SPIEGEL ONLINE

SPIEGEL ONLINE

16. Februar 2015, 16:49 Uhr

Bankraub per Computer

So gelang den Cybergangstern der Milliarden-Coup

Sie haben bis zu eine Milliarde Dollar von 100 Banken und Finanzdienstleistern gestohlen. Doch wie gelang der Carbanak-Gang der spektakuläre Diebstahl?

Hamburg - Millionen wanderten unbemerkt von einem Konto aufs andere, Geldautomaten spuckten plötzlich Berge von Scheinen aus - und scheinbar zufällig war immer jemand zur Stelle, um sie diskret einzusammeln. Zwei Jahre lang haben Kriminelle in den Systemen von 100 Banken weltweit getrieben, was ihnen passte. Insgesamt haben sie bis zu eine Milliarde Dollar durch Online-Attacken auf Banken gestohlen, berichtete die russische IT-Sicherheitsfirma Kaspersky Lab am Wochenende.

Aber wie läuft so ein virtueller Diebstahl ab? Mit einer Kombination aus Hacker-Kunst, Geduld und Dreistigkeit, erklärt Kaspersky in der Analyse des langwierigen Angriffs. Die Kurzversion: Die Hacker - hinter so einem massiven Angriff steckt höchstwahrscheinlich eine Bande mit arbeitsteiliger Organisation - drangen durch eine Sicherheitslücke in den geschützten Bereich der Bank vor, beobachteten unbedarfte Mitarbeiter bei ihrer Arbeit und imitierten ihre Routinen, um sich selbst Geld zu überweisen und Geldautomaten zur Ausgabe von Bargeld umzuprogrammieren.

Die Angreifer verschicken E-Mails mit gefährlichem Dateianhang an Adressen, hinter denen sie Bankmitarbeiter vermuteten. Sobald die den Anhang öffnen, zum Beispiel ein infiziertes Word-Dokument, installiert sich das Schadprogramm von selbst und öffnet den Angreifern eine Hintertür ins Banknetzwerk. Da es die Angreifer nur auf die IT-Verwaltung der Banken abgesehen haben, werden Hunderte Mitarbeiter-PC als Kollateralschaden mitinfiziert.

Einmal im Netzwerk, suchen die Angreifer nach zwei Arten von Computern: Arbeitsplatzrechner von Mitarbeitern, über die Überweisungen verwaltet werden, und ans Netzwerk angeschlossene Geldautomaten. Auf diesen Computern installieren die Angreifer Programme zur Aufzeichnung von Tastatureingaben und Monitorsignalen, um so den Angestellten bei der Arbeit zuschauen zu können. So finden die Angreifer heraus, was die Bankmitarbeiter machen - um das dann nachzumachen und die Banksysteme für ihre eigenen Zwecke missbrauchen zu können. Die Phase der stillen Beobachtung dauerte laut Kaspersky zwei bis vier Monate.

Sobald sie genug über die Routinen der Bankangestellten erfahren haben, agieren die Angreifer selbst wie Bankangestellte. Sie überweisen sich Geld oder manipulieren Geldautomaten so, dass sie zu einem bestimmten Zeitpunkt Geld ausgeben. Trotzdem müssen sie auch ihre Spuren verwischen: Damit die Überweisungen von Privatkonten nicht auffallen, erhöhen die Angreifer in manchen Fällen vor der Überweisung das Kontensaldo um den zu stehlenden Betrag. So taucht in der Umsatzübersicht der Bankkunden zwar der gestohlene Betrag auf - aber weil der Kontostand gleich bleibt, ist das Aufdeckungsrisiko geringer. Weil die Banken laut Kaspersky nur durchschnittlich alle zehn Stunden die Konten überprüfen und die Betroffenen durch die Manipulation des Kontostands nicht sofort Verdacht schöpfen, bleibt genug Zeit für die unentdeckte Überweisung aufs eigene Konto.

Um direkt an Bargeld zu gelangen, programmieren die Angreifer bestimmte Geldautomaten so um, dass sie zu einem genauen Zeitpunkt Bargeld ausgeben. Ein Komplize wartet an dem entsprechenden Automaten, entnimmt das Geld und überweist es auf die Konten der Betrüger.

So erkennen Banken, ob sie betroffen sind

Diese Masche war höchst erfolgreich: Der Cyber-Bankraub begann vor zwei Jahren und ist wohl noch immer im Gang. Die Angreifer infiltrierten bislang mindestens 100 Banken in 30 Ländern, die meisten davon in Russland. Pro Bank konnten sie zwischen 2,5 und zehn Millionen Dollar (2,2 bis 8,8 Millionen Euro) entwenden - laut Kaspersky sicherlich insgesamt 300 Millionen, vielleicht aber auch bis zu einer Milliarde Dollar (875 Millionen Euro).

Kaspersky hat mittlerweile Hinweise veröffentlicht, anhand derer Banken eine mögliche Carbanak-Infektion erkennen können: Dateien mit .bin-Dateiendung in einem Mozilla-Verzeichnis, eine svchost.exe in einem ungewöhnlichen Unterverzeichnis von Windows, Windows-Dienste mit der Dateiendung .sys, die einen Windows-Dienst ohne Dateiendung .sys imitieren.

Aber die eigentliche Gefahr gehe gar nicht von solchen Dateien aus, warnt Kaspersky-Experte Sergej Glowanow: "Diese Diebstähle haben uns überrascht, weil es den Kriminellen egal war, welche Programme die Banken einsetzten." Die Angreifer nutzten die Software-Lücken letztlich nur aus, um in die Rolle eines Bankmitarbeiters zu schlüpfen und so unerkannt Transaktionen vornehmen zu können.

Das ist der eigentliche Clou der sogenannten Carbanak-Bande: Werden die jeweiligen Lücken geschlossen, müssen Angreifer nur eine neue Lücke suchen, und das Imitationsspiel geht weiter.

URL:


© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung