Die Bankräuber des 21. Jahrhunderts
Die Carbanak-Gangster sind die Bankräuber des 21. Jahrhunderts. Sie zielen genau auf Banken und Finanzinstitute. Doch die eingesetzten Methoden, wie etwa das Spear-Phishing, sind allgemeingültig. Informatik Aktuell sprach mit Holger Suhl, General Manager DACH bei Kaspersky Lab.
Informatik Aktuell: Wie wurden Sie auf die Carbanak-Gruppe und deren Software aufmerksam?
Holger Suhl:Eine ukrainische Bank bat unsere Spezialisten in Moskau um Hilfe. Bei dieser Bank war Geld auf mysteriöse Weise aus einem Geldautomaten abhanden gekommen. Weitere Indizien aus anderen Fällen bei Banken brachten unser Team auf den Verdacht, dass da etwas Größeres im Gang war. Heute wissen wir, dass der erste Schadcode wohl um den August 2013 erstellt wurde. Den bisherigen Höhepunkt der Kampagne verzeichneten wir im Juni 2014. Die Cybergang ist übrigens noch immer aktiv!
Informatik Aktuell: Wie sind Sie bei den Ermittlungen vorgegangen?
Holger Suhl: Nachdem unser Global Research and Analysis Team (GReAT) den Verdacht erhärten konnte, haben wir sofort den Kontakt mit internationalen Organisationen wie EUROPOL und INTERPOL sowie mit den nationalen Ermittlungsbehörden und einer Reihe von Computer Emergency Response Teams (CERTs) weltweit gesucht. Eines unserer Hauptziele bestand darin, unser Wissen über die Kampagne und die Infektionssymptome allen identifizierten und potenziellen Opfer mitzuteilen.
Informatik Aktuell: Was ist das Besondere am Vorgehen der Carbanak-Gruppe?
Holger Suhl: Das Besondere ist die Geduld der Cyberkriminellen. Zunächst zielten die Gangster darauf ab, mittels Spear-Phishing-Methoden einen einzelnen PC innerhalb der Bank zu übernehmen. Von diesem gekaperten PC aus erkundeten sie die Infrastruktur und vor allem die Prozesse der Bank bei Auszahlungen und Überweisungen. Die Angreifer konnten alles, was sich auf den Bildschirmen der für die Betreuung der Geldtransfersysteme verantwortlichen Mitarbeiter abspielte, einsehen und aufnehmen. So konnten sie die Aktivitäten der Angestellten imitieren, um Geld zu überweisen oder bar auszuzahlen. Der einzelne Raub dauerte jeweils zwei bis vier Monate.
Informatik Aktuell: Sind nur Banken betroffen? Oder gibt es auch andere Unternehmen, die in Gefahr laufen, über diesen Weg angegriffen zu werden?
Holger Suhl: Die Carbanak-Gangster sind die Bankräuber des 21. Jahrhunderts. Sie zielen genau auf Banken und Finanzinstitute. Doch die eingesetzten Methoden, wie etwa das Spear-Phishing, sind allgemeingültig. Wir sehen daher zahlreiche Angriffe auf Konzerne, bei denen etwa Kundendaten und deren Kreditkartennummern entwendet werden. Ein noch bedrohlicheres Szenario sind hochentwickelte und gefährliche Werkzeuge, mit denen dann nationale Banken, aber auch Industrieanlagen oder kritische Infrastrukturen zur Zielscheibe werden. Kaspersky Lab hat ja fast gleichzeitig zu Carbanak Erkenntisse zu der mächtigen Cyberangriffs-Plattform Equation Group veröffentlicht.
Informatik Aktuell: Was sollten IT-Verantwortliche in Finanzinstituten unternehmen? Welche Schritte sollten Sie jetzt einleiten?
Holger Suhl: Zunächst einmal muss jedes Finanzinstitut seine Netzwerke sorgfältig auf die Präsenz von Carbanak prüfen. Wird die Malware gefunden, sollte das Eindringen umgehend den Strafverfolgungsbehörden gemeldet werden. Das ist der einfachere Teil, da inzwischen der Schadcode gut festgestellt und beseitigt werden kann. Jede Bank sollte daher nochmals ihre IT-Sicherheit überprüfen, und mit Hilfe ihres IT-Sicherheitsanbieters Software und Hardware auf den letzten Stand bringen.
Informatik Aktuell: Was kann die IT-Security einer Bank tun, um solche und zukünftige Angriffe abzuwehren?
Holger Suhl: Das Novum an Carbanak ist ja auch, dass Banken direkt und gezielt angegriffen werden. Einen ähnlichen Fall hatten wir zwar bereits im vergangenen Jahr, als unsere Experten einen Bankraub über ein Online-Bezahlsystem einer russischen Bank untersucht haben, aber bei weitem nicht in dem Ausmaß wie jetzt bei Carbanak. In zwei Bereichen muss die Bank deshalb über eine Aktualisierung von Soft- und Hardware hinaus Schutzmaßnahmen treffen. Zum einen müssen alle Mitarbeiter geschult und zum Beispiel dafür sensibilisiert werden, dass sie etwa mittels Social-Engineering-Methoden dazu gebracht werden könnten, einen geschenkten USB-Stick an ihrem Arbeitsplatz-PC zu verwenden. Zum anderen sollte sich eine Bank weitergehende Beratung holen, und zwar im Bereich vorbeugender Aufklärung sowie systematischer Beobachtung ihrer „Netzwelt“ auch außerhalb der Bank. Kaspersky Lab bietet beispielsweise spezielle Security Intelligence Services oder Kaspersky Fraud Prevention für Banken.
Informatik Aktuell: Und was ist zu tun, um herauszufinden, ob das eigene Unternehmen betroffen ist?
Holger Suhl: Um zu überprüfen, ob ein Netzwerk von Carbanak befallen ist, können IT-Verantwortliche die von Kaspersky Lab auf dem internationalen Blog Securelist zur Verfügung gestellte, offene IOC-Datei mit den Indikatoren für eine Kompromittierung verwenden [1]. Auf dem Blog findet sich auch ein Schema, wie die Bank vorgehen sollte.
Informatik Aktuell: Vielen Dank für das Gespräch!
[1] https://securelist.com