Russischsprachige Finanz-Cyberkriminalität: So funktioniert sie

Inhalt

Einführung

Der russischsprachige cyberkriminelle Markt ist weltbekannt. (Unter russischsprachig sind in diesem Fall Cyberverbrecher zu verstehen, die nicht unbedingt Bürger der Russischen Föderation sein müssen, sondern auch anderer angrenzender Staaten der ehemaligen Sowjetunion. In den meisten Fällen geht es um die Ukraine und die baltischen Länder).

Diese Berühmtheit beruht im Wesentlichen auf zwei Faktoren: der Aktivität der russischsprachigen Cyberkriminellen, über die nicht selten in den Massenmedien rund um den Globus berichtet wird, sowie der Offenheit einer großen Zahl von Online-Ressourcen, die Vertretern krimineller Kreise als Kommunikationsplattform dienten oder immer noch dienen – und wenn nicht zum Abschluss von Geschäften, dann doch zumindest, um verschiedene „Dienstleistungen“ und „Produkte“ zu bewerben und ihre Qualität und Einsatzmöglichkeiten zu diskutieren.

Seitdem dieser Markt existiert, hat sich das Angebot an „Produkten“ und „Dienstleistungen“ verändert, das zunehmend auf Finanzattacken auf immer höherem Niveau ausgerichtet ist. Eine der am weitesten verbreiteten Ausformungen von Cyberverbrechen war (und ist bis heute) der Umsatz von gestohlenen Kreditkartendaten. Seit es Online-Shops gibt, in denen elektronische Zahlungsmittel in Anspruch genommen werden, sind auch DDoS-Attacken und Cyberverbrechen allgegenwärtig, deren Ziel entweder der Diebstahl von Bezahldaten der Nutzer ist oder der Geldraub direkt von den Konten der Anwender und Unternehmen.

Die Jagd auf die elektronischen Brieftaschen der Nutzer und Unternehmen wurde im Jahr 2006 von dem Trojaner ibank eingeleitet. Daraufhin erschienen ZeuS (2007) und SpyEye (2009), dann gesellten sich Carberp (2010) und Carbanak (2013) hinzu. Und das ist keinesfalls die vollständige Liste der Trojaner, mit deren Hilfe Cyberkriminelle Geld und Daten der Anwender stehlen.

Je mehr Finanzoperationen online abgewickelt werden, desto attraktiver werden solche Organisationen für Cyberkriminelle, die in diese Operationen involviert sind. In den letzten Jahren greifen Cyberkriminelle immer häufiger nicht nur Bankkunden und Internet-Shops an, sondern auch die Finanzorganisationen direkt: Banken und Bezahlsysteme. Die Geschichte der Carbanak-Gruppe, die sich auf Attacken auf Banken spezialisiert hat und deren Aktivitäten von Kaspersky Lab aufgedeckt wurden, ist eine anschauliche Bestätigung dieser Tendenz.

Kaspersky Lab beobachtet den russischen Hacker-Untergrund, seitdem er existiert. Unsere Experten veröffentlichen regelmäßig Berichte über die Landschaft der finanziellen Cyberbedrohungen, die die Veränderungen in der Menge der Angriffe widerspiegeln, die mit Hilfe von Finanz-Malware innerhalb eines bestimmten Zeitraums durchgeführt wurden.

Angaben zu der Zahl der Angriffe können das Ausmaß des Problems beschreiben, sie sagen jedoch nichts darüber aus, wer es auf welche Weise verursacht. Wir hoffen, dass unser Überblick ein wenig Licht auf diese Seite des Problems der finanziellen Cyberkriminalität werfen kann.

Die in diesem Artikel verwendeten Daten wurden im Laufe Dutzender Ermittlungen zusammengetragen, an denen Kaspersky Lab in den letzten Jahren beteiligt war, und sie sind das Ergebnis einer langjährigen Beobachtung des russischen Cybercrime-Milieus durch die Experten des Unternehmens.

Situationsüberblick

Nach Einschätzungen von Kaspersky Lab wurden in den Jahren von 2012 bis 2015 von den Strafverfolgungsbehörden verschiedener Länder (die USA, Russland, Weißrussland, die Ukraine und Länder der Europäischen Union eingeschlossen) mehr als 160 russischsprachige Cyberkriminelle festgenommen, die Mitglieder in kleinen, mittleren oder großen Verbrecherbanden waren, welche auf den Diebstahl von Geldern rund um den Globus mit Hilfe von Malware spezialisiert sind. Die von ihnen verursachten Gesamtschäden belaufen sich auf über 790 Millionen US-Dollar. (Diese Einschätzung basiert auf einer Analyse öffentlich verfügbarer Informationen über die Verhaftungen von Personen, die verdächtigt werden, zwischen 2012 und 2015 ein Finanz-Cyberverbrechen begangen zu haben, sowie auf eigenen Daten von Kaspersky Lab). Ein Anteil von ungefähr 509 Millionen US-Dollar an der Gesamtsumme wurde von den Gangstern außerhalb der Grenzen der ehemaligen Sowjetunion gestohlen. Diese Zahl beruht selbstverständlich nur auf den bestätigten Verlusten, über die die Strafverfolgungsbehörden im Rahmen ihrer Ermittlungen Kenntnis erhielten. Tatsächlich haben die Cyberkriminellen vermutlich wesentlich höhere Summen gestohlen.

Russischsprachige Finanz-Cyberkriminalität: So funktioniert sie

Schwankungen in der öffentlich bekannt gemachten Zahl der Verhaftungen russischsprachiger Cyberkrimineller, in der Zeit von 2012 bis 2015

Eine weitere Größe, mit der sich das Ausmaß des Problems mit der russischsprachigen Cyberkriminalität besser beurteilen lässt, ist die Zahl der Personen, die aufgrund von Cybercrime-Paragraphen in den letzten Jahren verurteilt wurden. So wurden allein in Russland zwischen 2013 und dem ersten Halbjahr 2015 insgesamt 459 Angeklagte gemäß den Artikeln 272 (unerlaubter Zugriff auf Computerdaten) und 273 (Entwicklung und Verbreitung von Schadsoftware) des Strafgesetzbuches der Russischen Föderation verurteilt. Nur 21 Verbrecher wurden mit einer Freiheitsstrafe belegt. Der Unterschied zwischen der Zahl der Inhaftierten und der Verurteilten könnte daran liegen, dass die Medien nicht unbedingt über jede einzelne Festnahme berichten. Außerdem folgen auf eine spektakuläre Verhaftung eines Bandenchefs nicht selten die Festnahmen anderer Bandenmitglieder, und das hat zur Folge, dass die Zahl der Verurteilten die der ursprünglich bekannt gegebenen Verhaftungen deutlich übersteigt.

Seit dem Jahr 2013 waren die Mitarbeiter des Computer Incidents Investigation Departments (CIID) von Kaspersky Lab an den Ermittlungen von über 330 die Cybersicherheit betreffenden Vorfällen beteiligt. Mehr als 95 Prozent dieser Vorfälle hängen mit dem Diebstahl von Geld und Finanzinformationen zusammen.

