- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Immer wieder neue Varianten der Malware


Jagd auf Lazarus-Gruppe verhindert großen Cyberbanküberfall
Neue Erkenntnisse über das Vorgehen der berüchtigten Lazarus-Gruppe

- Anzeigen -





Kaspersky Lab stellt die Ergebnisse einer mehr als einjährigen Untersuchung der Aktivitäten der Lazarus-Gruppe vor. Die berüchtigte Hackergruppe wird für den Diebstahl von 81 Millionen US-Dollar von der Zentralbank in Bangladesch im Jahr 2016 verantwortlich gemacht. Über eine forensische Analyse von Artefakten, die die Gruppe in den Systemen südostasiatischer und europäischer Banken hinterlassen hatte, konnte Kaspersky Lab tiefe Einblicke darüber gewinnen, welche schädlichen Werkzeuge die Gruppe verwendet und wie ihre weltweiten Angriffe auf Finanzinstitutionen, Spielcasinos, Software-Entwickler für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich ablaufen. Mit Hilfe dieser Erkenntnisse wurden mindestens zwei weitere Operationen und damit der Diebstahl hoher Geldsummen bei Finanzinstituten vereitelt. Laut den Erkenntnissen von Kaspersky Lab ist die Gruppe nach wie vor aktiv.

Im Februar 2016 versuchte eine damals noch nicht identifizierte Gruppe von Hackern 851 Millionen US-Dollar zu stehlen. Es gelang ihr, eine Überweisung in Höhe von 81 Millionen US-Dollar von einem Konto der Zentralbank von Bangladesch zu tätigen – und damit einen Coup zu landen, der als einer der größten und erfolgreichsten Cyberüberfälle gilt. Die Experten mehrerer IT-Sicherheitsfirmen – darunter auch Kaspersky Lab – fanden heraus, dass hinter dem Angriff mit hoher Wahrscheinlichkeit die Gruppe Lazarus steckt; eine berüchtigte Cyberspionage- und Cybersabotage-Gruppe, die bereits seit 2009 weltweit für ganze Serien von wiederholten und verheerenden Angriffen auf Produktionsunternehmen, Medien und Finanzinstitute in mindestens 18 Ländern bekannt ist.

Obwohl man nach dem Angriff in Bangladesch mehrere Monate nichts mehr von der Gruppe gehört hatte, war Lazarus weiter aktiv und bereitete sich auf neue Operationen für den Gelddiebstahl bei anderen Banken vor. So hatte die Gruppe bereits einen Fuß bei einem südostasiatischen Finanzinstitut in der Tür. Nachdem die Lösungen von Kaspersky Lab und die anschließende Untersuchung den Cybereinbruch vereiteln konnten, zog sich die Gruppe erneut monatelang zurück, um dann ihre operative Tätigkeit in Richtung Europa zu verlagern. Auch hier wurden Angriffe durch die Sicherheitslösungen von Kaspersky Lab entdeckt, und mit Hilfe einer schnellen Vorfallreaktion (Incident Response), forensischer Analyse sowie Reverse Engineering der Experten von Kaspersky Lab verhindert.

Die Lazarus-Formel

Die Ergebnisse der forensischen Analyse durch Kaspersky Lab deuten auf folgende Vorgehensweise der Gruppe hin:

• >> Erstkompromittierung: Zunächst wird in ein einzelnes System innerhalb der Bank eingedrungen. Und zwar entweder über einen Code mit Schwachstellen (zum Beispiel auf einem Webserver) oder mit Hilfe eines Wasserlochangriffs über ein Exploit, das auf einer legitimen Webseite implantiert wird, auf die die Opfer (in diesem Fall die Bankangestellten) mit ihren Computern zugreifen. Dabei wird Malware heruntergeladen, die weitere Komponenten nachladen kann.

• >> Hintertür: Danach wandert die Gruppe zu den weiteren Hosts der Bank und installiert dort langlebige Backdoors, also Malware, die ein beliebiges Kommen und Gehen der Angreifer zulässt.

