davon auszugehen, dass die IT-Security bereits bedroht ist und aktiv nach den Bedrohungen zu suchen, um Sicherheitsverletzungen rechtzeitig zu erkennen und zu minimieren.
Diese Suche nach bereits vorhandenen Sicherheitsverletzungen wird auch als Threat Hunting bezeichnet. Unternehmen, bei denen die interne IT-Abteilung diese Aufgabe nicht bewältigen kann, können auch Threat-Hunting-Services von beispielsweise Trustwave in Anspruch nehmen.