Obwohl die Zahl der Festnahmen russischsprachiger Verbrecher in Fällen, die mit Online-Finanzkriminalität in Verbindung stehen, im Jahr 2015 gegenüber dem Vorjahr deutlich gestiegen ist, ist der Cybercrime-Markt noch immer stark „bevölkert“. Nach Einschätzung von Kaspersky Lab waren in den letzten drei Jahren bis zu tausend Menschen in das russischsprachige Cybercrime-Milieu verstrickt. Damit sind all die Personen gemeint, die am Aufbau der Infrastruktur sowie an der Programmierung und Verbreitung von auf Gelddiebstahl spezialisierter Schadsoftware beteiligt waren, die direkt Geld gestohlen oder das gestohlene Geld flüssig gemacht haben. Ein großer Teil der Verbrecher ist bis heute auf freiem Fuß.

Wesentlich genauer lässt sich die Zahl der Personen bestimmen, die dem Kern der aktiven Verbrecherbanden zuzuordnen sind (Organisatoren, so genannte „Zalivshchiki“, die dafür zuständig sind, das Geld von den gehackten Konten abzuschöpfen, und professionelle Hacker), und das sind nicht mehr als 20 Leute. Sie sind ständige Besucher in Untergrund-Foren, und Kaspersky Lab konnte im Verlauf der letzten drei Jahre eine große Menge an Informationen sammeln, die auf eine potenzielle Verstrickung dieser Personen als Schlüsselfiguren in kriminellen Aktivitäten hinweisen, die mit dem Diebstahl von Geld zusammenhängen.

Die genaue Zahl der Gruppen zu nennen, die in Russland und den angrenzenden Staaten aktiv sind, ist schwierig: Viele von den in kriminelle Aktivitäten verwickelten Personen nehmen an mehreren Raubzügen teil und stellen daraufhin aus unterschiedlichen Gründen ihre Tätigkeit ein. Einige Mitglieder aufgedeckter, aber mittlerweile verschwundener Gruppen setzen ihre verbrecherische Aktivität nun in anderen Banden fort.

Das Computer Incidents Investigations Department (CIID) von Kaspersky Lab kann gegenwärtig mit Sicherheit die Aktivität von mindestens fünf großen Cybercrime-Banden bestätigen, die auf Finanz-Kriminalität spezialisiert sind. Das sind die Gruppen, die in den vergangenen Jahren ununterbrochen unter unserer Beobachtung standen.

Alle fünf Banden gerieten in den Jahren 2012 bis 2013 in unser Blickfeld und sie sind bis heute aktiv. Zu ihnen gehören jeweils zehn bis 40 Personen. Mindestens zwei dieser Gruppen greifen aktiv Ziele an, die auch außerhalb der Grenzen Russlands liegen, unter anderem in den USA, in Großbritannien, Australien, Frankreich, Italien und Deutschland.

Da die Ermittlungen noch nicht abgeschlossen sind, ist es bisher nicht möglich, detaillierte Informationen über die Aktivität dieser Gruppen zu veröffentlichen. Kaspersky Lab setzt seine Untersuchung der Tätigkeit dieser Gruppen fort und arbeitet eng mit den Strafverfolgungsbehörden Russlands und anderer Länder zusammen, um der Aktivität von Cyberkriminellen einen Riegel vorzuschieben.

Die Ermittlungen bezüglich der Aktivität dieser Gruppen haben unseren Experten eine Vorstellung von den Methoden der Cybergangster und der Struktur des cyberkriminellen Marktes vermittelt.

Struktur des russischsprachigen cyberkriminellen Marktes

„Sortiment“

Unter dem cyberkriminellen Markt wird üblicherweise die Gesamtheit der „Dienstleistungen“ und „Produkte“ verstanden, die für die Durchführung verschiedener gesetzeswidriger Aktivitäten im Cyberspace benötigt und eingesetzt werden. Diese „Produkte“ und „Dienstleistungen“ werden von Anwendern oder Anwendergruppen spezialisierter – zumeist geschlossener – Netzcommunitys zum Kauf angeboten.

Unter „Produkten“ ist zu verstehen:

  • Software, die es ermöglicht, unerlaubten Zugriff auf einen Computer oder ein mobiles Gerät zu erhalten und Daten von dem infizierten Gerät und/oder Geld von dem Konto des Opfers zu stehlen (Trojaner)
  • Software, mit deren Hilfe Sicherheitslücken in der auf dem Computer des Opfers installierten Software ausgenutzt werden können (Exploits)
  • Datenbanken mit gestohlenen Kreditkarteninformationen oder anderen wertvollen Informationen
  • Internet-Traffic (eine bestimmte Menge von Besuchen einer Webseite, die vom Auftraggeber ausgewählt wurde, durch Anwender, die bestimmte von den Cyberkriminellen festgelegte Kriterien erfüllen).

Zu den „Dienstleistungen“ gehören:

  • Spam-Versand
  • Organisation von DDoS-Attacken (Überlastung von Webseiten mit Anfragen, mit dem Ziel, sie für legitime Nutzer nicht erreichbar zu machen)
  • Überprüfung, ob Schadsoftware von Antiviren-Programmen (AV) erkannt wird
  • „Umverschlüsselung“ beziehungsweise Modifikation von Malware (Veränderung der Schadsoftware, so dass sie nicht von Antiviren-Lösungen erkannt wird)
  • Vermietung von Exploit-Packs
  • Vermietung von isolierten Servern
  • VPN (Bereitstellung von anonymem Zugriff auf Webressourcen, Schutz des Datenaustauschs)
  • Vermietung von Bulletproof-Hosting (Hosting, das nicht auf Beschwerden über schädlichen Content reagiert und daher auch die Server nicht deaktiviert)
  • Vermietung von Botnets
  • Überprüfung des Verkaufswertes gestohlener Kreditkartendaten
  • Dienstleistungen zur Verifizierung von Daten (betrügerische Anrufe, gefälschte Dokumentenscans)
  • Hochpushen von schädlichen Webseiten und Werberessourcen in den Ergebnislisten von Suchmaschinen
  • Vermittlung bei Geschäften zum Erwerb von „Produkten“ und „Dienstleistungen“
  • Abschöpfen und Flüssigmachen von Mitteln

Die Bezahlung der „Produkte“ und „Dienstleistungen“ auf dem Cybercrime-Markt wird in der Regel mit Hilfe eines elektronischen Bezahlsystems abgewickelt, wie zum Beispiel WebMoney, Perfect Money, Bitсoin und anderen.

In unterschiedlichen Kombinationen werden alle diese „Produkte“ und „Dienstleistungen“ ge- und verkauft. Die damit begangenen Cyberverbrechen lassen sich in fünf Grundarten aufschlüsseln, die ebenfalls auf unterschiedliche Weise miteinander kombiniert werden können, ganz in Abhängigkeit von der konkreten Gruppe:

  • DDoS-Attacken (von Auftraggebern bestellt oder zu Erpressungszwecken initiiert)
  • Diebstahl von persönlichen Daten und Daten für den Zugriff auf elektronisches Geld (um diese weiterzukaufen oder um mit ihrer Hilfe Geld zu stehlen)
  • Gelddiebstahl von Bankkonten oder Konten anderer Organisationen
  • Private Spionage oder Unternehmensspionage
  • Blockieren des Zugriffs auf die Daten auf einem infizierten Computer zu Erpressungszwecken

Nach den Beobachtungen von Kaspersky Lab haben die Verbrechen, die mit dem Raub von Geld in Zusammenhang stehen, in den letzten Jahren zugenommen. Daher beziehen sich alle folgenden Informationen in erster Linie auf dieses Segment des russischsprachigen Cybercrime-Marktes.

