Jagd auf Lurk

Wie wir dazu beitrugen, eine der gefährlichsten Banden von Finanz-Cybergangstern dingfest zu machen

Inhalt

Anfang Juni dieses Jahres nahmen russische Strafverfolgungsbehörden die mutmaßlichen Mitglieder einer kriminellen Vereinigung fest, die im Verdacht steht, fast drei Milliarden russische Rubel ergaunert zu haben. Nach Angaben der Gesetzeshüter hatten die Mitglieder der Gruppe mit dem Namen Lurk mit Hilfe von schädlicher Software systematisch große Summen von den Konten kommerzieller Organisationen abgehoben, darunter auch Banken. Im Laufe der letzten sechs Jahre hat das Computer Incidents Investigation Department (CIID) bei Kaspersky Lab die Aktivität dieser Gruppe genau studiert. Im Frühjahr dieses Jahres hatten wir schließlich eine ansehnliche Menge an Informationen über diese Gruppe zusammengetragen. Wir sind sehr froh, dass diese Informationen den Strafverfolgungsbehörden nützlich waren und dazu beitragen konnten, die Verdächtigen festzunehmen und – was noch wichtiger ist – den digitalen Raubzügen der Bande ein Ende zu bereiten. Wir haben durch diese Ermittlungen so viele Erfahrungen sammeln können wie bei keiner anderen unserer Untersuchungen zuvor. Dieser Artikel ist der Versuch, diese Erfahrungen mit anderen Experten zu teilen, in erster Linie mit Spezialisten auf dem Gebiet IT-Sicherheit in Unternehmen und Finanzinstitutionen – jene Organisationen also, die immer häufiger zum Ziel von Cyberattacken werden.

Anfangs war Lurk ein namenloses trojanisches Programm, von dem wir im Jahr 2011 das erste Mal Kenntnis erhielten. Wir erfuhren von einer Reihe von Vorfällen, infolge derer den Kunden einiger russischer Banken von unbekannten Kriminellen hohe Geldsummen gestohlen worden waren. Um an das Geld ihrer Opfer zu gelangen, setzten die unbekannten Verbrecher ein verborgenes Schadprogramm ein. Das interagierte im Automodus mit Online-Banking-Software, indem es die Autorisierungsdaten für die Überweisungsaufträge austauschte, die der zuständige Buchhalter in der angegriffenen Organisation ausgelöst hatte, oder indem es selbst solche Überweisungsaufträge erstellte.

Heute, im Jahr 2016, mag es recht befremdlich sein, von einer Online-Banking-Software zu lesen, die keinerlei zusätzliche Authentifizierungsmaßnahmen erforderlich macht, doch vor fünf Jahren war genau das der Fall: Um ihren Raubzug ungehindert starten zu können, mussten die Cyberkriminellen in den meisten Fällen lediglich einen Computer infizieren, auf dem die Software zur Arbeit mit einem Fernbankdienstleistungssystem installiert war. Im Jahr 2011 war das Bankensystem Russlands – und das vieler anderer Länder auch – noch nicht auf derartige Attacken vorbereitet. Cyberkriminelle nutzten diesen Umstand weidlich aus.

Damals waren wir an den Ermittlungen zu mehreren Fällen beteiligt, in die ein namenloser Schädling involviert war. Als wir ihn in das Antiviren-Labor zu unseren Analysten weiterleiteten und diese eine Signatur erstellten, um zu überprüfen, ob mit seiner Hilfe bereits Infektionen stattgefunden hatten, stießen wir auf eine merkwürdige Besonderheit: Unser internes System zur Benennung von Schadprogrammen bestätigte, dass wir es hier lediglich mit einem weiteren trojanischen Programm zu tun hatten, das alles Mögliche tut (zum Beispiel Spam verschickt), allerdings kein Geld stiehlt.

In der alltäglichen Praxis von Kaspersky Lab kommt es vor, dass unsere Systeme ein Programm, das einen bestimmten Funktionsumfang besitzt, irrtümlicherweise als etwas vollkommen anderes detektieren. Doch die Klärung der Umstände im Fall dieses konkreten Programms hat gezeigt, dass es deshalb mit einer „allgemeinen“ Signatur detektiert worden war, weil es nichts tat, was uns dazu veranlasst hätte, es einer speziellen Gruppe zuzuordnen, beispielsweise den Bank-Trojanern.

Doch Fakt bleibt Fakt: Das Schadprogramm wurde benutzt, um Geld zu stehlen.

Aus diesem Grund beschlossen wir, den Schädling genauer unter die Lupe zu nehmen. Doch die ersten Versuche unserer Analysten, zu verstehen, wie das Programm aufgebaut ist, führten zu nichts. Egal, ob es auf einer virtuellen Maschine oder auf einer echten ausgeführt wurde, es verhielt sich immer gleich: Es tat nichts. Und gerade dieses Verhalten brachte dem Schädling auch seinen Namen ein: Lurk (englisch für „rumlungern“, „lauern“).

Bald darauf waren wir in die Ermittlungen eines weiteren Vorfalls unter Beteiligung von Lurk involviert. Dieses Mal gelang es uns, ein Abbild des angegriffenen Computers zu untersuchen, auf dem wir nicht nur den uns bereits bekannten Schädling fanden, sondern auch eine DLL-Datei, mit der ausführbaren Hauptdatei zu interagieren in der Lage war. So erhielten wir die ersten Beweise dafür, dass Lurk über eine modulare Struktur verfügt.

