Aktuelles, Branche - geschrieben von am Dienstag, April 4, 2017 19:28 - noch keine Kommentare

Cyber-Banküberfall nach Jagd auf Lazarus-Gruppe verhindert

Neue Erkenntnisse über deren Vorgehen von KASPERSKY lab veröffentlicht

[datensicherheit.de, 04.04.2017] KASPERSKY lab hat laut einer eigenen Meldung die Ergebnisse einer mehr als einjährigen Untersuchung der Aktivitäten der „Lazarus“-Gruppe vorgestellt. Diese berüchtigte Hackergruppe wird demnach für den Diebstahl von 81 Millionen US-Dollar von der Zentralbank in Bangladesch im Jahr 2016 verantwortlich gemacht. Über eine forensische Analyse von Artefakten in den Systemen südostasiatischer und europäischer Banken hat KASPERSKY lab demnach tiefe Einblicke darüber gewinnen, welche schädlichen Werkzeuge diese Gruppe verwendet und wie ihre weltweiten Angriffe auf Finanzinstitutionen, Spielcasinos, Software-Entwickler für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich ablaufen. Mit Hilfe dieser Erkenntnisse seien nun „mindestens zwei weitere Operationen und damit der Diebstahl hoher Geldsummen bei Finanzinstituten“ vereitelt worden.

Einer der größten und erfolgreichsten Cyber-Überfälle

Im Februar 2016 habe eine damals noch nicht identifizierte Gruppe von Hackern versucht, 851 Millionen US-Dollar zu stehlen. Es sei ihr gelungen, eine Überweisung in Höhe von 81 Millionen US-Dollar von einem Konto der Zentralbank von Bangladesch zu tätigen – und damit einen Coup zu landen, der als einer der größten und erfolgreichsten Cyber-Überfälle gelte.
Die Experten mehrerer IT-Sicherheitsfirmen – darunter auch KASPERSKY lab – hätten herausgefunden, dass hinter dem Angriff mit hoher Wahrscheinlichkeit die Gruppe „Lazarus“ stecke: Eine berüchtigte Cyber-Spionage- und -Sabotage-Gruppe, die bereits seit 2009 weltweit für ganze Serien von wiederholten und verheerenden Angriffen auf Produktionsunternehmen, Medien und Finanzinstitute in mindestens 18 Ländern bekannt sei.

Operative Tätigkeit in Richtung Europa verlagert

Obwohl man nach dem Angriff in Bangladesch mehrere Monate nichts mehr von dieser Gruppe gehört habe, sei „Lazarus“ weiter aktiv gewesen und habe sich auf neue Operationen für den Gelddiebstahl bei anderen Banken vorbereitet.
So habe diese Gruppe bereits einen Fuß bei einem südostasiatischen Finanzinstitut in der Tür gehabt. Nachdem die Lösungen von KASPERSKY lab und die anschließende Untersuchung den Cyber-Einbruch hätten vereiteln können, habe sich die Gruppe erneut monatelang zurückgezogen, um dann ihre operative Tätigkeit in Richtung Europa zu verlagern. Auch dort seien Angriffe durch die Sicherheitslösungen von KASPERSKY lab entdeckt und mit Hilfe einer schnellen Vorfallreaktion (Incident Response), forensischer Analyse sowie „Reverse Engineering“ der Experten von KASPERSKY lab verhindert worden.

Vorgehensweise der Gruppe

Die Ergebnisse der forensischen Analyse durch KASPERSKY lab deuteten auf folgende Vorgehensweise der Gruppe hin:

  • Erstkompromittierung: Zunächst werde in ein einzelnes System innerhalb der Bank eingedrungen – und zwar entweder über einen Code mit Schwachstellen (zum Beispiel auf einem Webserver) oder mit Hilfe eines „Wasserlochangriffs“ über ein Exploit, das auf einer legitimen Webseite implantiert werde, auf welche die Opfer (in diesem Fall die Bankangestellten) mit ihren Computern zugriffen. Dabei werde Malware heruntergeladen, die weitere Komponenten nachladen könne.
  • Hintertür: Danach wandere die Gruppe zu den weiteren Hosts der Bank und installiere dort langlebige Backdoors, also Malware, die ein beliebiges Kommen und Gehen der Angreifer zulasse.
  • Erkundung: Anschließend untersuche die Gruppe über Tage und Wochen das Netzwerk und identifiziere die für sie wertvollen Ressourcen. Das könne ein Backup-Server mit dort abgelegten Authentifizierungsinformationen, ein Mail-Server beziehungsweise der komplette „Domain Controller“ mit den Schlüsseln zu „jeder Tür“ im Unternehmen oder ein Server mit Prozessaufzeichnungen der Finanztransaktionen sein.
  • Diebstahl: Schließlich installiere die Gruppe eine spezielle Malware, welche die internen Sicherheitsfunktionen der Finanzsoftware umgehe und ihre betrügerischen Transaktionen im Namen der Bank ausführe.

