- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Immer wieder neue Varianten der Malware


Jagd auf Lazarus-Gruppe verhindert großen Cyberbanküberfall
Neue Erkenntnisse über das Vorgehen der berüchtigten Lazarus-Gruppe

- Anzeigen -





Kaspersky Lab stellt die Ergebnisse einer mehr als einjährigen Untersuchung der Aktivitäten der Lazarus-Gruppe vor. Die berüchtigte Hackergruppe wird für den Diebstahl von 81 Millionen US-Dollar von der Zentralbank in Bangladesch im Jahr 2016 verantwortlich gemacht. Über eine forensische Analyse von Artefakten, die die Gruppe in den Systemen südostasiatischer und europäischer Banken hinterlassen hatte, konnte Kaspersky Lab tiefe Einblicke darüber gewinnen, welche schädlichen Werkzeuge die Gruppe verwendet und wie ihre weltweiten Angriffe auf Finanzinstitutionen, Spielcasinos, Software-Entwickler für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich ablaufen. Mit Hilfe dieser Erkenntnisse wurden mindestens zwei weitere Operationen und damit der Diebstahl hoher Geldsummen bei Finanzinstituten vereitelt. Laut den Erkenntnissen von Kaspersky Lab ist die Gruppe nach wie vor aktiv.

Im Februar 2016 versuchte eine damals noch nicht identifizierte Gruppe von Hackern 851 Millionen US-Dollar zu stehlen. Es gelang ihr, eine Überweisung in Höhe von 81 Millionen US-Dollar von einem Konto der Zentralbank von Bangladesch zu tätigen – und damit einen Coup zu landen, der als einer der größten und erfolgreichsten Cyberüberfälle gilt. Die Experten mehrerer IT-Sicherheitsfirmen – darunter auch Kaspersky Lab – fanden heraus, dass hinter dem Angriff mit hoher Wahrscheinlichkeit die Gruppe Lazarus steckt; eine berüchtigte Cyberspionage- und Cybersabotage-Gruppe, die bereits seit 2009 weltweit für ganze Serien von wiederholten und verheerenden Angriffen auf Produktionsunternehmen, Medien und Finanzinstitute in mindestens 18 Ländern bekannt ist.

Obwohl man nach dem Angriff in Bangladesch mehrere Monate nichts mehr von der Gruppe gehört hatte, war Lazarus weiter aktiv und bereitete sich auf neue Operationen für den Gelddiebstahl bei anderen Banken vor. So hatte die Gruppe bereits einen Fuß bei einem südostasiatischen Finanzinstitut in der Tür. Nachdem die Lösungen von Kaspersky Lab und die anschließende Untersuchung den Cybereinbruch vereiteln konnten, zog sich die Gruppe erneut monatelang zurück, um dann ihre operative Tätigkeit in Richtung Europa zu verlagern. Auch hier wurden Angriffe durch die Sicherheitslösungen von Kaspersky Lab entdeckt, und mit Hilfe einer schnellen Vorfallreaktion (Incident Response), forensischer Analyse sowie Reverse Engineering der Experten von Kaspersky Lab verhindert.

Die Lazarus-Formel

Die Ergebnisse der forensischen Analyse durch Kaspersky Lab deuten auf folgende Vorgehensweise der Gruppe hin:

• >> Erstkompromittierung: Zunächst wird in ein einzelnes System innerhalb der Bank eingedrungen. Und zwar entweder über einen Code mit Schwachstellen (zum Beispiel auf einem Webserver) oder mit Hilfe eines Wasserlochangriffs über ein Exploit, das auf einer legitimen Webseite implantiert wird, auf die die Opfer (in diesem Fall die Bankangestellten) mit ihren Computern zugreifen. Dabei wird Malware heruntergeladen, die weitere Komponenten nachladen kann.

• >> Hintertür: Danach wandert die Gruppe zu den weiteren Hosts der Bank und installiert dort langlebige Backdoors, also Malware, die ein beliebiges Kommen und Gehen der Angreifer zulässt.