Einige Jahre später, als wir bereits sehr viel über diesen Schädling wussten, entdeckten wir, dass Lurk über eine ganze Reihe von Modulen verfügte, doch sie waren alle später erschienen. Damals, im Jahr 2011, befand sich Lurk allem Anschein nach im Angangsstadium seiner Entwicklung und war auf zwei Komponenten beschränkt.

Die Entdeckung einer zusätzlichen Datei trug ein wenig dazu bei, die Natur von Lurk näher zu beleuchten. Es war klar, dass sich dieses trojanische Programm gegen Online-Banking-Systeme richtete und dass es an einer vergleichsweise kleinen Zahl von Vorfällen beteiligt war. Im Jahr 2011 nahmen die Angriffe auf solche Systeme gerade Fahrt auf, doch bereits damals waren einige andere Programme dieser Art bekannt. Das erste wurde bereits im Jahr 2006 entdeckt und von da an wurden regelmäßig Schädlinge bekannt, die über eine ähnliche Auswahl von Funktionen verfügten. Man erinnere sich nur an solche Programme wie Zeus, SpyEye, Carberp und andere. Lurk war nur einer unter vielen gefährlichen Schädlingen.

Lurk dazu zu bringen, unter Laborbedingungen zu arbeiten, war relativ schwierig. Zudem erschienen neue Versionen des Schädlings ebenso selten wie wir über neue Vorfälle unter Beteiligung von Lurk Kenntnis erhielten. All diese Faktoren trugen im Jahr 2011 zu unserem Entschluss bei, unsere aktive Forschungsarbeit an diesem Programm einzustellen und uns aktuelleren Aufgaben zu widmen.

Führungswechsel

Ungefähr ein Jahr nach unserer ersten Begegnung mit Lurk hörten wir nichts wirklich Bemerkenswertes über diesen Schädling. Wie sich später herausstellte, gingen die Vorfälle, an denen dieses Schadprogramm beteiligt war, tatsächlich in der Masse ähnlicher Fälle unter, an denen allerdings andere Malware beteiligt war. Im Mai 2011 wurde der Quellcode des Trojaners ZeuS im Netz veröffentlicht, was zum Erscheinen einer Vielzahl von Modifikationen dieses Programms führte, die von kleineren Cybercrime-Gruppen entwickelt wurden. Neben ZeuS gab es auch eine Reihe anderer individueller Finanzschädlinge.

In Russland waren einige vergleichsweise große Cybercrime-Gangs aktiv, die sich auf den Diebstahl von Geldmitteln mittels Attacken auf Online-Banking-Systeme spezialisiert hatten. Die aktivste von ihnen war seinerzeit Carberp. Ende März 2012 wurden die meisten Mitglieder dieser Gruppe von den Strafverfolgungsbehörden inhaftiert. Dieses Ereignis war ein spürbarer Schlag gegen den russischen cyberkriminellen Untergrund, da diese Verbrecherbande es geschafft hatte, innerhalb nur weniger Jahre hunderte Millionen Rubel zu stehlen und sie so etwas wie die „Führungsposition“ unter den Cyberverbrechern eingenommen hatte. Zum Zeitpunkt der Verhaftungen war Carberp allerdings keinesfalls mehr der wichtigste Akteur auf der Cybercrime-Bühne.

Nur wenige Wochen vor den Verhaftungen wurde eine Wasserloch-Attacke auf die Webseiten einiger der größten russischen Medien, unter anderem der Agentur RIA Novosti und Gazeta.ru, bestätigt. Unbekannte Kriminelle hatten ein Schadprogramm über diese Webseiten verbreitet, indem sie eine Sicherheitslücke im System zum Austausch von Werbebannern ausnutzten. Die User besuchten die Webseite, woraufhin ihr Browser auf eine von den Cyberkriminellen erstellte Seite umgeleitet wurde, die mit einem Java-Exploit vermint war (Java war zu dieser Zeit die am weitesten verbreitete Software und gleichzeitig äußerst verwundbar). Die erfolgreiche Ausnutzung der Sicherheitslücke führte zu dem Start des Schadprogramms, dessen wichtigste Funktion im Sammeln von Informationen über den angegriffenen Computer bestand sowie in der Weiterleitung dieser Informationen an den Server der Cyberkriminellen, und – in einigen Fällen – im Empfang vom Server und der anschließenden Installation von weiterer Payload.

Vom technischen Standpunkt aus gesehen war das Schadprogramm sehr außergewöhnlich: Im Gegensatz zu den meisten anderen Schädlingen hinterließ es keinerlei Spuren auf der Festplatte des angegriffenen Systems und lief ausschließlich im Arbeitsspeicher der Maschine. Ein solcher Funktionsmechanismus wird bei Malware selten angewandt, in erster Linie aufgrund der „Kurzlebigkeit“ einer solchen Infektion: Der Schädling „überlebt“ nur so lange im System, bis der Computer neu gestartet wird, danach muss der Infektionsprozess erneut in Gang gesetzt werden. Doch im Fall der Attacken aus dem Jahr 2012 hatte es der verborgene „körperlose“ Schädling gar nicht nötig, sich in dem angegriffenen System festzusetzen. Seine Hauptfunktion war die Spionage. Seine zweite Aufgabe bestand im Download und der Installation zusätzlicher Malware. Interessant ist zudem, dass der Download des Schädlings nur in einer äußerst geringen Zahl von Fällen erfolgte, und zwar nur dann, wenn der Computer „interessant“ erschien.