Stellenangebote auf dem „Markt“ für finanzielle Cyberverbrechen

Die Vielfalt der Fertigkeiten, die für die Herstellung der „Produkte“ und Bereitstellung der „Dienstleistungen“ benötigt werden, hat einen eigenen Stellenmarkt hervorgebracht, auf dem Spezialisten gesucht werden, ohne die Cyberkriminelle die Online-Finanzverbrechen nicht umsetzen können.

Die Berufe, die hier gesucht werden, findet man zum größten Teil auch in jeder beliebigen Firma aus dem IT-Bereich:

  • Programmierer / Codierer / Virenautoren (Entwicklung von Schadsoftware und Modifikation existierender Malware)
  • Webdesigner (Erstellung von Phishing-Seiten, E-Mails und so weiter)
  • Systemadministratoren (Aufbau einer IT-Infrastruktur und deren Support)
  • Tester (Testen der Malware)
  • „Kryptoren“ (Modifikation des Schadcodes mit dem Ziel, die Erkennung durch Antiviren-Programme zu verhindern).

In der Liste nicht enthalten sind die Köpfe der Verbrecherbanden, die „Zalivshchiki“, die für das Abschöpfen des Geldes von den gehackten Konten zuständig sind, und die Leiter der Kurierdienste, die den Prozess koordinieren, in dem das gestohlene Geld flüssig gemacht wird. Denn das Verhältnis, das sich zwischen diesen Elementen der Verbrechergruppen etabliert hat, ist eher partnerschaftlicher Natur, und keine Beziehung zwischen Arbeitgeber und Arbeitnehmer.

In Abhängigkeit vom Typ und der Größe des verbrecherischen Betriebs stellen die Köpfe der Banden die Mitarbeiter entweder „fest“ an und zahlen ihnen ein fixes Gehalt, oder sie arbeiten mit Freiberuflern zusammen, die für die Arbeit an einem konkreten Projekt bezahlt werden.

Russischsprachige Finanz-Cyberkriminalität: So funktioniert sie

Text einer Stellenanzeige in einem halboffenem Forum, mit der eine Cybercrime-Bande einen Programmierer sucht. Unter den Anforderungen an den Bewerber findet sich auch das Kriterium „Erfahrung mit der Programmierung komplexer Bots“.

Das Anwerben von „Mitarbeitern“ in einer Verbrechergruppe erfolgt entweder auf Webseiten, auf denen sich traditionell Anwender versammeln, die in kriminelle Aktivitäten verwickelt sind, oder auf Ressourcen für Leute, die an unkonventionellen Verdienstmöglichkeiten im Internet interessiert sind. In anderen Fällen werden die Anzeigen auf gewöhnlichen Jobsuche-Webseiten veröffentlicht oder bei Jobbörsen für entfernte Mitarbeiter.

Insgesamt lassen sich alle auf dem Cybercrime-Markt angeworbenen Arbeitskräfte in zwei Typen unterteilen: Einerseits in diejenigen, die sich der Illegalität des Projekts bewusst sind, an dem ihnen eine Mitarbeit angeboten wird, und andererseits in diejenigen, denen das – zumindest im Anfangsstadium – nicht bewusst ist. Im letzten Fall geht es in der Regel um Leute, die für vergleichsweise einfache Arbeiten benötigt werden, beispielsweise die Nachbildung der Benutzeroberfläche von Online-Banking-Systemen oder von Webseiten.

Wenn sie „gefälschte“ Stellenangebote veröffentlichen, setzen die Cyberkriminellen häufig darauf, dass sich Leute aus der russischen Provinz oder aus an Russland grenzenden Ländern melden (meist aus der Ukraine), wo es häufig schwierig für einen IT-Spezialisten ist, einen Job mit angemessener Bezahlung zu finden.

Russischsprachige Finanz-Cyberkriminalität: So funktioniert sie

Ein Krimineller hat eine Stellenanzeige auf einer in der Ukraine populären Ressource für arbeitssuchende IT-Experten platziert, in der ein Spezialist für Java/Flash gesucht wird. Zu den Anforderungen gehören ein hohes Niveau im Programmieren von Java, Flash sowie unter anderem Kenntnisse über die Spezifikationen der JVM/AVM. Gegen ein Gehalt von 2.500 US-Dollar bietet der Organisator einen Remote-Arbeitsplatz in Vollzeit an.

Der Grund für die Suche nach „Mitarbeitern“ in entlegenen Gebieten ist banal und rein wirtschaftlicher Natur, denn einem Mitarbeiter aus der Provinz muss man weniger zahlen als Angestellten aus Großstädten. Dabei bevorzugen Cyberkriminelle häufig Bewerber, die zunächst noch keine kriminelle Vorgeschichte haben.

Oft werden solche Stellenanzeigen als legitime Arbeitsangebote dargestellt. Erst nachdem die neuen Mitarbeiter ihre Aufgaben erhalten haben, wird die wahre Natur dieser Arbeit offenbart.

Russischsprachige Finanz-Cyberkriminalität: So funktioniert sie

In diesem Beispiel sucht der Organisator einer Verbrecherbande einen Javascript-Programmierer. Die Tätigkeit ist als Arbeit in einem „Studio der Web-Innovationen“ getarnt, „das sich auf die Entwicklung komplexer, hoch ausgelasteter Internet-Anwendungen spezialisiert hat“.

Im Fall von legitimen Job-Suchmaschinen ist die Rede von einem weniger erfahrenen Publikum.

Russischsprachige Finanz-Cyberkriminalität: So funktioniert sie

In diesem Fall wird ein Programmierer gesucht, der kundenspezifische Software in С++ entwickelt. Mit „kundenspezifisch“ ist schädliche Software gemeint.

Der zweite Grund für die Suche nach entfernten „Mitarbeitern“ ist das Bestreben der Organisatoren, die Aktivität der Gruppe weitestgehend zu anonymisieren und Bedingungen zu schaffen, in denen der Auftragnehmer keine vollständigen Informationen über die Person des Auftraggebers hat.

Verschiedene Organisationsformen

Die kriminellen Gruppen, die sich auf den Diebstahl von Geld oder von Finanzinformationen spezialisiert haben, die den Diebstahl von Geld ermöglichen, unterscheiden sich in der Zahl der Bandenmitglieder und dem Ausmaß ihrer Tätigkeit. Es lassen sich drei grundlegende Formen von Verbrecherbanden in diesem Bereich unterscheiden:

  • Partnerprogramme
  • Einzeltäter, kleine und mittlere Gruppierungen (bis zu zehn Mitglieder)
  • Große organisierte Banden (zehn und mehr Mitglieder)

Diese Aufteilung ist allerdings nur unter bestimmten Bedingungen gültig. In welchem Umfang die Gruppe aktiv ist, hängt von der Erfahrung der Mitglieder ab, ihren Ambitionen und ihren organisatorischen Fähigkeiten. In einigen Fällen beobachteten unsere Experten verhältnismäßig kleine Gruppen von Online-Gangstern, die Aktionen durchführten, die normalerweise eine größere Zahl von Beteiligten erforderlich machen.