• >> Erkundung: Anschließend untersucht die Gruppe über Tage und Wochen das Netzwerk und identifiziert die für sie wertvollen Ressourcen. Das kann ein Backup-Server sein, auf dem Authentifizierungsinformationen abgelegt werden, ein Mail-Server beziehungsweise der komplette Domain Controller mit den Schlüsseln zu "jeder Tür" im Unternehmen, oder ein Server, auf denen Prozessaufzeichnungen der Finanztransaktionen gespeichert werden.

• >> Diebstahl: Schließlich installiert die Gruppe eine spezielle Malware, die die internen Sicherheitsfunktionen der Finanzsoftware umgeht und ihre betrügerischen Transaktionen im Namen der Bank ausführt.

Geografische Verteilung der Angriffe
Die von den Experten von Kaspersky Lab untersuchten Angriffe dauerten mehrere Wochen. Doch vermutlich operierten die Angreifer monatelang unbemerkt. So entdeckten die Experten beispielsweise während der Analyse des Vorfalls in Südostasien, dass die Hacker das Netzwerk der Bank bereits sieben Monate vor jenem Tag attackiert hatten, an dem das Sicherheitsteam der Bank die Vorfallreaktion angefordert hatte. Tatsächlich lag dieser Zeitpunkt noch vor dem Vorfall in Bangladesch.

Gemäß den Aufzeichnungen von Kaspersky Lab tauchten seit Dezember 2015 bei den Aktivitäten von Lazarus Malware-Samples bei Finanzinstituten, Spielcasinos, bei Software-Entwicklern für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich in folgenden Ländern auf: Korea, Bangladesch, Indien, Vietnam, Indonesien, Costa Rica, Malaysia, Polen, Irak, Äthiopien, Kenia, Nigeria, Uruguay, Gabun, Thailand und verschiedenen anderen Staaten. Die jüngsten Samples entdeckte Kaspersky Lab im März 2017, die Angreifer sind also weiter aktiv.

Auch wenn die Angreifer so vorsichtig waren, ihre Spuren zu verwischen, begingen sie bei einem Server, in den sie im Rahmen einer anderen Kampagne eingedrungen waren, einen Fehler und hinterließen dort ein wichtiges Artefakt. Zur Vorbereitung ihrer Operationen wurde der Server als Command-and-Control-Center für die Malware konfiguriert. Am Tag der Konfiguration wurden die ersten Verbindungen zu einigen wenigen VPN- beziehungsweise Proxy-Servern aufgebaut, was auf einen Test für den Command-and-Control-Server hindeutet. Allerdings gab es an diesem Tag auch eine kurze Verbindung zu einer IP-Adresse in einem sehr selten genutzten Adressbereich in Nordkorea. Das könnte laut den Experten bedeuten, dass

• >> die Angreifer sich von dieser IP-Adresse aus Nordkorea verbunden haben,
• >> ein anderer Akteur unter falscher Flagge die Operation sorgfältig geplant hat
• >> oder jemand in Nordkorea versehentlich die Command-and-Control-URL besucht hat.

Die Lazarus-Gruppe ist sehr darauf bedacht, immer wieder neue Varianten ihrer Malware zu erzeugen. Monatelang versuchten sie ein Set schädlicher Tools aufzubauen, das von Sicherheitslösungen nicht erkannt werden sollte. Jedoch gelang es den Experten von Kaspersky Lab jedes Mal, auch die neuen Samples aufzuspüren; und zwar über einige typische Merkmale, die bei der Erzeugung des Codes verwendet wurden.

"Wir sind sicher, dass Lazarus bald zurückkommen wird", sagt Vitaly Kamluk, Head of Global Research and Analysis Team (GReAT) APAC bei Kaspersky Lab. "Angriffe wie die der Lazarus-Gruppe machen deutlich, wie sich geringfügige Fehler in der Konfiguration zu massiven Sicherheitsvorfällen ausweiten können und bei betroffenen Unternehmen möglicherweise Schäden in Höhe von Hunderten von Millionen Dollar anrichten können. Wir hoffen, dass weltweit die Verantwortlichen von Banken, Spielcasinos und Anlagegesellschaften beim Namen Lazarus misstrauisch werden." (Kaspersky Lab: ra)

eingetragen: 14.05.17
Home & Newsletterlauf: 02.06.17


Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Heimliches Schürfen von Kryptowährung