Eine Analyse des körperlosen Schädlings hat gezeigt, dass aus Sicht der Malware solche Computer interessant waren, auf denen Online-Banking-Apps von einem bestimmten russischen Entwickler installiert waren. Wesentlich später erfuhren wir, dass es sich bei dem namen- und körperlosen Modul um „mini“ handelte, eines von vielen Schadprogrammen, die von Lurk verwendet werden. Doch zu dem damaligen Zeitpunkt waren wir uns noch nicht sicher, dass hinter dem Schädling Lurk, der uns seit dem Jahr 2011 bekannt war, und hinter der Lurk-Version, die wir im Jahr 2012 entdeckten, ein und dieselben Leute steckten. Wir hatten zwei Theorien: Entweder war Lurk ein Programm, das zum Verkauf bestimmt war und die Versionen der Jahre 2011 und 2012 waren das Ergebnis der Aktivität zweier unterschiedlicher Gruppen, die den Schädling bei dem Autor gekauft hatten. Oder die Version des Jahres 2012 war eine Weiterentwicklung des schon vorher bekannten Trojaners.

Wie sich später herausstellen sollte, war die zweite Theorie richtig.

Unsichtbarer Krieg mit Banken-Software

An dieser Stelle ein kleiner Exkurs. Online-Banking-Systeme bestehen aus zwei Teilen: dem bankenseitigen und dem kundenseitigen Teil. Bei dem kundenseitigen Teil handelt es sich um ein Programm von geringer Größe, das es dem Nutzer (in der Regel einem Buchhalter) ermöglicht, entfernt Transaktionen von den Konten der Organisation durchzuführen. Die russischen Unternehmen, die solche Software entwickeln, kann man an einer Hand abzählen. Daher verwendet jede russische Organisation, die ein Fernbankdienstleistungssystem benutzt, die Software eines dieser Unternehmen. Den Cybercrime-Gangs, die auf Attacken gegen Fernbankdienstleistungssysteme spezialisiert sind, spielte diese geringe Auswahl möglicher Varianten in die Hände.

Im April 2013, fast ein Jahr nachdem wir das „körperlose“ Modul von Lurk entdeckt hatten, gab es im russischen cyberkriminellen Untergrund auf einmal gleich mehrere Malware-Familien, die auf Attacken gegen Bank-Software spezialisiert waren. Sie gingen alle ähnlich vor: In der Aufklärungsphase fanden sie zunächst heraus, ob die notwendige Bank-Software auf dem angegriffenen Computer installiert war. Daraufhin luden sie zusätzliche Module, darunter auch solche, die es ermöglichen, im Automodus nicht sanktionierte Zahlungsanweisungen zu erstellen, die Bankverbindungsdaten in den legalen Zahlungsanweisungen zu ändern und so weiter. Ein solches Maß an Automatisierung war deswegen möglich, weil die Gangster die Funktionsmechanismen der Banksoftware genauestens studiert und die schädlichen Module ihrer Programme genau an die konkrete Bankenlösung angepasst hatten.

Genau so gingen auch die Leute vor, die hinter der Entwicklung und Verbreitung von Lurk stehen. Sie nahmen einfach den kundenseitigen Teil der Bankensoftware, untersuchten genau, wie er funktioniert und wandelten das Äußere ihres Schädlings entsprechend ab, womit sie faktisch eine nicht legale Version eines legalen Produktes schafften.

Aus brancheninternen Informationsquellen erfuhren wir, dass die Sicherheitsabteilungen einiger russischer Banken Probleme mit Schadprogrammen hatten, die für Attacken auf einen konkreten legalen Softwaretyp maßgeschneidert waren. Einige von ihnen waren gezwungen, jede Woche Updates für ihre Kunden herauszugeben. Die Updates beseitigten zwar die Sicherheitsprobleme, doch die Hacker gaben im Verborgenen ihrerseits schnell eine neue Version der Schadsoftware heraus und umgingen damit den Schutz, den die Entwickler der Bankensoftware gerade eingebaut hatten.

Man muss wissen, dass diese Aufgabe – nämlich das Reverse Engineering eines professionellen Bankenprodukts – keine Arbeit ist, die von einem Hacker-Amateur bewältigt werden kann. Außerdem ist es eine eintönige und mühselige Arbeit, also keine, die aus purem Enthusiasmus erledigt wird. Für ein Spezialisten-Team wäre das sicherlich eine machbare Aufgabe. Doch welcher Experte, der bei klarem Verstand ist, würde eine offensichtlich illegale Arbeit übernehmen, und wer hat genügend Geld, um eine derartige Tätigkeit dauerhaft zu finanzieren? Uns Fragen dieser Art stellend kamen wir letztlich zu dem Schluss, dass hinter den verschiedenen Versionen des Schädlings Lurk eine organisierte Gruppe von Experten auf dem Gebiet Cyberkriminalität stecken musste.

