Internetkriminalität und -spionage

Chirurgisch präzise Cyberoperationen

| Autor / Redakteur: Holger Suhl / Susanne Ehneß

Weltweit wurden Ziele wie Regierungsstellen, Botschaften oder Forschungsinstitute von der Equation Group ausspioniert
Weltweit wurden Ziele wie Regierungsstellen, Botschaften oder Forschungsinstitute von der Equation Group ausspioniert (Bild: Kaspersky Lab)

Das Ändern der Systemsoftware einer Festplatte hat schwerwiegende Folgen:

  • Eine extrem hohe Widerstandsfähigkeit, mit der die Malware selbst eine Festplattenformatierung oder eine Neuinstallation des Betriebssystems überlebt. Sobald die Malware in die Firmware gelangt, kann sie sich selbst für immer wieder herstellen und das Löschen bestimmter Festplattenbereiche verhindern beziehungsweise diesen Bereich durch einen schädlichen während eines Systemneustarts ersetzen.
  • Wird eine Festplatte mit diesem gefährlichen Code infiziert, ist es unmöglich, die Firmware zu scannen. Einfacher gesagt: Für die meisten Festplatten existieren Funktionen zum Beschreiben des Firmware-Bereichs ihrer Hardware, aber nicht zur Wiedergabe. Das bedeutet, dass wir praktisch blind sind und mit dieser Malware infizierte Festplatten nicht erkennen können.
  • Die Möglichkeit, einen unsichtbaren und dauerhaften Bereich auf der Festplatte zu schaffen, wird auch genutzt, um herausgefilterte Informationen zu speichern, die später von den Angreifern abgerufen werden können. Zudem kann dies in einigen Fällen beim Knacken der Verschlüsselung hilfreich sein.

Es gibt zuverlässige Hinweise darauf, dass die Equation Group mit anderen einflussreichen Gruppen wie beispielsweise mit den Betreibern von Stuxnet und Flame interagiert – wobei die Equation Group offenbar eine führende Position innehatte. Die Equation Group hatte Zugang zu Zero-Day-Schwachstellen, bevor diese von Stuxnet und Flame genutzt wurden. Zu einem anderen Zeitpunkt teilten sie die Exploits mit den anderen.

Im Jahr 2008 nutzte der Schädling Fanny zwei Zero-Days, die erst im Juni 2009 und März 2010 in Stuxnet eingebaut wurden. Einer dieser Zero-Days in Stuxnet war ursprünglich ein Flame-Modul, das dieselbe Schwachstelle ausnutzt. Dieser wurde direkt aus der Flame-Plattform entnommen und in Stuxnet eingebaut.

Die Carbanak-Gang

Ebenfalls im Februar deckte Kaspersky Lab zusammen mit Interpol, Europol und Institutionen verschiedener Länder die Geschichte eines beispiellosen Cyber-Bankraubs auf. Dabei wurde innerhalb von zwei Jahren bis zu einer Milliarde US-Dollar von Finanzinstituten weltweit gestohlen. Laut den Experten ist eine internationale Gang von Cyberkriminellen aus Russland, der Ukraine, Teilen Europas sowie China für den Raubzug verantwortlich.

Die so genannte Carbanak-Gang nutzte für die Cyberüberfälle Techniken aus dem Arsenal zielgerichteter Attacken (APTs). Der Vorgang markiert den Beginn einer neuen Phase in der Entwicklung der Cyberkriminalität, in der Geld direkt von Banken anstatt von Heimanwendern gestohlen wird.

Seit dem Jahr 2013 haben die Kriminellen Angriffe auf bis zu 100 Banken, ePayment-Systeme und andere Finanzinstitute in rund 30 Ländern gestartet. Es ist davon auszugehen, dass die größten Summen durch das Hacken von Banken erbeutet wurden – bis zu zehn Millionen US-Dollar pro Überfall. Im Durchschnitt dauerte jeder Banküberfall zwischen zwei und vier Monate an, von der Infizierung des ersten Computers im Unternehmensnetzwerk der Bank bis zum eigentlichen Diebstahl.

Ergänzendes zum Thema
 
Kritische Infrastrukturen schützen

Anfangs haben sich die Cyberkriminellen über gezielte Spear-Phishing-Attacken Zugang zu einem Angestellten-Computer verschafft und diesen mit dem Carbanak-Schadprogramm infiziert. Anschließend waren sie in der Lage, sich im internen Netzwerk zu bewegen, um die für die Videoüberwachung zuständigen Computer der Administratoren aufzuspüren und zu übernehmen. Die Folge: Die Angreifer konnten alles, was sich auf den Bildschirmen der für die Betreuung der Geldtransfersysteme verantwortlichen Mitarbeiter abspielte, einsehen und aufnehmen.

So kannten sie jedes einzelne Detail über die Arbeit der Angestellten und konnten die Aktivitäten der Angestellten imitieren, um Geld zu überweisen oder bar auszuzahlen.

Lesen Sie auf der nächsten Seite weiter.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43379482 / System & Services)