Partnerprogramme

Partnerprogramme sind die einfachste und am wenigsten aufwändige Art der Verstrickung in cyberkriminelle Aktivitäten. Das Wesen von Partnerprogrammen liegt darin, dass ihre Organisatoren ihren „Partnern“ praktisch das gesamte Instrumentarium zur Verfügung stellen, das für die Durchführung eines Verbrechens notwendig ist. Die Aufgabe der „Partner“ besteht darin, so viele Malware-Installationen wie möglich auf den Geräten der Anwender zu generieren. Im Gegenzug teilt/teilen der/die Betreiber des Partnerprogramms die infolge der Infektionen erhaltenen Einnahmen mit den Partnern. In Abhängigkeit vom Typ des Betrugsschemas kann es sich dabei handeln um:

  • Geldbeträge, die von den Konten von Online-Banking-Nutzern gestohlen wurden
  • Geld, das Anwender als Lösegeld gezahlt haben, wenn die Verbrecher vorher Verschlüsselungs-Malware auf ihren Geräten installiert hatten
  • Geld von den Prepaid-Konten der Nutzer mobiler Geräte, das die Verbrecher infolge des verborgenen SMS-Versands an Premiumnummern mit Hilfe eines Schadprogramms erhalten haben

Der Aufbau und die Unterhaltung eines Partnerprogramms, dessen Sinn und Zweck der Diebstahl von Geld ist, ist von der Sache her auch ein Cyberverbrechen, das in der Regel von einer Gruppe von Kriminellen durchgeführt wird. Solche Projekte werden aber häufiger von großen organisierten Banden umgesetzt, von denen später noch genauer die Rede sein wird.

Russischsprachige Finanz-Cyberkriminalität: So funktioniert sie

Eine Anzeige über den Beginn des Betatests eines Partnerprogramms zur Verbreitung von erpresserischer Verschlüsselungssoftware. Den Informationen nach zu urteilen ist die Gruppe auf Unternehmen ausgerichtet, die in den USA und Großbritannien angesiedelt sind. Das lässt sich auch aus dem Hinweis schlussfolgern, dass die mit Hilfe des Partnernetzwerks verbreitete Malware in der Lage ist, 80 unterschiedliche Dateierweiterungen zu verschlüsseln. Viele davon kommen bei Anwendungen zum Einsatz, die in Unternehmen verwendet werden. In den Anforderungen an den Bewerber wird außerdem verlangt, dass eine ausreichend hohe Internet-Bandbreite vorhanden ist oder der Download aus den USA und Großbritannien demonstriert wird.

Den Beobachtungen von Kaspersky Lab zufolge nimmt die Popularität von Partnerprogrammen im russischsprachigen Cybercrime-Milieu in letzter Zeit ab. Lange Zeit waren sie gerade aufgrund der Betrugsschemata beliebt, die die Infektion mobiler Geräte mit Schadsoftware beinhalteten, die daraufhin SMS an Premiumnummern verschickte. Im Frühjahr 2014 führten russische Behörden allerdings neue Anforderungen an die Organisationen solcher Dienstleistungen ein, die unter anderem die Notwendigkeit einer weiteren Bestätigung des Abonnements für den einen oder anderen kostenpflichtigen mobilen Service vorsehen. Diese Veränderung ist einer der Schlüsselfaktoren, der die Aktivität mobiler schädlicher Partnerprogramme fast auf null reduziert hat. Allerdings wird diese Form der gemeinsamen Aktivität Cyberkrimineller nach wie vor von Gruppen praktiziert, die sich auf die Verbreitung von Dateien verschlüsselnder Erpressersoftware spezialisiert haben.

Kleine Gruppen

Von der Teilnahme an einem Partnerprogramm unterscheidet sich diese Form der Beteiligung an Cyberverbrechen dadurch, dass der Kriminelle oder die Kriminellen in der Regel das Betrugsschema selbst organisieren. Die meisten für die Attacken benötigten Komponenten (wie Schadprogramme und deren Modifikationen, Traffic und Server) werden auf dem Schwarzmarkt besorgt. Die Mitglieder solcher Gruppen sind meist keine Experten auf dem Gebiet der Computer- und Netzwerktechnologien, sondern sie erlangen ihr Wissen über die notwendigen Komponenten und Methoden der Organisation von Finanzattacken aus offenen Quellen. In der Regel sind das Foren. Die Möglichkeiten solcher Gruppen sind meist durch eine Reihe von Faktoren eingeschränkt. So führt die Verwendung von verbreiteter Schadsoftware häufig dazu, dass diese schnell von Schutztechnologien detektiert wird, was wiederum die Verbrecher dazu zwingt, mehr Mittel in die Verbreitung von Schädlingen und ihre „Umverschlüsselung“ zu investieren, um so die Erkennung durch Schutzlösungen zu verhindern. Dementsprechend verringert sich natürlich auch die Endsumme, die die Gangster sich letztlich in die Tasche stecken können.

Die Fehler, die diesen Cyberkriminellen nicht selten unterlaufen, führen zu ihrer Identifizierung und Festnahme. Doch der verhältnismäßig geringe Preis, den sie für den Einstieg in das Cybercrime-Milieu auf dieser „Amateurebene“ zu zahlen haben, (ab 200 US-Dollar) und die Möglichkeit, wesentlich mehr zu verdienen, ziehen immer neue Einzeltäter an.

Eine ähnlich „amateurhafte“ Verbrechergruppe wurde im Jahr 2012 von einem russischen Gericht wegen des Diebstahls von mehr als 13 Millionen Rubel (etwa 422.000 US-Dollar zum damaligen Kurs) von den Onlinebanking-Nutzern einer russischen Bank verurteilt. Nach umfassenden Ermittlungen konnten die Experten von Kaspersky Lab den Strafverfolgungsbehörden die Informationen übermitteln, die sie benötigten, um diejenigen zu identifizieren, die hinter dem Diebstahl steckten.

Das Gericht verurteilte beide Mitglieder dieser Bande zu 4,5 Jahren Gefängnis auf Bewährung. Allerdings blieben die Verbrecher trotz Gerichtsurteil auf der schiefen Bahn. Sie fuhren mit ihren Verbrechen fort, wobei sie in den darauffolgenden zweieinhalb Jahren mehrfach Diebstähle in ähnlicher Größenordnung begingen. Im Mai 2015 wurden sie erneut verhaftet.

Große organisierte Verbrecherbanden

Große kriminelle Gruppen unterscheiden sich von den vorher genannten Gruppen durch sehr viel innovativere Ansätze, was Verbrechen und Funktionsprinzipien betrifft. In solchen Gruppen können mehrere Dutzend Leute aktiv sein (die Kurierdienste, die zum „verflüssigen“ und waschen des Geldes eingesetzt werden, nicht mitgerechnet), und die Ziele ihrer Attacken beschränken sich nicht auf Internet-Banking-Kunden. Neben privaten Nutzern greifen diese Gruppen vorzugsweise kleine und mittelständische Unternehmen an, aber die größten und technisch anspruchsvollsten unter ihnen wie zum Beispiel Carbanak überfallen auch Banken und Bezahlsysteme.

Die Art, wie große Gruppen agieren, unterscheidet sich deutlich von der Vorgehensweise kleinerer Gruppen. Bis zu einem gewissen Grad lässt sich das Organisationsprinzip mancher dieser Banden dieser Größenordnung mit dem eines legalen Softwareentwicklungsunternehmens mittlerer Größe vergleichen.

Insbesondere gibt es in großen Gruppen eine gewisse Ähnlichkeit in der Zusammensetzung der „Belegschaft“ – Gruppen von Komplizen, die gegen ein regelmäßiges festes Honorar die Aufgaben eines Organisators übernehmen. Dabei wird selbst in einer großen, professionellen Verbrechergruppe ein Teil der Aufgaben „outgesourct“. Die „Umverschlüsselung“ (Modifikation) kann sowohl von „festen“ als auch von freien Mitarbeitern vorgenommen werden oder mit Hilfe von Services, bei denen dieser Prozess mittels spezialisierter Software automatisiert abläuft. Dasselbe gilt für viele andere Komponenten der IT-Infrastruktur, die für die Durchführung der Verbrechen unerlässlich sind.

Ein Beispiel für eine große organisierte Verbrecherbande ist die bekannte Gruppe Carberp, deren Mitglieder in den Jahren 2012 und 2013 in dieser Reihenfolge in Russland und der Ukraine verhaftet wurden, sowie die Gruppierung Carbanak, die Anfang 2015 von Kaspersky Lab enttarnt wurde.

Bereits die Verluste aufgrund der Aktivität von Partnerprogrammen und kleinen Gruppen werden in einer Größenordnung von zehn- bis hunderttausend US-Dollar veranschlagt. Die Aktionen großer Verbrecherbanden sind jedoch am gefährlichsten und haben die verheerendsten Folgen. Die von der Gruppe Carberp verursachten Verluste werden auf einige hundert Millionen US-Dollar geschätzt, und nach Einschätzungen von Kaspersky Lab könnte die Carbanak-Gruppe sogar bis zu einer Milliarde US-Dollar gestohlen haben. In diesem Zusammenhang ist es von äußerster Wichtigkeit, die Funktionsmechanismen und die Taktik gerade solcher großer Gruppen genau zu studieren, um ihre Aktivität so effizient wie möglich ermitteln zu können und sie letztlich auch zu unterbinden.

Rollenverteilung in großen Banden

Unter Cyberkriminalität im großen Stil versteht man Verbrechen, in Folge derer die angegriffenen Organisationen um Millionen von US-Dollar erleichtert werden. Das ist das Ergebnis der Aktivität eines großen Kreises von kriminellen „Spezialisten“ in den Bereichen IT-Sicherheit und Finanzen. In der Regel gehen solchen Verbrechen monatelange Phasen der Vorbereitung voraus, zu der – neben dem Aufbau einer komplexen Infrastruktur und der Auswahl und Entwicklung der Schadsoftware – auch das genaue Studium der anzugreifenden Organisation gehört, um sich mit ihren internen Operationen vertraut zu machen und Schwachpunkte in der Sicherheit zu identifizieren. Jedes Mitglied der Verbrecherbande hat einen bestimmten Verantwortungsbereich.

financial_cybercrime_group_DE

Die unten beschriebene Rollenverteilung ist charakteristisch für eine kriminelle Gruppe, die auf den Diebstahl von finanziellen Mitteln spezialisiert sind. Die Rollenverteilung in Gruppen, die andere Arten von Verbrechen begehen, kann anders aussehen.

Virenautor/Programmierer

Der Virenautor, oder auch Programmierer, ist für die Entwicklung der Malware verantwortlich: Programme, die es den Angreifern ermöglichen, sich in den IT-Netzwerken der angegriffenen Organisation festzusetzen und zusätzliche Schadprogramme zu laden, mit Hilfe derer die Kriminellen an die nötigen Informationen gelangen, um dann schließlich Geld stehlen zu können.

Die Bedeutung dieses Bandenmitglieds und die Art seiner Beziehung zu den Organisatoren der Verbrecherbande kann von Gruppe zu Gruppe unterschiedlich sein. Wenn beispielsweise eine Gruppe bereits fertige Schadsoftware verwendet, die sie aus offenen Quellen bezogen oder von anderen Virenschreibern gekauft hat, so kann die Funktion des Virenautors auf die Konfiguration und Modifikation der Malware für die Arbeit in einer für ein konkretes Cyberverbrechen neu aufgebauten Infrastruktur beschränkt sein, sowie auf die Anpassung der Malware an einen Angriff auf konkrete Einrichtungen. Die fortschrittlichsten Gruppen sind allerdings bestrebt, ausschließlich eigene „Entwicklungen“ zu verwenden, da das Schadprogramm für die meisten Schutzlösungen weniger auffällig ist und sie auf diese Weise breiter gefächerte Möglichkeiten zur Modifikation der Malware haben. In diesem Fall ist die Rolle des Virenschreibers sehr viel bedeutsamer, da er für die Architektur und die Auswahl der Funktionen des Schädlings verantwortlich ist.

Ein Virenautor kann zudem auch die Verantwortung für die Umprogrammierung/Modifikation des Schadprogramms auf sich nehmen. Das kommt insbesondere dann vor, wenn der Organisator so viele Aufgaben wie möglich innerhalb der Gruppe belassen will, und für die Modifizierung der Schädlinge die Original-Software benutzt wird. In den meisten Fällen wird diese Prozedur aber an „Subunternehmer“ ausgelagert, an Verschlüsselungsdienste.

Tester

Die Funktion eines Testers innerhalb einer Verbrecherbande unterscheidet sich nur wenig von der Funktion eines Testers in einem legalen IT-Unternehmen. Wie auch in der legalen Welt erhalten cyberkriminelle Tester von ihren Managern technische Aufgaben, an denen sie die Schadprogramme in verschiedenen Umgebungen testen sollen (verschiedene Betriebssystem-Versionen, unterschiedliche Zusammensetzung der installierten Anwendungen und so weiter) und führen diese aus. Wenn gefälschte Benutzeroberflächen von Online-Banking- oder Bezahl-Systemen Teil des Betrugsschemas sind, gehört es auch zu den Aufgaben der Tester, die korrekte Funktion dieser Fälschungen zu überprüfen.

Layouter und Webdesigner

In der Regel sind Layouter und Webdesigner entfernte Mitarbeiter, deren Aufgabe in der Erstellung von gefälschten Webseiten, von gefälschten Programmoberflächen und Webeinschleusungen besteht. Sie werden für den Diebstahl von Daten benutzt, die den Zugriff auf Bezahlsysteme und Online-Banking-Dienste ermöglichen.

Verbreiter

Die Verbreiter sollen dafür sorgen, dass die Schadsoftware auf eine größtmögliche Zahl von Geräten geladen wird. Das wird durch den Einsatz verschiedener Tools erreicht. In der Regel bestimmt der Organisator die Anwender, deren Geräte infiziert werden sollen, und kauft Traffic des benötigten Typs bei Diensten ein, die entsprechende Nutzer auf bestimmte Webseiten locken („Trafogony“).

Russischsprachige Finanz-Cyberkriminalität: So funktioniert sie

Anzeige über den Aufkauf von Traffic. Die Cyberkriminellen sind bereit, für die erfolgreiche Installation von Schadsoftware zu zahlen. Konkret sind das 140 US-Dollar für 1.000 Callbacks (Rückmeldung der Schadsoftware, die nach erfolgreicher Installation an den Steuerungsserver geschickt wird).

Der Organisator kann bei einem entsprechenden Service eine schädliche Spam-Versendung bestellen, die entweder eine infizierte Datei enthält, oder einen Link, der das Opfer auf eine schädliche Webseite führt. Es gibt auch die Möglichkeit, dass die Organisatoren die Webseite auswählen, die für ihre Zielgruppe geeignet ist, und dann deren Hack und die Unterbringung eines Exploit-Packs auf der Webseite in Auftrag geben. Selbstverständlich können diese Tools und Möglichkeiten alle miteinander kombiniert werden.

Hacker

Häufig stellt sich im Laufe eines Angriffs auf irgendeine Organisation heraus, dass der Organisator der Attacke nicht mit dem ihm zur Verfügung stehenden Exploit-Pack und anderer Schadsoftware auskommt, um alle für die Attacke benötigten Computer zu infizieren und sich in den Systemen festzusetzen. Manchmal muss zu diesem Zweck ein konkreter Computer oder eine Webseite gehackt werden. In diesen Fällen heuern die Organisatoren Hacker an – in der Regel qualifizierte IT-Spezialisten, die in der Lage sind, auch außergewöhnliche Aufgaben zu erfüllen. In den meisten Fällen, in denen die Experten von Kaspersky Lab ermittelt haben, werden Hacker unregelmäßig hinzugezogen, und ihre Tätigkeit ist von Fall zu Fall unterschiedlich. Wenn aber regelmäßig Hacker-Dienste benötigt werden (beispielsweise bei zielgerichteten Attacken auf Finanzorganisationen), wird der Hacker zum festen Mitglied der Gruppe – und häufig neben den Organisatoren und den „Zalivshchiki“ zu einem ihrer Schlüsselelemente.

Systemadministratoren

Die Hauptaufgabe von Systemadministratoren in Cybercrime-Banden unterscheidet sich ebenfalls kaum von der Aufgabe eines gewöhnlichen Systemadministrators. Im Großen und Ganzen besteht sie in der Bereitstellung der notwendigen IT-Infrastruktur und der Aufrechterhaltung ihrer Funktionsfähigkeit. Cyberkriminelle Systemadministratoren sind für die Konfiguration der Steuerungsserver zuständig, sie kaufen Server auf Bullet-Proof-Hostings, sorgen dafür, dass VPN-Tools zur anonymen Verbindung mit den Servern bereitstehen und lösen anfallende technische Aufgaben, der Austausch mit den entfernten Systemadministratoren, die für die weniger aufwändigen Aufgaben zuständig sind, eingeschlossen.

Call Services

Für den Erfolg des ganzen cyberkriminellen Unternehmens ist Social Engineering von entscheidender Bedeutung, besonders wenn es um Angriffe auf Organisationen geht, infolge derer große Summen gestohlen werden. Denn selbst wenn es den Online-Verbrechern gelungen ist, die Kontrolle über den Computer zu erlangen, von dem die Transaktion ausgeführt werden kann, kann diese nur erfolgreich abgeschlossen werden, wenn ihre Legitimität bestätigt wird. Genau diese Aufgabe übernimmt der „Call Service“. Im richtigen Moment schlüpft einer seiner „Mitarbeiter“ entweder in die Rolle eines Mitarbeiters der angegriffenen Organisation oder in die eines Mitarbeiters der Bank, mit der die Organisation zusammenarbeitet, und bestätigt die Legitimität des Zahlungsvorgangs.

„Call-Services“ können an einem konkreten Cyberverbrechen entweder als „feste“ Unterabteilung des kriminellen Betriebs beteiligt sein, oder als Drittorganisation, die diese konkrete Aufgabe einmalig gegen ein Honorar erledigt. Foren, die als Treffpunkt und Diskussionsort für in Cyberverbrechen involvierte Personen dienen, sind voll von Werbung für solche Dienstleistungen.

Russischsprachige Finanz-Cyberkriminalität: So funktioniert sie

Anzeige, in der Call Services in englischer, deutscher, holländischer und französischer Sprache angeboten werden. Die Gruppe ist auf Anrufe bei Internet-Shops und Banken spezialisiert sowie auf Anrufe bei den „unwissenden Kurieren“. Die Gruppe bietet zudem die schnelle Einrichtung lokaler kostenloser Nummern, die in Betrugsschemata für die Initiierung von Support-Diensten, den SMS-Empfang sowie den Empfang und den Versand von Faxen benutzt werden. Für einen Anruf verlangen die Verbrecher zwischen 10 und 12 US-Dollar. Für den SMS-Empfang 10 US-Dollar und für die Einrichtung kostenloser Supportnummern 15 US-Dollar aufwärts.

Den Beobachtungen von Kaspersky Lab zufolge nehmen große Cybercrime-Banden selten die Dienste solcher externen Call-Services in Anspruch, sondern stellen eher eigene bereit.

„Zalivshchiki“

Das Wort „Zalivshchiki“ ist russischer Cyberverbrecher-Slang (zu Deutsch etwa „Ausgießer“, „Vergussmeister“) und bezeichnet Mitglieder einer kriminellen Gruppe, die ins Spiel kommen, wenn alle technischen Aufgaben bezüglich der Organisation des Angriffs erledigt sind (Auswahl und Infektion des Ziels, Einnistung in dessen Infrastruktur) und alles für den Raub vorbereitet ist. „Zalivshchiki“ sind Leute, die das Geld von den gehackten Konten abziehen. Ihr Beitrag beschränkt sich allerdings nicht auf das Drücken eines Knopfes, sie sind für das Gelingen des gesamten Unternehmens vielmehr von entscheidender Bedeutung.

„Zalivshchiki“ kennen die interne Struktur der anzugreifenden Organisation normalerweise bis ins Detail (das kann so weit gehen, dass sie wissen, wann der Mitarbeiter zu Tisch geht, der an dem Rechner arbeitet, von dem aus die betrügerische Transaktion abgewickelt werden wird). Sie haben eine genaue Vorstellung davon, wie die automatisierten Systeme zur Betrugsabwehr funktionieren und was man tun muss, um diese Systeme zu umgehen. Mit anderen Worten erfüllen die „Zalivshchiki“ neben der offensichtlich kriminellen Rolle eines Diebes auch solche auf gewisse Weise hochspezialisierten Aufgaben, die nur schwer oder unmöglich zu automatisieren sind. Möglicherweise haben die „Zalivshchiki“ genau aus diesem Grunde einen Sonderstatus inne, denn sie gehören zu den wenigen Beteiligten an solchen kriminellen Projekten, die nicht nach einem festen Satz bezahlt werden, sondern einen gewissen Prozentsatz der gestohlenen Summe erhalten.

Häufig übernehmen die „Zalivshchiki“ auch die Funktion des Botmasters – also die Aufgaben des Mitglieds der Verbrecherbande, das die Informationen analysiert und klassifiziert, die von den infizierten Computern empfangen wurden (gibt es Austrittsstellen in den Online-Banking-Systemen, ist Geld auf den Konten, auf die Zugriff besteht, die Organisation, in der sich der infizierte Computer befindet und so weiter).

Außer den „Zalivshchiki“ arbeiten nur die Leiter der Kurierdienste unter solchen Bedingungen.