Nach einer Flaute in den Jahren 2011 und 2012 erreichten uns erneut Nachrichten über Vorfälle unter Beteiligung von Lurk, infolge derer Geld gestohlen wurde. Weil die leidtragenden Organisationen mit uns Kontakt aufnahmen, erhielten wir mit jedem Monat mehr und mehr Informationen über die Aktivität von Lurk. Zum Ende des Jahres 2013 hatten wir – basierend auf den Informationen, die wir im Laufe unserer Untersuchung der Festplatten der angegriffenen Computer sammeln konnten und aufgrund des Studiums von öffentlich zugänglichen Daten – eine ungefähre Vorstellung über eine Gruppe von Internetnutzern, die mutmaßlich mit Lurk in Verbindung standen.

Dabei kann man nicht behaupten, dass das leicht war. Die Hintermänner von Lurk hatten ihre Aktivität im Netz gezielt anonymisiert. Zu diesem Zweck verschlüsselten sie ihre alltägliche Kommunikation, verwendeten falsche Domain-Registrierungsdaten oder einen Webdienst zur anonymen Registrierung und so weiter. Mit anderen Worten, es war nicht so, dass wir einfach den Vor- und Nachnamen bei Whois herausgesucht und die entsprechenden Nutzer dann bei „VKontakte“ oder Facebook gefunden hätten, wie es bei anderen, weniger professionellen Cybercrime-Gruppen wie zum Beispiel Koobface durchaus schon vorgekommen ist. Solche groben Schnitzer hat sich die Lurk-Gruppe nicht geleistet. Doch Fehler sind auch ihnen unterlaufen – wenn auch selten und auf den ersten Blick von unbedeutender Art.

Da ich hier keine kostenlosen Lektionen in Konspiration erteilen möchte, werde ich auch keine Beispiele für derartige Fehler liefern. Nachdem wir sie analysiert hatten, ergab sich ein mehr oder minder klares Bild: Wir hatten es mit einer Gruppe mit ungefähr 15 Mitgliedern zu tun (in ihrer letzten Schaffensperiode war die Zahl der „ständigen“ Mitglieder auf bis zu 40 gewachsen). Dieses Team gewährleistete, was man als den „kompletten Zyklus“ von Entwicklung, Verbreitung und Monetarisierung von Schadprogrammen bezeichnet – ein kleines Softwareentwicklungsunternehmen also. Dieses „Unternehmen“ hatte zu dem Zeitpunkt zwei Haupt-„Produkte“ im Programm: das Schadprogramm Lurk und ein riesiges Botnetz aus mit ihm infizierten Computern. Für das Schadprogramm war ein eigenes Team abgestellt, das verantwortlich war für die Herausgabe neuer Funktionen, die Suche nach Wegen der „Interaktion“ mit den Online-Banking-Systemen, für die Funktionsstabilität und für weitere Aufgaben. Zudem gab es ein Team von Testern, das die Funktionsfähigkeit des Programms in unterschiedlichen Umgebungen überprüfte. Für das Botnetz war ebenfalls ein eigenes Team verantwortlich (Administrator, Betreiber, Geldflussmanager und andere Beteiligte, die über die Steuerkonsole mit den Bots arbeiteten), das zuständig war für die Funktionsfähigkeit der Steuerungsserver, ihren Schutz vor Entdeckung und vor dem Abfangen der Kontrolle über die C2.

Für die Entwicklung von Malware dieser Klasse braucht es Profis. Die Köpfe der Gruppe suchten sie auf gewöhnlichen Jobsuche-Webseiten beziehungsweise bei Jobbörsen für entfernte Mitarbeiter. Beispiele für derartige Stellenanzeigen habe ich bereits in meinem Artikel über die russischsprachige Finanz-Cyberkriminalität angeführt. Davon, dass die angebotene Arbeit nicht legal ist, war in den Stellenanzeigen natürlich nicht die Rede. Während der Verhandlungen führten die „Arbeitgeber“ dann einen kleinen Test der Kandidaten auf ihre moralische Standhaftigkeit durch, das heißt sie erklärten ihnen, worum es bei der Tätigkeit wirklich geht. Diejenigen, die den Test „bestanden“, die also das Angebot annahmen, wohl wissend, dass es dabei ganz und gar nicht mit rechten Dingen zugeht, wurden ins Team aufgenommen.

Jagd auf Lurk

Ein Krimineller hat eine Stellenanzeige auf einer in der Ukraine populären Ressource für arbeitssuchende IT-Experten platziert, in der ein Spezialist für Java/Flash gesucht wird. Zu den Anforderungen gehören ein hohes Niveau im Programmieren von Java, Flash sowie unter anderem Kenntnisse über die Spezifikationen der JVM/AVM. Gegen ein Gehalt von 2.500 US-Dollar bietet der Organisator einen Remote-Arbeitsplatz in Vollzeit an.

So setzten sich jeden Morgen – außer an den Wochenenden – in den unterschiedlichsten Teilen Russlands und der Ukraine einzelne Personen an ihre Computer und machten sich an die „Arbeit“. Die Programmierer integrierten neue Funktionen in die jüngsten Versionen des Schädlings, die Tester überprüften die Qualität der neuen Version. Daraufhin luden die für das Botnetz und die für die Funktionsfähigkeit der Schädlings-Module und -Komponenten Verantwortlichen die neuen Versionen auf die Steuerungsserver, woraufhin die Schadsoftware auf den Bot-Rechnern automatisch aktualisiert wurde. Der Zuständige für das Botnetz wertete zudem die von den frisch infizierten Computern gesendeten Informationen aus, die besagten, ob es Zugriff auf ein Online-Banking-System gab, wie viel Geld auf den Konten vorhanden war und so weiter.

Der „Zalivshchik“, das Individuum also, das in einer solchen Gruppe für den „Fluss“ des gestohlenen Geldes auf die Geldkarten der „Kuriere“ verantwortlich ist, drückte einfach auf einen Knopf in der Steuerkonsole des Botnetzes und hunderttausende Rubel flossen auf vorher von den Leitern der „Kurierdienste“ vorbereitete Konten. In vielen Fällen musste man gar nichts drücken: Das Schadprogramm änderte die Bestätigungsdaten für eine Zahlungsanweisung, die der Buchhalter des angegriffenen Unternehmens vorbereitet hatte, und das Geld verschwand auf die Konten der Cyberkriminellen.

Von diesen Konten wurde das Geld auf die Karten der Kuriere umgeleitet, die daraufhin Bares von verschiedenen Geldautomaten abhoben. Daraufhin wurden die Gelder mit Hilfe von „alteingesessenen“ Kurieren zu den Köpfen der Bande transferiert, die es wiederum verteilten: an die Mitarbeiter als „Lohn“, an die Helfershelfer und Komplizen, für den Unterhalt und die Pflege der kostenintensiven Netzinfrastruktur und – selbstverständlich – in die eigene Tasche. Und der Zyklus begann von neuem.

Jagd auf Lurk

Jedes Mitglied der Verbrecherbande hat einen bestimmten Verantwortungsbereich.

Diese Phase kann man als die „goldene“ Zeit in der Geschichte von Lurk bezeichnen. Denn aufgrund des mangelnden Schutzes der Transaktionen über Fernbankdienstleistungssysteme war der Diebstahl von Geld über den infizierten Computer des Buchhalters eines angegriffenen Unternehmens zwar nichts, was keine besonderen Fertigkeiten erforderte, aber es lief dann mitunter einfach automatisch. Doch alles hat irgendwann ein Ende.

Das Ende der „Avtozaliv“-Epoche oder der Beginn „schwerer“ Zeiten

Selbstverständlich hatten weder die Finanzbranche noch die IT-Sicherheitsindustrie die Hände untätig in den Schoß gelegt. Der explosionsartige Anstieg der Diebstähle durch Lurk und andere Banden zwangen die Sicherheitsdienste der Banken und der Entwickler von Bank-Software dazu, zu reagieren.

Die wichtigste Veränderung bestand darin, dass die Hersteller der Online-Banking-Software ihre Produkte nicht länger öffentlich zugänglich machten. Bevor die Banden von Finanz-Cybergangstern auf den Plan getreten waren, konnte sich jeder beliebige Nutzer von der Webseite der Hersteller eine Demoversion des Programms herunterladen. Cyberkriminelle machten sich das zunutze, um die Funktionsmechanismen der Banken-Software zu studieren und selbst Schadprogramme dafür zu entwickeln.

Die zweite große Veränderung war die massenhafte Integration von Mechanismen durch die Banken, die den so genannten „Avtozaliv“ abwehren sollten, die russische Bezeichnung für eine Prozedur, bei der Cybergangster mit Hilfe eines Schadprogramms die Daten der Zahlungsanweisung ändern konnten, die von einem Buchhalter erstellt wurde, um so automatisch Geld zu stehlen. Schließlich hoben die meisten Hersteller von Online-Banking-Software infolge eines monatelangen „unsichtbaren Krieges“ mit der Cyberkriminalität die Sicherheit ihrer Software auf ein recht hohes Niveau.

In den Jahren 2013 und 2014 hatten wir die Aktivität der Malware dieser Gruppe intensiv studiert und verfügten über ein umfassendes Wissen über diese Schadsoftware. Auf unserer Botfarm gelang es uns schließlich, ein normal funktionierendes Skript des Schädlings zu starten, wodurch wir rechtzeitig von allen Neueinführungen erfuhren, die die Cybergangster in die neuen Versionen ihres Programms integriert hatten. Unser Analysten-Team kam mit der Untersuchung des Schädlings gut voran. Zu dieser Zeit hatten wir bereits eine klare Vorstellung davon, wie er funktioniert, aus welchen Teilen er besteht und über welche zusätzlichen Module er verfügt.

Die notwendigen Informationen sammelten wir in erster Linie im Laufe von Analysen von Vorfällen, die infolge von Lurk-Attacken passiert waren. Parallel dazu unterstützten und berieten wir die Strafverfolgungsbehörden, die die Aktivität dieser Bande zu dieser Zeit bereits verfolgten und in dieser Sache ermittelten.

Die Cyberverbrecher versuchten den Veränderungen im Bankensektor und im Bereich IT-Sicherheit entgegenzuwirken. Nachdem die Hersteller der Banken-Software keine Demoversionen ihrer Programme mehr öffentlich zugänglich machten, gründeten die Mitglieder der Verbrecherbande beispielsweise eigens eine Briefkastenfirma, um die aktualisierten Versionen der Software für das Online-Banking zu erhalten.

Es wurde nicht mehr so massenhaft gestohlen – die Sicherheitsverbesserungen in der Banken-Software zeigten ihre Wirkung. Der „Avtozaliv“ funktionierte immer seltener – die Zahl der Banken mit nur unzureichenden Schutzsystemen nahm stetig ab. Nach den Daten zu urteilen, die uns vorliegen, gingen die Umsätze des kriminellen Unternehmens „Lurk“ dramatisch zurück, seine Mitarbeiter kämpften ums Überleben und sie griffen nun jeden an, der ihnen die Möglichkeit dazu bot, sogar einfache Anwender. Und wenn bei einem Angriff nur einige tausend Rubel herumkamen, so gaben sie sich auch damit zufrieden.

Der Grund dafür war unserer Meinung nach wirtschaftlicher Natur: Zu dieser Zeit benutzte die Verbrecherorganisation eine weit verzweigte und kostspielige Infrastruktur. Neben der Bezahlung der „Mitarbeiter“ musste Pacht für die Server, VPN und andere technische Details aufgebracht werden. Nach unseren Einschätzungen kostete allein die Netzinfrastruktur die Bosse von „Lurk“ mehrere zehntausend US-Dollar monatlich.

Der Versuch einer Rückkehr

Das Problem des Geldmangels versuchten die Cyberkriminellen nicht nur mit vermehrten „kleinen“ Attacken zu lösen, sondern auch mit einer Art der „Diversifizierung“ des Geschäfts und einer Ausweitung ihres Tätigkeitsbereichs. Mit Diversifizierung meine ich in erster Linie die Entwicklung, den Support, und die Vermietung des Exploit-Packs Angler an andere Cyberverbrecher. Ursprünglich wurde es von der Gruppe in erster Linie verwendet, um den Schädling Lurk auf die Computer der Opfer zu transportieren. Doch als die Zahl der erfolgreichen Attacken zurückging, boten die Inhaber dieses schädlichen Tools weniger großen Verbrecherbanden gegen Bezahlung Zugriff auf das Exploit-Pack.

Den Kommentaren in den Untergrundforen nach zu urteilen, in denen sich Cyberkriminelle austauschen, genoss Lurk dort nahezu Legendenstatus. Das lag in erster Linie an seiner Undurchschaubarkeit: Viele kleine und mittlere Gruppen äußerten den Wunsch, mit ihnen zusammenzuarbeiten, doch die Hintermänner von Lurk zogen es stets vor, ohne Außenstehende zu agieren. Unter anderem deswegen, weil Angler, nachdem es auch für andere Akteure im cyberkriminellen Untergrund zugänglich gemacht worden war, weitreichend bekannt geworden war – und ein Produkt von „absoluten Autoritäten“ des Cyberuntergrunds benötigt keine weitläufige Werbung. Außerdem war die Trefferquote des Exploit-Packs tatsächlich sehr hoch, das heißt der Anteil der erfolgreich ausgenutzten Sicherheitslücken war groß, und es wurde nur kurze Zeit nach seinem Erscheinen Ende 2013 zu einem der wichtigsten derartigen Tools auf dem „Criminal-2-Criminal-Markt“.

Was die Ausweitung des Tätigkeitsbereichs betrifft, so machte sich Lurk nun an die Kunden russischer Großbanken und an die Banken selbst, während sie sich früher eher kleinere Ziele gesucht hatten.

In der zweiten Jahreshälfte 2014 trafen wir in den Untergrundforen auf uns bereits bekannte Nicknames von Internet-Usern, die Experten für Dokumentenfälschung als Mitarbeiter anwarben. Und noch einige Wochen später, bereits im Jahr 2015, häuften sich in einigen russischen Städten die Nachrichten über Cybergangster, die mit Hilfe gefälschter Vollmachten neue SIM-Karten ohne Wissen der echten Besitzer erhielten.

Auf diese Weise wollten die Verbrecher an die einmaligen Passwörter kommen, die die Bank dem Kunden zur Bestätigung einer Transaktion beim Internet-Banking oder einem Fernbankdienstleistungssystem sendet. Die Kriminellen machten sich den Umstand zunutze, dass die Mitarbeiter von Mobilfunkbetreibern abseits der großen Städte die Echtheit der vorgelegten Dokumente nicht immer besonders sorgfältig überprüften und auf Anfrage der Verbrecher eine neue SIM-Karte herausgaben. Die Mitglieder der Lurk-Bande infizierten den Computer ihres Opfers, fanden seine persönlichen Daten heraus, fälschten mit Hilfe ihrer „Partner“ aus den Foren eine Vollmacht und marschierten damit ins Büro des Mobilfunkanbieters.

Nachdem sie eine neue SIM-Karte erhalten hatten, leerten sie umgehend das Konto ihres Opfers und verschwanden dann.

Obwohl dieses Schema anfangs Früchte trug, waren viele Banken zu diesem Zeitpunkt bereits dabei, Schutzmechanismen zu implementieren, die die Änderung einer einmaligen SIM-Kartennummer verfolgen, und sehr bald nach dem Beginn der „Welle“ derartiger Raubzüge funktionierte diese Methode immer weniger reibungslos. Hinzu kam, dass die SIM-Karten-Kampagne einige Mitglieder der Gruppe zwang, aus dem virtuellen Schatten zu treten und ihre Anonymität aufzugeben, was den Strafverfolgungsbehörden bei der Suche und Identifizierung Verdächtiger in die Hände spielte.

