- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Immer wieder neue Varianten der Malware


Jagd auf Lazarus-Gruppe verhindert großen Cyberbanküberfall
Neue Erkenntnisse über das Vorgehen der berüchtigten Lazarus-Gruppe

- Anzeigen -





Kaspersky Lab stellt die Ergebnisse einer mehr als einjährigen Untersuchung der Aktivitäten der Lazarus-Gruppe vor. Die berüchtigte Hackergruppe wird für den Diebstahl von 81 Millionen US-Dollar von der Zentralbank in Bangladesch im Jahr 2016 verantwortlich gemacht. Über eine forensische Analyse von Artefakten, die die Gruppe in den Systemen südostasiatischer und europäischer Banken hinterlassen hatte, konnte Kaspersky Lab tiefe Einblicke darüber gewinnen, welche schädlichen Werkzeuge die Gruppe verwendet und wie ihre weltweiten Angriffe auf Finanzinstitutionen, Spielcasinos, Software-Entwickler für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich ablaufen. Mit Hilfe dieser Erkenntnisse wurden mindestens zwei weitere Operationen und damit der Diebstahl hoher Geldsummen bei Finanzinstituten vereitelt. Laut den Erkenntnissen von Kaspersky Lab ist die Gruppe nach wie vor aktiv.

Im Februar 2016 versuchte eine damals noch nicht identifizierte Gruppe von Hackern 851 Millionen US-Dollar zu stehlen. Es gelang ihr, eine Überweisung in Höhe von 81 Millionen US-Dollar von einem Konto der Zentralbank von Bangladesch zu tätigen – und damit einen Coup zu landen, der als einer der größten und erfolgreichsten Cyberüberfälle gilt. Die Experten mehrerer IT-Sicherheitsfirmen – darunter auch Kaspersky Lab – fanden heraus, dass hinter dem Angriff mit hoher Wahrscheinlichkeit die Gruppe Lazarus steckt; eine berüchtigte Cyberspionage- und Cybersabotage-Gruppe, die bereits seit 2009 weltweit für ganze Serien von wiederholten und verheerenden Angriffen auf Produktionsunternehmen, Medien und Finanzinstitute in mindestens 18 Ländern bekannt ist.

Obwohl man nach dem Angriff in Bangladesch mehrere Monate nichts mehr von der Gruppe gehört hatte, war Lazarus weiter aktiv und bereitete sich auf neue Operationen für den Gelddiebstahl bei anderen Banken vor. So hatte die Gruppe bereits einen Fuß bei einem südostasiatischen Finanzinstitut in der Tür. Nachdem die Lösungen von Kaspersky Lab und die anschließende Untersuchung den Cybereinbruch vereiteln konnten, zog sich die Gruppe erneut monatelang zurück, um dann ihre operative Tätigkeit in Richtung Europa zu verlagern. Auch hier wurden Angriffe durch die Sicherheitslösungen von Kaspersky Lab entdeckt, und mit Hilfe einer schnellen Vorfallreaktion (Incident Response), forensischer Analyse sowie Reverse Engineering der Experten von Kaspersky Lab verhindert.

Die Lazarus-Formel

Die Ergebnisse der forensischen Analyse durch Kaspersky Lab deuten auf folgende Vorgehensweise der Gruppe hin:

• >> Erstkompromittierung: Zunächst wird in ein einzelnes System innerhalb der Bank eingedrungen. Und zwar entweder über einen Code mit Schwachstellen (zum Beispiel auf einem Webserver) oder mit Hilfe eines Wasserlochangriffs über ein Exploit, das auf einer legitimen Webseite implantiert wird, auf die die Opfer (in diesem Fall die Bankangestellten) mit ihren Computern zugreifen. Dabei wird Malware heruntergeladen, die weitere Komponenten nachladen kann.

• >> Hintertür: Danach wandert die Gruppe zu den weiteren Hosts der Bank und installiert dort langlebige Backdoors, also Malware, die ein beliebiges Kommen und Gehen der Angreifer zulässt.

• >> Erkundung: Anschließend untersucht die Gruppe über Tage und Wochen das Netzwerk und identifiziert die für sie wertvollen Ressourcen. Das kann ein Backup-Server sein, auf dem Authentifizierungsinformationen abgelegt werden, ein Mail-Server beziehungsweise der komplette Domain Controller mit den Schlüsseln zu "jeder Tür" im Unternehmen, oder ein Server, auf denen Prozessaufzeichnungen der Finanztransaktionen gespeichert werden.

• >> Diebstahl: Schließlich installiert die Gruppe eine spezielle Malware, die die internen Sicherheitsfunktionen der Finanzsoftware umgeht und ihre betrügerischen Transaktionen im Namen der Bank ausführt.

Geografische Verteilung der Angriffe
Die von den Experten von Kaspersky Lab untersuchten Angriffe dauerten mehrere Wochen. Doch vermutlich operierten die Angreifer monatelang unbemerkt. So entdeckten die Experten beispielsweise während der Analyse des Vorfalls in Südostasien, dass die Hacker das Netzwerk der Bank bereits sieben Monate vor jenem Tag attackiert hatten, an dem das Sicherheitsteam der Bank die Vorfallreaktion angefordert hatte. Tatsächlich lag dieser Zeitpunkt noch vor dem Vorfall in Bangladesch.

Gemäß den Aufzeichnungen von Kaspersky Lab tauchten seit Dezember 2015 bei den Aktivitäten von Lazarus Malware-Samples bei Finanzinstituten, Spielcasinos, bei Software-Entwicklern für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich in folgenden Ländern auf: Korea, Bangladesch, Indien, Vietnam, Indonesien, Costa Rica, Malaysia, Polen, Irak, Äthiopien, Kenia, Nigeria, Uruguay, Gabun, Thailand und verschiedenen anderen Staaten. Die jüngsten Samples entdeckte Kaspersky Lab im März 2017, die Angreifer sind also weiter aktiv.

Auch wenn die Angreifer so vorsichtig waren, ihre Spuren zu verwischen, begingen sie bei einem Server, in den sie im Rahmen einer anderen Kampagne eingedrungen waren, einen Fehler und hinterließen dort ein wichtiges Artefakt. Zur Vorbereitung ihrer Operationen wurde der Server als Command-and-Control-Center für die Malware konfiguriert. Am Tag der Konfiguration wurden die ersten Verbindungen zu einigen wenigen VPN- beziehungsweise Proxy-Servern aufgebaut, was auf einen Test für den Command-and-Control-Server hindeutet. Allerdings gab es an diesem Tag auch eine kurze Verbindung zu einer IP-Adresse in einem sehr selten genutzten Adressbereich in Nordkorea. Das könnte laut den Experten bedeuten, dass

• >> die Angreifer sich von dieser IP-Adresse aus Nordkorea verbunden haben,
• >> ein anderer Akteur unter falscher Flagge die Operation sorgfältig geplant hat
• >> oder jemand in Nordkorea versehentlich die Command-and-Control-URL besucht hat.

Die Lazarus-Gruppe ist sehr darauf bedacht, immer wieder neue Varianten ihrer Malware zu erzeugen. Monatelang versuchten sie ein Set schädlicher Tools aufzubauen, das von Sicherheitslösungen nicht erkannt werden sollte. Jedoch gelang es den Experten von Kaspersky Lab jedes Mal, auch die neuen Samples aufzuspüren; und zwar über einige typische Merkmale, die bei der Erzeugung des Codes verwendet wurden.

"Wir sind sicher, dass Lazarus bald zurückkommen wird", sagt Vitaly Kamluk, Head of Global Research and Analysis Team (GReAT) APAC bei Kaspersky Lab. "Angriffe wie die der Lazarus-Gruppe machen deutlich, wie sich geringfügige Fehler in der Konfiguration zu massiven Sicherheitsvorfällen ausweiten können und bei betroffenen Unternehmen möglicherweise Schäden in Höhe von Hunderten von Millionen Dollar anrichten können. Wir hoffen, dass weltweit die Verantwortlichen von Banken, Spielcasinos und Anlagegesellschaften beim Namen Lazarus misstrauisch werden." (Kaspersky Lab: ra)

eingetragen: 14.05.17
Home & Newsletterlauf: 02.06.17


Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Einsatz von KI in Sicherheitsprodukten

    Anbieter von Sicherheitssoftware vermarkten den Einsatz von KI in ihren Produkten als technologischen Fortschritt. Dabei haben sie gar keine Wahl: Cyberkriminelle geben den Takt vor und werden immer mächtiger. Schuld ist der konzeptionelle Ansatz einer ganzen Branche, analysiert Sicherheitssoftware-Anbieter Bromium. Tatsächlich befinden sich Cyberkriminelle im Kampf um die Sicherheitshoheit seit jeher im Vorteil. Sie unterliegen keinen Organisationszwängen, sind schnell, per Definition skrupellos und geben mit immer fortschrittlicheren Attacken den Takt vor. Anbieter von Sicherheitssoftware können neuartige Angriffe nicht antizipieren und müssen reagieren; bis aber angepasste Abwehrmaßnahmen entwickelt und am Ende von ihren Unternehmenskunden produktiv eingesetzt werden, ist es meist schon zu spät. Dann beginnt der Kreislauf wieder von vorne.