Leiter des Kurierdienstes

Der Leiter des Kurierdienstes ist ein Vertreter einer gesonderten Verbrecherbande, die eng mit den Gruppen zusammenarbeitet, die Geld stehlen. Die Funktion eines Kurierdienstes besteht darin, das gestohlene Geld in Empfang zu nehmen, es flüssig zu machen und der Verbrechergruppe den ihr zustehenden Anteil zurück zu überweisen. Zu diesem Zweck baut der Kurierdienst eine eigene Infrastruktur auf, die aus juristischen und natürlichen Personen mit entsprechenden Bankkonten besteht, auf die das gestohlene Geld überwiesen wird und von denen es daraufhin in die Taschen der Cyberverbrecher wandert. Der Manager eines Kurierdienstes interagiert mit dem Organisator der kriminellen Bande und stellt ihm die Nummern der Konten bereit, auf die der „Zalivshchik“ das Geld leitet. Die Kurierdienste arbeiten wie auch die „Zalivshchiki“ auf Provisionsbasis, wobei sie – wie die Spezialisten von Kaspersky Lab im Laufe ihrer Ermittlungen feststellten – unter Umständen bis zur Hälfte der gesamten gestohlenen Summe erhalten.

Kurierdienste

Kurierdienste sind ein unverzichtbares Element eines jeden Cyberverbrechens, das mit Finanzen in Zusammenhang steht. Solche Gruppen bestehen aus einem oder mehreren Organisatoren und bis zu mehreren Dutzend Kurieren.

Kuriere sind die Halter der Bezahlmittel, die auf Befehl von oben das auf dem Konto aufgetauchte Geld flüssig machen, oder es auf ein anderes, vom Manager des Kurierdienstes angegebenes Konto überweisen.

Es gibt zwei Arten von Kurieren: wissentliche und unwissentliche. Unwissentliche Kuriere sind Leute, denen zumindest zu Beginn ihrer Mitarbeit nicht bewusst ist, dass sie an einer kriminellen Unternehmung beteiligt sind. In der Regel werden der Empfang und die Überweisung des Geldes einem unwissentlichen Kurier unter irgendeinem moralisch einwandfreien Vorwand übertragen. Beispielsweise kann der Leiter des Kurierdienstes eine juristische Person schaffen und für eine leitende Funktion (beispielsweise CEO oder Finanzchef) eine Person anheuern, die die Funktion eines unwissentlichen Kuriers übernimmt: das Unterschreiben von Unternehmensdokumenten, die tatsächlich als legale Tarnung für das Abziehen des gestohlenen Geldes dienen.

Wissentliche Kuriere sind bestens darüber informiert, zu welchem Zweck sie die vom Leiter des Kurierdienstes gestellten Aufgaben erfüllen.

Die Kurierdienste können auf eine Vielzahl von Methoden zurückgreifen, wenn es darum geht, das Geld abzuziehen. In Abhängigkeit von der Summe des gestohlenen Geldes bedienen sie sich privater Kreditkartenbesitzer, die gegen eine geringe Bezahlung bereit sind, die Eingänge auf dem Konto flüssig zu machen und sie einem Vertreter des Kurierdienstes zu überweisen. Es können aber auch eigens gegründete juristische Personen sein, deren Vertreter „Gehaltsprojekte“ (eine Vielzahl von Kreditkarten für die Firmenmitarbeiter für die Überweisung der Gehälter) in der Bank ausfertigen, die diese juristische Person betreut.

Eine weitere Standardmethode zum Aufbau von Kurierdiensten ist das massenhafte Eröffnen von Konten durch wissentliche Kuriere in verschiedenen Banken.

Russischsprachige Finanz-Cyberkriminalität: So funktioniert sie

Anzeige über den Verkauf von Kreditkarten-Sätzen (Karte, Ausstellungsdokumente, SIM-Karte, die mit dem zur Karte gehörigen Konto verbunden ist), die benutzt werden können, um gestohlene Gelder flüssig zu machen. Der Verkäufer bietet Karten an, die von Banken in Russland und angrenzenden Staaten ausgegeben wurden, sowie von europäischen, asiatischen und amerikanischen Banken. Ein Satz des Typs Momentum kostet 3.000 Rubel (etwas mehr als 40 Euro), der Satz mit Platinum-Karte kostet 8.000 Rubel (etwa 115 Euro).

Wenn der Diebstahl außerhalb Russlands stattfindet, übernimmt ein Bürger oder eine Gruppe von Bürgern aus einem osteuropäischen Land die Rolle des wissentlichen Kuriers, der innerhalb kurzer Zeit mehrere europäische Länder besucht, um dort jeweils Konten auf seinen Namen zu eröffnen. Daraufhin übermittelt er dem Leiter des Kurierdienstes die Zugangsdaten zu allen Konten. In der Folge werden diese Konten benutzt, um das Geld zu „verflüssigen“.

Russischsprachige Finanz-Cyberkriminalität: So funktioniert sie

Beispiel einer Anzeige über den Verkauf fertiger Firmen in der Russischen Föderation sowie auch in anderen Regionen. Die Verbrecher bieten ihre Dienste zum Preis von 560 bis 750 US-Dollar an.

Stuffer

Der Slang-Ausdruck „Stuffer“ kommt von dem englischen Wort „stuff“ (Jargon für „Ware“). Eine Variante, das gestohlene Geld abzuschöpfen, besteht im Kauf von Waren in Online-Shops mit Hilfe von gestohlenen Bezahlmitteln, im darauffolgenden Weiterverkauf und der Auszahlung des ihnen zustehenden Anteils an die Diebe. Mit dieser Aufgabe sind die Stuffer betraut, Mitglieder einer Cybercrime-Gang, die das Geld, das sich auf gehackten Konten befindet, für den Kauf von Waren in Internet-Shops ausgeben.

Der Stuffer ist genau genommen eine Spielart des „Zalivshchiks“, allerdings wird das Geld nur auf diese Weise von den Konten abgezogen, wenn die gestohlenen Summen relativ gering sind. In der Regel arbeiten Stuffer eng mit den Hehlern zusammen. Diese „Synergie“ beinhaltet häufig, dass der Hehler konkrete Waren eines bestimmten Typs bestellt, bis hin zu einem bestimmten Hersteller oder Modell, und dieser Auftrag dann ausgeführt wird.

Organisator

Betrachtet man ein Cyberverbrechen als Projekt, so ist der Organisator der Verbrechergang der Topmanager. In seinen Verantwortungsbereich fallen die Finanzierung des Vorbereitungsstadiums, die Zusammenstellung der Aufgaben der ausführenden Elemente, die Kontrolle über ihre Erfüllung und die Kommunikation und Interaktion mit externen Akteuren, wie zum Beispiel Kurierdiensten und Call-Services (wenn es keine eigenen gibt). Der Organisator bestimmt das Angriffsziel, wählt die benötigten „Spezialisten“ aus und regelt das Finanzielle mit ihnen.

Angriffsetappen

Die oben dargestellte Klassifikation ist natürlich nicht statisch. In einzelnen Fällen kann ein und dasselbe Mitglied einer Verbrecherbande mehrere Rollen übernehmen. Trotzdem sind alle oben beschriebenen Funktionen, ganz egal von wie vielen Personen sie erfüllt werden, bei den Ermittlungen praktisch jedes beliebigen Cyberverbrechens anzutreffen, das mit dem Diebstahl von Geld in Verbindung steht. Und so arbeiten sie alle in „Echtzeit“.