Vermutlich monatelang unbemerkt operiert

Die von KASPERSKY lab untersuchten Angriffe hätten mehrere Wochen gedauert. Doch vermutlich hätten die Angreifer monatelang unbemerkt operiert.
So sei von den Experten beispielsweise während der Analyse des Vorfalls in Südostasien entdeckt worden, dass die Hacker das Netzwerk der Bank bereits sieben Monate vor jenem Tag der Anforderung der Vorfallreaktion durch das Sicherheitsteam der Bank attackiert hätten – tatsächlich habe dieser Zeitpunkt noch vor dem Vorfall in Bangladesch gelegen.
Gemäß den Aufzeichnungen von KASPERSKY lab seien seit Dezember 2015 Aktivitäten von „Lazarus“-Malware-Samples bei Finanzinstituten, Spielcasinos, bei Software-Entwicklern für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich in Korea, Bangladesch, Indien, Vietnam, Indonesien, Costa Rica, Malaysia, Polen, Irak, Äthiopien, Kenia, Nigeria, Uruguay, Gabun, Thailand und verschiedenen anderen Staaten aufgetaucht. Die jüngsten Samples habe KASPERSKY lab im März 2017 entdeckt – die Angreifer seien also weiter aktiv.

Verräterischer Test des Command-and-Control-Servers

Auch wenn die Angreifer so vorsichtig gewesen seien, ihre Spuren zu verwischen, hätten sie bei einem von ihnen im Rahmen einer anderen Kampagne penetrierten Server einen Fehler begangen und dort ein wichtiges Artefakt hinterlassen.
Zur Vorbereitung ihrer Operationen sei dieser als Command-and-Control-Center für die Malware konfiguriert worden. Am Tag der Konfiguration seien die ersten Verbindungen zu einigen wenigen VPN- beziehungsweise Proxy-Servern aufgebaut worden, was auf einen Test für den Command-and-Control-Server hindeute. Allerdings habe es an diesem Tag auch eine kurze Verbindung zu einer IP-Adresse in einem sehr selten genutzten Adressbereich in Nordkorea gegeben. Dies könnte laut den Experten bedeuten, dass

  • die Angreifer sich von dieser IP-Adresse aus Nordkorea verbunden hätten,
  • ein anderer Akteur unter „falscher Flagge“ die Operation sorgfältig geplant habe
  • oder jemand in Nordkorea versehentlich die Command-and-Control-URL besucht habe.

Die „Lazarus“-Gruppe sei sehr darauf bedacht, immer wieder neue Varianten ihrer Malware zu erzeugen. Monatelang hätten sie versucht, ein Set schädlicher Tools aufzubauen, welches von Sicherheitslösungen nicht erkannt werden sollte. Jedoch sei es den Experten von KASPERSKY lab jedes Mal gelungen, auch die neuen Samples aufzuspüren – und zwar über einige typische Merkmale, die bei der Erzeugung des Codes verwendet worden seien.

„Lazarus“-Gruppe: Taktiken, Techniken und Prozeduren der Angriffe auf Finanzinstitute

Abbildung: KASPERSKY lab

„Lazarus“-Gruppe: Taktiken, Techniken und Prozeduren der Angriffe auf Finanzinstitute

***„Lazarus“ wird wohl bald zurückkommen***

„Wir sind sicher, dass ,Lazarus‘ bald zurückkommen wird“, warnt Vitaly Kamluk, „Head of Global Research and Analysis Team (GReAT) APAC“ bei KASPERSKY lab. Angriffe wie die der „Lazarus“-Gruppe machten deutlich, wie sich geringfügige Fehler in der Konfiguration zu „massiven Sicherheitsvorfällen ausweiten“ und bei betroffenen Unternehmen möglicherweise Schäden in Höhe von Hunderten von Millionen Dollar anrichten könnten. Man hoffe, dass weltweit die Verantwortlichen von Banken, Spielcasinos und Anlagegesellschaften beim Namen „Lazarus“ misstrauisch werden, so Kamluk.
An alle Organisationen richtet KASPERSKY lab daher „die dringende Bitte“, ihre Netzwerke sorgfältig auf Anzeichen von „Lazarus“-Malware zu durchsuchen. Sollten diese entdeckt werden, müsse die Infektion im System beseitigt werden. Außerdem seien die Strafverfolgungsbehörden und Vorfallreaktions-Teams zu verständigen.

Weitere Informationen zum Thema:

KASPERSKY lab auf YouTube, 03.04.2017

Chasing Lazarus: A Hunt for the Infamous Hackers to Prevent Large Bank Robberies

datensicherheit.de, 24.02.2016
Cyberspionage und -sabotage: Lazarus-Gruppe in Asien verortet



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung