The Great Bank Robbery: Die große Carbanak-APT

Download Full Report PDF (eng)

Die Geschichte von Carbanak begann, als eine ukrainische Bank uns um Hilfe bei forensischen Ermittlungen bat. Auf mysteriöse Weise war Geld von Geldautomaten gestohlen worden. Unser erster Verdacht ging in Richtung des Schadprogramms Tyupkin. Doch bei der Untersuchung der Festplatte des Geldautomaten konnten wir nichts außer einer merkwürdigen VPN-Konfiguration finden (die Netzmaske war auf 172.0.0.0 gestellt).

Zu der Zeit sahen wir es einfach als eine weitere Malware-Attacke an. Damals konnten wir noch nicht ahnen, dass einer unserer Kollegen mitten in der Nacht, um 3 Uhr morgens, einen Telefonanruf erhalten würde. Am Apparat war ein Account-Manager, der uns bat, dringend eine bestimmte Nummer anzurufen. Die Person am anderen Ende der Leitung war der CSO einer russischen Bank. Eines ihrer Systeme warnte, dass Daten von ihrem Domain Controller in die Volksrepublik China gesendet würden.

Vor Ort konnten wir schnell die Malware im System finden. Wir schrieben ein Batch-Script, das die Malware von einem infizierten PC entfernte und führten dieses Script auf allen Computern der Bank aus. Das wiederholten wir mehrfach, bis wir sicher sein konnten, dass alle Rechner sauber waren. Selbstverständlich wurden Samples behalten und durch sie trafen wir das erste Mal auf die Carbanak-Malware.

Modus Operandi

Weitere forensische Analysen führten uns schließlich zur Erstinfektion: Eine Spear-Phishing-Mail mit einem Anhang im Format CPL; obgleich in anderen Fällen Word-Dokumente verwendet wurden, die bekannte Sicherheitslücken ausnutzen. Nach der Ausführung des Shellcodes wird eine auf Carberp basierende Backdoor im System installiert. Diese Backdoor ist heute als Carbanak bekannt. Sie ist ausgerichtet auf Spionage, Datendiebstahl und Remote-Kontrolle.

Sobald die Angreifer in das Netzwerk des Opfers vorgedrungen sind, spähen sie das Netz manuell aus, versuchen, wichtige Computer zu kompromittieren (wie zum Beispiel den des Administrators) und verwenden Lateral-Movement-Tools. Kurz gesagt – sobald sie sich Zugriff verschafft haben, springen sie durch das Netzwerk, bis sie gefunden haben, was sie interessiert. Was genau das ist, kann von Angriff zu Angriff unterschiedlich sein. Sie alle haben allerdings gemeinsam, dass es von diesem Punkt an möglich ist, Geld von der angegriffenen Organisation zu stehlen.

Die Bande hinter Carbanak muss nicht zwangsweise vorherige Kenntnisse über die internen Abläufe jeder angegriffenen Bank haben, da diese von Organisation zu Organisation variieren. Um also zu verstehen, wie eine bestimmte Bank arbeitet, wurden infizierte Computer benutzt, um Videos aufzunehmen, die dann an die Command und Control-Server geschickt wurden. Auch wenn die Qualität der Videos recht schlecht war, waren sie für die Angreifer doch ausreichend, um zu verstehen, was das Opfer tut. Ergänzend waren die Angreifer nämlich auch mit den von einem bestimmten Rechner abgefangenen Tastatureingaben ausgerüstet. So statteten sie sich mit dem Wissen aus, das sie benötigten, um das Geld einzukassieren.

Abhebeprozedur

Im Laufe unserer Ermittlungen stießen wir auf mehrere Methoden, Geld abzukassieren:

Geldautomaten wurden aus der Ferne angewiesen, Geld auszugeben, ohne dass eine Interaktion mit dem Automaten selbst nötig wäre. Das Bargeld wurde dann von Kurieren eingesammelt. Das SWIFT-Netzwerk wurde benutzt, um Geld von der Organisation auf die Konten der Verbrecher zu überweisen. Daneben wurden Datenbanken mit Kontoinformation manipuliert, so dass gefälschte Konten mit einem relativ hohen Kontostand erstellt werden konnten, wobei wieder Kurierdienste zum Einsammeln des Geldes in Anspruch genommen wurden.

carbanak_1_de

Infektionen und Verluste

Seit Beginn unserer Ermittlungen dieser Kampagne haben wir sehr eng mit den Strafverfolgungsbehörden zusammengearbeitet, die die Carbanak-Bande verfolgen. Aufgrund dieser Zusammenarbeit wissen wir, dass mehr als 100 Ziele angegriffen wurden. Was die angegriffenen Finanzinstitutionen betrifft, so gelang es den Kriminellen in mindestens der Hälfte der Fälle, Geld von den infizierten Organisationen zu stehlen. Die Verluste pro Bank liegen zwischen 2,5 Millionen Dollar und ungefähr10 Millionen Dollar. Doch laut den Informationen der Strafverfolgungsorgane und der Opfern selbst könnten die finanziellen Verluste insgesamt bei 1 Milliarde Dollar liegen, was diese Cybercrime-Kampagne zu einer der erfolgreichsten aller Zeiten machen würde.