  1. Vorbereitende Aufklärung. Wenn die Rede von zielgerichteten Attacken auf ein konkretes Unternehmen ist, so bestellt der Organisator zunächst bei einem Zulieferer Informationen über das anzugreifende Unternehmen. Mit deren Hilfe kann ein glaubhaftes Social-Engineering-Schema ausgearbeitet werden, das auf der ersten Angriffsetappe zum Einsatz kommt. Wenn es um einen Angriff auf individuelle Anwender geht, entfällt die vorbereitende Aufklärung oder sie beschränkt sich auf die Auswahl der „Zielgruppe“ der Attacke (beispielsweise Online-Banking-Anwender bestimmter Banken) und die Erstellung von Phishing-Mails und Phishing-Seiten mit entsprechendem Inhalt.>

  2. Infektion. Das Eindringen in das interne Netz wird mit Hilfe von zielgerichteten (Spear-Phishing) oder massenhaften Versendungen von Phishing-Mails umgesetzt, die einen schädlichen Link auf eine Drittressource oder ein speziell aufbereitetes Dokument in Form eines Anhangs enthalten. Das Öffnen des angehängten Dokuments oder der Klick auf den mitgeschickten Link führt zur Infektion des Systems mit einem Schadprogramm. Häufig erfolgt die Infektion automatisch, ohne Kenntnis und Beteiligung des Nutzers. Nach dem Aufruf des Links wird automatisch ein Schadprogramm auf seinen Computer geladen (Drive by Download) und dort gestartet.

    In anderen Fällen erfolgt die Infektion über gehackte populäre Webseiten, über die der Nutzer verdeckt auf eine Drittressource mit einer Exploit-Sammlung geleitet wird. Landet der Anwender auf einer solchen Seite, wird sein System mit Malware verseucht.

    Im weiteren Verlauf wenden die Cyberkriminellen eine Reihe von schädlichen Tools an, die für die Festsetzung der Schadsoftware im System sorgen. Beispielsweise hacken und infizieren sie interne Seiten der Organisation mit Schadsoftware, um eine Neuinstallation des Schädlings für den Fall zu gewährleisten, wenn die Schutzlösung auf den angegriffenen Computern die vorherige Malware-Version gelöscht hat. Außerdem installieren Cyberkriminelle nicht selten Software in einer angegriffenen Infrastruktur, die den ungehinderten Zugriff auf die internen Netze der Organisation von außen ermöglicht.

  3. Aufklärung und Umsetzung. Auf die gehackten Computer werden verborgene Fernsteuerungstools geladen, mit Hilfe derer die Verbrecher versuchen, sich die Accounts der Systemadministratoren anzueignen. Es werden großflächig legale Fernwartungs-Programme eingesetzt, deren Funktionalität vielen Nutzern bekannt ist.

  4. Gelddiebstahl. Auf der finalen Etappe wird auf die Finanzsysteme zugegriffen und das Geld von den Konten der angegriffenen Organisationen auf die Konten der Kurierdienste überwiesen, oder das Geld wird direkt von Geldautomaten abgehoben.

Fazit

Dass sich die Finanz-Kriminalität mit russischsprachigem Hintergrund in den letzten Jahren immer weiter ausgebreitet hat, hat viele Gründe. Hier die wichtigsten:

  • Mangel an qualifiziertem Personal in den Strafverfolgungsbehörden
  • Mängel in der Gesetzgebung, die es Cyberkriminellen in den meisten Fällen ermöglichen, sich der Verantwortung zu entziehen oder mit einer milden Strafe davonzukommen
  • Mangel an reibungslos funktionierenden Prozessen der internationalen Zusammenarbeit zwischen Strafverfolgungsbehörden und Expertenorganisationen verschiedener Länder

Im Gegensatz zu der realen Welt laufen Überfälle im Cyberspace unbemerkt ab, und digitale Beweise können nur innerhalb eines äußerst begrenzten Zeitfensters nach der Tat sichergestellt werden. Dabei besteht für die Gangster keine Notwendigkeit, sich auf dem Gebiet des Landes aufzuhalten, in dem das Verbrechen begangen wird.

Die sich den russischsprachigen Cyberkriminellen bietenden Bedingungen sind leider mehr als günstig: ein geringes Risiko, strafrechtlich verfolgt zu werden und potenziell hohe Rendite, die ein geglücktes kriminelles Unterfangen verspricht. Das hat zur Folge, dass die Zahl der Verbrechen und die Höhe der aus ihnen resultierenden Verluste steigen, und der Markt cyberkrimineller Dienstleistungen macht immer höhere Umsätze.

Das Fehlen etablierter Mechanismen der internationalen Kooperation spielt den Gangstern ebenfalls in die Hände: Den Experten von Kaspersky Lab ist beispielsweise bekannt, dass einige Mitglieder von Verbrecherbanden ihren ständigen Wohnsitz in Nachbarstaaten Russlands haben und dort auch arbeiten. Und umgekehrt sind Bürger von Nachbarstaaten, die in kriminelle Aktivitäten involviert sind, nicht selten auf russischem Territorium ansässig und tätig.

Kaspersky Lab unternimmt alles, um die Aktivität cyberkrimineller Gruppen zu unterbinden und ruft andere Unternehmen sowie die Strafverfolgungsbehörden aller Länder zur Zusammenarbeit auf.

Die von Kaspersky Lab initiierte internationale Ermittlung der Aktivität der Carbanak-Gruppe ist das erste Beispiel für erfolgreiche internationale Kooperation. Doch um dauerhaft positive Veränderungen auf diesem Gebiet zu erwirken, muss noch viel mehr getan werden.

Hintergrund: Was ist das Computer Incidents Investigation Department (CIID) bei Kaspersky Lab

Kaspersky Lab ist in erster Linie für die Entwicklung von Systemen zum Schutz vor Schadprogrammen bekannt. Doch das Unternehmen stellt auch Dienstleistungen zum umfassenden Informationsschutz bereit, was unter anderem die Aufklärung von Computervorfällen umfasst.

Aufgedeckte Beweise, die sich hauptsächlich in digitaler Form darstellen, müssen so gesammelt und aufbereitet werden, dass bei den zuständigen Behörden und vor Gericht keinerlei Zweifel aufkommen, wenn betroffene Personen dort erklären, ein Cyberverbrechen sei gegen sie verübt worden.

Zu den Aufgaben des CIID von Kaspersky Lab gehören:

  • Reagieren auf Vorfälle im Bereich der Computer-/IT-Sicherheit und eine umgehende Situationsanalyse
  • Sammeln digitaler Indizien für Computervorfälle und Feststellung der mit ihnen in Verbindung stehenden Umstände in Übereinstimmung mit den entwickelten Methoden
  • Untersuchung der gesammelten Indizien, Suche im Netz nach Informationen, die mit dem Vorfall in Verbindung stehen, sowie Fixierung dieser Angaben
  • Zusammenstellung der Materialien, die benötigt werden, damit der Leidtragende sich an die Strafverfolgungsbehörden wenden kann
  • Fachkundige Begleitung der Untersuchungsaktivität und operativ aufklärerische Maßnahmen

Im Rahmen des Reagierens auf Vorfälle, die Computer- und Informationssicherheit betreffend, und während der fachkundigen Begleitung und der Durchführung operativ-aufklärerischer Maßnahmen müssen große Menge von Daten bearbeitet werden, deren Analyse – in Kombination mit statistischen Informationen über detektierte Schadprogramme – Gesetzmäßigkeiten und die Entwicklung kriminellen Verhaltens im Cyberspace aufdecken.

Die Abteilung wurde im Jahr 2011 ins Leben gerufen. In der Abteilung arbeiten sechs Spezialisten.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.