    Das Jahr 2017 war für Kryptowährungen turbulent: Bitcoin, Ether und Co. erlebten einen Boom wie noch nie zuvor. Doch mit dem steigenden Wert und der Beliebtheit von virtuellen Währungen wuchs auch die Gier von Cyberkriminellen: Sie nutzten zunehmend ausgefeilte Methoden und erbeuteten damit Kryptowährungen im Wert von Millionen. Der europäische Security-Hersteller Eset zeigt in einer Bestandsaufnahme, welche Taktikten die Hacker dazu nutzten, 2017 zum "Jahr der virtuellen Bankräuber" zu machen - und wirft einen Blick auf das, was in diesem Jahr auf Nutzer von Kryptowährungen zukommen könnte.

  • Sachschäden: Anfällige SCADA-Systeme & IoT

    A10 Networks, Anbieterin von sicheren Anwendungsdiensten, stellt zehn aktuelle Security-Trends vor, die die Sicherheitsforscher des Unternehmens erstellt haben. Cyberkriminelle bereiten Unternehmen und Verbrauchern große Probleme, doch auch die Technologien zur Abwehr von Angriffen entwickeln sich rasant. Das sind die zehn Security-Trends. Browser erhalten nativen/experimentellen Support und Online-Identitäten, um die Anzahl der anonymen Transaktionen zu reduzieren. Blockchain-Technologien sind von vornherein sicherer als ihre Vorgänger und schaffen eine Online-Umgebung mit besserem Schutz und einer geringeren Anonymität.

  • Neue vielversprechende Security-Technologien

    Die Gewährleistung der Cybersicherheit wird zwar immer komplexer, in diesem Jahr zeichnen sich jedoch eine Reihe von neuen vielversprechenden Technologien und Strategien ab, die hier ansetzen. Dazu zählen neben Täuschungstechnologien auch künstliche Intelligenz und maschinelles Lernen. Unternehmen können in den nächsten Monaten auch im Hinblick auf die Umsetzung der EU-DSGVO einiges tun, um die Sicherheit ihrer Daten zu gewährleisten.

  • Bitcoin-Boom: Auch Cyberkriminelle profitieren

    Der Run auf Kryptowährungen wie Bitcoin, Monero, Zcash und Ethereum wirft auch für Cyberkriminelle reichlich Gewinn ab. Nach einem aktuellen Report von Digital Shadows steigt die Anzahl an Services und Tools, die es Hackern ermöglicht, den Boom um die digitalen Währung auf illegalem Weg auszunutzen. Mit mehr als 1.442 im Netz verfügbaren Kryptowährungen und wöchentlich neuen "alternativen Münzen" (Altcoins) wächst das potentielle Betätigungsfeld für Cyberkriminelle rasant. Dabei profitieren sie von fehlenden Kontrollmechanismen, Sicherheitsproblemen und der Anonymität im Netz. Zu den beliebtesten Betrugsmaschen zählen Krypto Jacking, Mining Fraud und Account-Übernahmen durch Phising oder Credential Stuffing. Auch direkte Attacken auf Kryptowährungsbörsen (ICOs, Initial Coin Offerings) nehmen zu. Die japanische Kryptowährungsbörse Coincheck gab erst kürzlich einen Diebstahl ihrer Kryptowährung NEM im Wert von knapp 429 Millionen Euro bekannt. Von den Angreifern fehlt bislang jede Spur, die Art des Angriffs ließ sich nicht nachverfolgen.

  • Backdoor für Datendiebstahl

    Digitale Erpressung hat sich laut den Sicherheitsforschern von Trend Micro zum erfolgreichsten und effizientesten Erwerbsmodell für Cyberkriminelle entwickelt. Angriffe werden zunehmend vielseitiger und ausgeklügelter. Digitale Erpressung stellt auch künftig für Firmen und öffentliche Organisationen ein erhebliches Risiko dar. Wie Trend Micro bereits in den Sicherheitsvorhersagen 2018 dargelegt hat, werden Cyberkriminelle vor allem Unternehmen ins Visier nehmen und dort Schäden anrichten.