• >> Erkundung: Anschließend untersucht die Gruppe über Tage und Wochen das Netzwerk und identifiziert die für sie wertvollen Ressourcen. Das kann ein Backup-Server sein, auf dem Authentifizierungsinformationen abgelegt werden, ein Mail-Server beziehungsweise der komplette Domain Controller mit den Schlüsseln zu "jeder Tür" im Unternehmen, oder ein Server, auf denen Prozessaufzeichnungen der Finanztransaktionen gespeichert werden.

• >> Diebstahl: Schließlich installiert die Gruppe eine spezielle Malware, die die internen Sicherheitsfunktionen der Finanzsoftware umgeht und ihre betrügerischen Transaktionen im Namen der Bank ausführt.

Geografische Verteilung der Angriffe
Die von den Experten von Kaspersky Lab untersuchten Angriffe dauerten mehrere Wochen. Doch vermutlich operierten die Angreifer monatelang unbemerkt. So entdeckten die Experten beispielsweise während der Analyse des Vorfalls in Südostasien, dass die Hacker das Netzwerk der Bank bereits sieben Monate vor jenem Tag attackiert hatten, an dem das Sicherheitsteam der Bank die Vorfallreaktion angefordert hatte. Tatsächlich lag dieser Zeitpunkt noch vor dem Vorfall in Bangladesch.

Gemäß den Aufzeichnungen von Kaspersky Lab tauchten seit Dezember 2015 bei den Aktivitäten von Lazarus Malware-Samples bei Finanzinstituten, Spielcasinos, bei Software-Entwicklern für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich in folgenden Ländern auf: Korea, Bangladesch, Indien, Vietnam, Indonesien, Costa Rica, Malaysia, Polen, Irak, Äthiopien, Kenia, Nigeria, Uruguay, Gabun, Thailand und verschiedenen anderen Staaten. Die jüngsten Samples entdeckte Kaspersky Lab im März 2017, die Angreifer sind also weiter aktiv.

Auch wenn die Angreifer so vorsichtig waren, ihre Spuren zu verwischen, begingen sie bei einem Server, in den sie im Rahmen einer anderen Kampagne eingedrungen waren, einen Fehler und hinterließen dort ein wichtiges Artefakt. Zur Vorbereitung ihrer Operationen wurde der Server als Command-and-Control-Center für die Malware konfiguriert. Am Tag der Konfiguration wurden die ersten Verbindungen zu einigen wenigen VPN- beziehungsweise Proxy-Servern aufgebaut, was auf einen Test für den Command-and-Control-Server hindeutet. Allerdings gab es an diesem Tag auch eine kurze Verbindung zu einer IP-Adresse in einem sehr selten genutzten Adressbereich in Nordkorea. Das könnte laut den Experten bedeuten, dass

• >> die Angreifer sich von dieser IP-Adresse aus Nordkorea verbunden haben,
• >> ein anderer Akteur unter falscher Flagge die Operation sorgfältig geplant hat
• >> oder jemand in Nordkorea versehentlich die Command-and-Control-URL besucht hat.

Die Lazarus-Gruppe ist sehr darauf bedacht, immer wieder neue Varianten ihrer Malware zu erzeugen. Monatelang versuchten sie ein Set schädlicher Tools aufzubauen, das von Sicherheitslösungen nicht erkannt werden sollte. Jedoch gelang es den Experten von Kaspersky Lab jedes Mal, auch die neuen Samples aufzuspüren; und zwar über einige typische Merkmale, die bei der Erzeugung des Codes verwendet wurden.

"Wir sind sicher, dass Lazarus bald zurückkommen wird", sagt Vitaly Kamluk, Head of Global Research and Analysis Team (GReAT) APAC bei Kaspersky Lab. "Angriffe wie die der Lazarus-Gruppe machen deutlich, wie sich geringfügige Fehler in der Konfiguration zu massiven Sicherheitsvorfällen ausweiten können und bei betroffenen Unternehmen möglicherweise Schäden in Höhe von Hunderten von Millionen Dollar anrichten können. Wir hoffen, dass weltweit die Verantwortlichen von Banken, Spielcasinos und Anlagegesellschaften beim Namen Lazarus misstrauisch werden." (Kaspersky Lab: ra)

eingetragen: 14.05.17
Home & Newsletterlauf: 02.06.17


Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Mehr als 14,5 Millionen Angriffe dokumentiert