Unsere Ermittlungen begannen in der Ukraine und verlagerten sich dann nach Moskau, wobei sich die meisten der von der Gruppe angegriffenen Finanzinstitutionen in Osteuropa befinden. Doch dank der KSN-Daten und der aus den Command und Control-Servern erhaltenen Daten wissen wir, dass Carbanak auch Opfer in den USA, Deutschland und China angreift. Nun weitet die Gruppe ihre Operationen auf neue Gebiete aus. Dazu gehören Malaysia, Nepal, Kuwait und verschiedene afrikanische Regionen – unter anderen.

Die Gruppe ist nach wie vor aktiv und wir fordern alle Finanzorganisationen eindringlich auf, ihre Netzwerke sorgfältig auf die Präsenz von Carbanak zu prüfen. Wird die Malware gefunden, muss das Eindringen umgehend den Strafverfolgungsbehörden gemeldet werden.

carbanak_2_de

Eine vollständige Beschreibung der Kampagne, der Infektionssymptome (IOCs) sowie eine Liste der Infektionen finden Sie in unserem Bericht.

Um zu überprüfen, ob Ihr Netzwerk von Carbanak befallen ist, können Sie auch die hier verfügbare offene IOC-Datei mit den Indikatoren für eine Kompromittierung verwenden.


FAQ

Was ist Carbanak?

Carbanak ist der Name, den wir für eine APT-artige Kampagne benutzen, die Finanzinstitutionen angreift (jedoch nicht darauf beschränkt ist). Der wichtigste Unterschied zu anderen APT-Attacken liegt darin, dass die Angreifer nicht Daten, sondern Geld als ihr Hauptziel anvisieren. Wir sagen APT-artig, obwohl die Attacke streng genommen nicht „Advanced“, also fortschrittlich, zu nennen ist. Streng genommen ist die Hauptcharakteristik, die den Angriff definiert, „Persistence“, also Beständigkeit/Beharrlichkeit.

Wir haben die Backdoor Carbanak getauft, da sie auf Carberp basiert und der Name der Konfigurationsdatei „anak.cfg“ lautet.

Welche bösartigen Ziele verfolgt diese Kampagne?

Die Angreifer unterwandern das Netzwerk des Opfers und suchen nach dem kritischen System, das sie für die Auszahlung des Geldes nutzen können. Sobald sie eine beträchtliche Summe gestohlen haben (zwischen 2,5 und 10 Millionen US-Dollar pro Organisation), kehren sie dem Opfer den Rücken.

Warum ist Kaspersky Lab der Meinung, dass diese Kampagne von Bedeutung ist?

Finanzinstitutionen waren schon immer ein primäres Ziel Cyberkrimineller. Doch meistens wurden sie über ihre Kunden angegriffen. In diesem Fall richten sich die Angreifer mit einer beispiellosen, zielstrebigen, hochprofessionellen und koordinierten Attacke direkt gegen die Finanzorganisationen, und sie nutzen alle Instrumente des Ziels, um so viel Geld wie nur möglich abzukassieren, bis hin zu einem offensichtlich selbst auferlegten Limit.

Lässt sich der zeitliche Verlauf der Kampagne beschreiben?

Soweit wir wissen, wurden die ersten schädlichen Samples im August 2013 erstellt, als die Cyberkriminellen begannen, die Carbanak-Malware zu testen. Die ersten Infektionen wurden im Dezember 2013 detektiert.

Durchschnittlich wurden für jeden Banküberfall zwei bis vier Monate benötigt, von der Infektion des ersten Computers im Unternehmensnetzwerk der Bank bis hin zum Abheben des Geldes.

Wir glauben, dass die Bande ihre ersten Opfer erfolgreich in der Zeit von Februar bis April 2014 bestohlen hat. Die meisten Infektionen wurden im Juni 2014 registriert.

Aktuell ist die Kampagne noch immer aktiv.

Warum hat Kaspersky Lab nicht schon früher über die Kampagne berichtet?

Seit Beginn unserer Untersuchungen dieser Kampagne arbeiten wir mit verschiedenen Strafverfolgungsbehörden zusammen, die an den Ermittlungen beteiligt sind, und wir haben ihnen so viel wie möglich geholfen. Da es sich um laufende Ermittlungen handelt, wurden wir gebeten, so lange keine Informationen preiszugeben, bis es sicher wäre, dies zu tun.

Wurde Kontakt zu den Opfern und den Computer Emergency Response Teams (CERTs) in den Ländern aufgenommen, in denen Vorfälle registriert wurden?

Ja, die Ermittlungen wurden zu einer gemeinsamen Operation des Global Research and Analysis Teams von Kaspersky Lab und internationalen Organisationen, nationalen und regionalen Strafverfolgungsbehörden und einer Reihe von Computer Emergency Response Teams (CERTs) weltweit.

Eines unserer Hauptziele bestand darin, unser Wissen über die Kampagne und die Infektionssymptome allen identifizierten und potenziellen Opfern mitzuteilen. Wir nutzten die CERTs und Strafverfolgungsbehörden als Verbreitungskanäle.

Wie hat Kaspersky Lab zu den Ermittlungen beigetragen?

Wir unterstützen bei den Ermittlungen und der Bereitstellung von Gegenmaßnahmen, die Malware-Operationen und cyberkriminelle Aktivität stoppen. Während der Ermittlungen haben wir unsere technische Expertise zur Verfügung gestellt, so wie z.B. die Analyse von Infektionsvektoren, Schadprogrammen, die Analyse der unterstützten Command & Control-Infrastruktur und der Ausnutzungsmethoden.

Wie wurde die Malware verbreitet?

Die Angreifer sendeten Spear-Phishing-Mails mit schädlichen Anhängen an die Mitarbeiter der anvisierten Finanzorganisationen, in manchen Fällen haben sie diese an die persönlichen E-Mail-Adressen der Angestellten geschickt. Wir glauben, dass die Angreifer außerdem Drive-by-Download-Attacken eingesetzt haben, aber diese Annahme ist noch nicht zu 100% bestätigt.

Welche potenziellen Auswirkungen hat die Kampagne auf die Opfer?

Basierend auf den Summen, die bisher gestohlen wurden, hat ein neues Opfer Verluste von bis zu 10 Millionen US-Dollar zu erwarten. Doch diese Zahl fußt nur auf dem, was wir bisher wissen: Die potenziellen Verluste einer infizierten Organisation sind nach oben offen.

Wer sind die Opfer? Welches Ausmaß hat die Attacke?

Bei den Opfern handelt es sich in erster Linie um Institutionen aus der Finanzbranche. Allerdings haben wir auch Spuren von Infektionen in POS-Terminals und bei PR-Agenturen gefunden. Um eine Vorstellung vom Ausmaß der Attacke zu bekommen, werfen Sie bitte einen Blick auf die verschiedenen Tabellen und Karten in unserem Bericht.

Wie im Falle vieler Malware-Kampagnen gibt es eine Vielzahl von Unternehmen/Einzelpersonen, die die Malware analysieren, was in Anfragen an den Command und Control-Server mündet. Wenn wir diese Server analysieren, sehen wir nur die IPs und möglicherweise einige zusätzliche Informationen. Gibt es keine solchen zusätzlichen Informationen und die IP kann nicht zu ihrem Besitzer zurückverfolgt werden, markieren wir das als eine Infektion.

Basierend auf diesem Ansatz bringt uns unsere Analyse zu dem Schluss, dass die nach Anzahl der Infektionsspuren (IP-Adressen) am stärksten betroffenen Länder Russland, die USA, Deutschland und China sind.

Wie sind Unternehmensanwender vor dieser Art von Attacke geschützt? Schützt Kaspersky Lab seine Nutzer?

Ja, wir detektieren Carbanak-Samples als Backdoor.Win32.Carbanak und Backdoor.Win32.CarbanakCmd.

Alle Produkte für Unternehmen und Unternehmenslösungen von Kaspersky Lab detektieren die Carbanak-Samples. Um das Schutzniveau noch zu erhöhen, wird empfohlen, das Proaktive Schutzmodul von Kaspersky Lab zu aktivieren, das in jedem modernen Produkt und in jeder Lösung enthalten ist.

Hier noch einige allgemeine Empfehlungen:

  • Öffnen Sie keine verdächtigen E-Mails, insbesondere dann nicht, wenn sie einen Anhang haben;
  • Aktualisieren Sie Ihre Software (bei dieser Kampagne wurden keine Zero-Day-Schwachstellen ausgenutzt);
  • Aktivieren Sie in Ihren Schutzlösungen die heuristischen Erkennungsmethoden, denn dann ist es wahrscheinlicher, dass solche neuen Samples detektiert und von vornherein gestoppt werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.