Im Zuge der „Diversifikation des Geschäfts“ und der Suche nach neuen Lücken im Schutzwall der Finanzinstitute führte Lurk weiterhin regelmäßig „kleinere“ Raubzüge auf die „alte“ „Avtozaliv“-Art durch, wenn sich in ihrem Netz ein passendes Opfer verfing. Doch das große Geld planten die Cybergangster anders zu verdienen.

Neue „Experten“

Im Februar 2015 veröffentlichte das Team GReAT von Kaspersky Lab eine Untersuchung über die Schadkampagne Carbanak, die sich auf den Diebstahl von Geld aus Finanzorganisationen spezialisiert hatte. Der wichtigste Unterschied zwischen Carbanak und den „klassischen“ Finanz-Cybergangstern bestand darin, dass es im Carbanak-Team Experten gab, die umfassende Kenntnisse über den Aufbau der IT-Infrastruktur der anzugreifenden Bank hatten, die den Tagesablauf in dieser Bank kannten, und die wussten, welche Mitarbeiter Zugriff auf die Software zur Durchführung von Transaktionen hatten. Vor einer Attacke studierten die Carbanak-Mitglieder das ausgewählte Ziel sehr sorgfältig, fanden seine Schwachstellen heraus und führten in der Stunde X den Angriff innerhalb weniger Stunden durch. Wie sich herausstellte, war Carbanak nicht die einzige Gruppe, die eine solche Angriffsmethode anwandte. Im Jahr 2015 erschienen derartige Spezialisten auch im Team von Lurk.

Jagd auf Lurk

Das wurde uns in dem Moment klar, als wir von Vorfällen erfuhren, die die Handschrift von Carbanak trugen, aber nicht mit den für diese Hackergruppe charakteristischen schädlichen Tools umgesetzt worden waren. Stattdessen war Lurk involviert. Der Schädling Lurk selbst wurde in diesen Fällen gar nicht mehr eingesetzt, um Geld zu stehlen, sondern er diente eher als zuverlässige „Hintertür“ in die Infrastruktur des angegriffenen Unternehmens. Auch wenn die Funktionen, die es früher ermöglicht hatten, Millionenbeträge nahezu automatisch zu stehlen, nicht mehr griffen, war Lurk hinsichtlich seiner Undurchschaubarkeit nach wie vor ein höchst gefährlicher und äußerst professionell umgesetzter Schädling.

Doch ungeachtet seiner Versuche, neue Angriffstypen für sich zu entdecken, waren Lurks Tage bereits gezählt. Die Diebstähle setzten sich bis ins Frühjahr 2016 fort und die Verbrecher selbst kümmerten sich – sei’s aus der unerschütterlichen Überzeugung, unverwundbar zu sein, sei’s angesichts aufkommender Apathie – immer weniger darum, ihre Aktivität zu anonymisieren. Insbesondere in der Phase, in der das Geld in bare Münze umgewandelt werden musste: Auf der letzten Etappe ihrer Tätigkeit benutzten die Verbrecher eine begrenzte Zahl von Lieferfirmen, auf deren Konten sie das Geld überwiesen – zumindest hat das eine Analyse der Vorfälle ergeben, bei denen wir als technische Spezialisten hinzugezogen wurden. Zu dem Zeitpunkt war es wohl auch schon egal, wie viele unterschiedliche Konten sie benutzten, denn sowohl wir als auch die technischen Experten als auch die Strafverfolgungsbehörden hatten mittlerweile ausreichend Material gesammelt, um eine Festnahme durchführen zu können. Die erfolgte dann auch tatsächlich Anfang Juni dieses Jahres.

Im Internet weiß niemand, dass Du ein Cybergangster bist?

Mein persönlicher Eindruck durch die Arbeit rund um Lurk ist, dass sich die Mitglieder dieser Gruppe absolut sicher waren, niemals geschnappt zu werden. Sie hatten allerdings auch guten Grund dazu: Sie verwendeten einen äußerst sorgfältigen Ansatz, um die Spuren ihrer illegalen Tätigkeit zu verwischen und versuchten insgesamt, sich allen Aufgaben seriös und gewissenhaft zu widmen. Doch wie alle Menschen machten auch sie Fehler. Diese Fehler häuften sich im Laufe der Jahre und machten es schließlich möglich, die Tätigkeit dieser Gruppe zu unterbinden. Mit anderen Worten: Obwohl es im Internet tatsächlich wesentlich einfacher ist, Beweise verschwinden zu lassen, hinterlässt man immer irgendwelche Spuren, und mit der Zeit findet ein professionelles Ermittlerteam einen Weg, sie zu lesen und zu den Schuldigen vorzudringen.

Lurk ist nicht das erste und auch nicht das letzte Beispiel, das diese These stützt. Man nehme beispielsweise einmal den seinerzeit berühmten Banktrojaner SpyEye. Ungefähr in der Zeit von 2009 bis 2011 wurde mit seiner Hilfe Geld gestohlen. Seine mutmaßlichen Schöpfer wurden im Jahr 2013 festgenommen und im 2014 verurteilt.

Die ersten Attacken mit Hilfe des Banktrojaners Carberp begannen etwa im Jahr 2010, und die Gruppe, die der Entwicklung und Verbreitung dieses Trojaners verdächtigt wird, wurde schon im Jahr 2012 inhaftiert und im Jahr 2014 verurteilt. Und so weiter.

In der Geschichte der Tätigkeit jeder dieser und einiger anderer Cybercrime-Gruppen gab es eine Phase, als es allen – und in erster Linie den Mitgliedern dieser Gruppen selbst – so erschien, als seien sie unverwundbar und als könnte die Polizei nichts gegen sie ausrichten. Die Realität beweist allerdings das Gegenteil.

Leider ist Lurk nicht die letzte Gruppe, die Unternehmen angreift, um sie zu bestehlen. Uns sind noch mehrere Gruppen dieser Art bekannt, die Organisationen in Russland und über die Grenzen Russlands hinaus angreifen. Aus diesen Gründen empfehlen wir allen Organisationen folgendes:

  • Wenn Ihre Organisation von Hackern angegriffen wird, wenden Sie sich umgehend an die Polizei und ziehen Sie Fachleute aus dem Bereich digitale Kriminalistik hinzu. Je früher ein Vorfall angezeigt wird, desto mehr Beweise können die Ermittler sammeln und umso mehr Informationen haben die Strafverfolgungsbehörden, die zur Ergreifung der Verbrecher beitragen.
  • Wenden Sie strenge IT-Sicherheitsregeln in Bezug auf die Terminals an, von denen aus Finanztransaktionen durchgeführt werden, und in Bezug auf die Mitarbeiter, die mit diesen Rechnern arbeiten.
  • Schulen Sie alle Mitarbeiter des Unternehmens, die Zugriff auf das Unternehmensnetzwerk haben, und machen Sie sie mit den Regeln zur sicheren Arbeit im Internet vertraut.

Das Befolgen dieser Regeln beseitigt das Risiko von Finanzattacken nicht zu 100 Prozent, doch es bereitet den Cyberkriminellen erhebliche Schwierigkeiten auf dem Weg zu ihrem Ziel und erhöht die Wahrscheinlichkeit, dass sie bei dem Versuch, diese Schwierigkeiten zu überwinden, Fehler machen. Und gleichzeitig erleichtert das die Arbeit der Strafverfolgungsbehörden und der IT-Sicherheitsexperten.

Postskriptum: Warum so lange?

Die Strafverfolgungsbehörden und IT-Sicherheitsexperten werden häufig der Untätigkeit beschuldigt. Angeblich bleiben Hacker auf freiem Fuß und entgehen ihrer Strafe, ganz egal, wie groß der Schaden ist, den sie ihren Opfern zugefügt haben.

Die Geschichte mit Lurk beweist das Gegenteil, und außerdem vermittelt sie vielleicht eine Vorstellung davon, was für ein Berg an Arbeit bewältigt werden muss, um legale Grundlagen für die Verfolgung der Verdächtigen zu schaffen. Das Problem besteht darin, dass die „Spielregeln“ nicht für alle Teilnehmer gleich sind: Die Gruppe Lurk nutzte einen professionellen Ansatz zur Organisation eines kriminellen Unternehmens, war dabei aber aus naheliegenden Gründen nicht durch die Notwendigkeit behindert, sich an die geltenden Gesetze zu halten. Wir hingegen, die mit den Strafverfolgungsbehörden zusammenarbeiten, sind verpflichtet, das Gesetz zu befolgen, und dadurch zieht sich der Prozess in die Länge. In erster Linie wegen des „Papierkriegs“ und der Beschränkungen, mit denen der Gesetzgeber die Arten von Informationen belegt, mit denen wir als kommerzielle Organisation arbeiten können.

Unsere Zusammenarbeit mit den Strafverfolgungsbehörden im Rahmen der Ermittlung über die Tätigkeit dieser Gruppe kann man als einen Datenaustausch bezeichnen, der viele Etappen umfasst. Wir stellten den Strafverfolgungsbehörden die Zwischenergebnisse unserer Arbeit zur Verfügung, sie studierten sie, um herauszufinden, ob es Verbindungen zwischen unseren Arbeitsergebnissen und ihren Untersuchungsergebnissen gibt. Dann erhielten wir unsere Daten zurück, „angereichert“ mit den Informationen der Strafverfolgungsbehörden. Allerdings nicht mit allen Informationen, die sie ermitteln konnten, sondern nur mit dem Teil, mit dem wir per Gesetz das Recht haben zu arbeiten. Dieser Prozess hat sich viele Male wiederholt, bis sich schließlich ein vollständiges Bild der Tätigkeit der Gruppe Lurk abzeichnete. Allerdings war das noch nicht das Ende der Geschichte.

Ein großer Teil unserer Arbeit mit den Strafverfolgungsbehörden entfiel auf die „Übersetzung“ der Daten, die wir zusammentragen konnten, aus der „technischen“ in die „juristische“ Sprache. Das ist die Sprache, in der unsere Ermittlungsergebnisse in den entsprechenden juristischen Termini beschrieben werden sollten, um sie so auch dem Gericht verständlich zu machen. Das ist ein komplizierter und mühseliger Prozess, aber es ist die einzige Möglichkeit, die an derartigen Cyberverbrechen Schuldigen zur Verantwortung zu ziehen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.