  • Virtualisierung wird zum Retter der IT

    Sicherheitsvorfälle sind weiter an der Tagesordnung und klassische Sicherheitsmaßnahmen haben mehr als einmal versagt. Einen Ausweg aus dem Sicherheitsdilemma bieten Virtualisierungslösungen, meint Bromium. Noch vor wenigen Jahren schien es undenkbar, dass eine Bank ihre auf Mainframes angesiedelten unternehmenskritischen Kernapplikationen auch auf virtuellen Servern betreibt. Heute bilden virtuelle Infrastrukturen im Bankenumfeld keine Ausnahme mehr. Die Entwicklung weg von physischen Infrastrukturen hin zu virtuellen Architekturen zeigt sich in der gesamten IT. So ist die Virtualisierung im Server- und Storage-Bereich bereits der Standard. Der Virtualisierungstrend erfasst aber nicht nur Server- und Storage-Landschaften, sondern seit geraumer Zeit auch Applikationen, Netzwerke und sogar einzelne Netzwerkfunktionen. Und aktuell setzt sich zunehmend die Erkenntnis durch, dass Virtualisierung gerade auch hinsichtlich der IT-Sicherheit entscheidende Vorteile bringt.

  • Diebstahl von Passwörtern

    Der Diebstahl von Passwörtern geschieht nicht nur durch Software und Social Engineering - es kann auch schon eine Wärmebildkamera ausreichen, die kostengünstiger und somit für Cyberkriminelle immer interessanter wird. Laut einer Untersuchung von Wissenschaftlern der University of California reichen die Wärmespuren (Heat Traces) auf handelsüblichen Tastaturen aus, um Passwörter abzugreifen. Nach Einschätzung der Forscher sind besonders leicht Eingaben von Nutzer des Zwei-Finger-Suchsystems auslesbar. Diese ungewöhnliche Methode des Passwortknackens könnte im Bereich Cyber- und Industriespionage zum Tragen kommen.

  • Lösegeld-Flatrate für Unternehmen

    WannaCry hat Ransomware zu einer besonders zerstörerischen Dimension verholfen. Mit WannaCrypt erscheint nun eine neue Variante der Erpressungssoftware: Zahlt, dann bleibt ihr verschont. Sophos gibt eine Einschätzung und Tipps zum Umgang mit Ransomware. Gibt es Schlimmeres als einen Ransomware-Angriff, der sämtliche Dateien zerhackt und Geld fordert, damit der Computer wieder befreit wird? WannaCry hat der Ransomware-Gefahr eine ganz neue Dimension verliehen, indem es den Prozess der Datenzerstörung mit einem selbst verbreitenden Computer-Virus kombinierte. Als Ergebnis konnte WannaCry sich automatisch ins eigene Netzwerk einschleichen und hatte das Potenzial, Hunderte oder sogar Tausende PCs in einer einzigen Attacke zu zerlegen - auch wenn nur ein einziger Nutzer einen Anhang mit derartiger Sprengladung öffnete oder eine Datei von einer infizierten Webseite downloadete.

  • Hacker-Angriffe: Weiterhin Handlung

    Fragen Sie sich doch einmal selbst: Würden Sie eher die E-Mail-Nachricht eines Prinzen aus Nigeria öffnen, der Sie um Hilfe bittet, oder die, bei der Sie einfach nur "hier klicken" müssen, um kostenlose Tickets zur Fußballweltmeisterschaft zu erhalten? Cyberkriminelle halten immer Ausschau nach günstigen Gelegenheiten, um Verbraucher zu täuschen. Wenn große Datenpannen bekannt werden, versenden sie zum Beispiel oft Sicherheitsmeldungen, die die Empfänger dazu auffordern, ihre Daten zu sichern. Oder sie verschicken Links zu meist unvorteilhaften und daher für eine Veröffentlichung gesperrte Fotos von Prominenten.