    Koordinierte Massenangriffe sind im Internet immer häufiger zu beobachten. Oft sind wichtige Infrastrukturen wie Verkehrsnetze oder die IT in Krankenhäusern das Ziel, dort, wo sie besonders großen Schaden anrichten. Die "Distributed Denial of Service - DDoS-Attacks" zielen darauf ab, einen bestimmten Dienst mit großen Datenpaketen zu überlasten und unbenutzbar zu machen. Forscher am Center for IT-Security, Privacy and Accountability, kurz CISPA, haben für diese Art Angriff einen "Honeypot" entwickelt - ähnlich wie ein Honigtopf Bienen anlockt, zieht dieser DDoS-Angriffe an.

  • Jagdrevier für Kryptominer

    Das bevorstehende Fußball-Turnier in Russland diesen Sommer zählt zu den größten Sportereignissen der Welt und Deutschland hat seit 1994 erstmals wieder die Chance, den Titel zu verteidigen. Das größte Fußball-Ereignis der Welt verbindet Menschen aller Nationen, die globale Aufmerksamkeit bei solchen Großevents ist jedoch auch prädestiniert für Cyber-Attacken aller Art, die zum einen Profitmaximierung, aber zum anderen auch geopolitische Destabilisierung als Ziel haben können. Helge Husemann, Sicherheitsexperte von Malwarebytes, dem führenden Anbieter von Lösungen zur Vermeidung und Behebung von Malware-Bedrohungen, nennt sieben mögliche Gefahren vor und während des Fußball-Turniers in Russland.

  • Erkennung von Bedrohungen

    Es hat sich erwiesen, dass Unternehmen, die im Rahmen ihrer Omnichannel-Initiativen die Einbeziehung digitaler Identitäten fokussieren, für ein nachhaltiges Wachstum besser positioniert sind als solche, die allein auf die Intelligenz der Endgeräte setzen. Aktuellen Studien zufolge können erstgenannte Unternehmen durch eine verbesserte Neukundengewinnung und eine höhere Kundenbindung ein Umsatzplus von bis zu acht Prozentpunkten gegenüber dem Branchendurchschnitt realisieren. Allerdings herrscht häufig der Irrglaube vor, dass sich "Digitale Identität" und "Geräteintelligenz" als Synonyme gebrauchen lassen. Armen Najarian, Chief Marketing Officer bei ThreatMetrix, hat sich bereits in einem Blog-Beitrag zum Unterschied zwischen Geräteintelligenz und digitaler Identität geäußert.

  • Hybride Bedrohungen

    Die AfD-Fraktion will mehr wissen über so genannte hybride Bedrohungen. Dabei handele es sich nach Angaben der Deutschen Bundesregierung um "unterschiedliche Formen und Methoden des Konfliktaustrags", darunter Desinformation, Cyberattacken und Cybersabotage. Die Abgeordneten erkundigen sich in einer Kleinen Anfrage (19/1002) nun danach, welche Fälle von hybriden Bedrohungen gegen Deutschland seit 2010 bekannt geworden sind.

  • Verschlüsselte Telekommunikation

    Die FDP-Fraktion interessiert sich für die Möglichkeiten der Überwachung von Telekommunikationsmitteln zur Strafverfolgung und die Nutzung einschlägiger Software. Offenbar habe das Bundeskriminalamt (BKA) damit begonnen, auch verschlüsselte Botschaften im Internet zu lesen. Neben der selbst konzeptionierten Software RCIS stehe dem BKA dazu ein Programm namens FinSpy zur Verfügung, heißt es in einer Kleinen Anfrage (19/1020) der Fraktion. Die Abgeordneten wollen von der Bundesregierung nun wissen, wie oft, in welchen Fällen und auf welche Weise Software zur Überwachung informationstechnischer Systeme eingesetzt worden ist oder noch eingesetzt wird.