SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

BIG DATA Marketing Day
27.02.18 - 27.02.18
In Wien

AUTOMATE IT 2018
01.03.18 - 01.03.18
In Hamburg, Schwanenwik 38

DIGITAL FUTUREcongress
01.03.18 - 01.03.18
In Frankfurt, Messe

HackerKaspersky Lab stellt die Ergebnisse einer mehr als einjährigen Untersuchung der Aktivitäten der Lazarus-Gruppe vor. Die berüchtigte Hackergruppe wird für den Diebstahl von 81 Millionen US-Dollar von der Zentralbank in Bangladesch im Jahr 2016 verantwortlich gemacht.

Über eine forensische Analyse von Artefakten, die die Gruppe in den Systemen südostasiatischer und europäischer Banken hinterlassen hatte, konnte Kaspersky Lab tiefe Einblicke darüber gewinnen, welche schädlichen Werkzeuge die Gruppe verwendet und wie ihre weltweiten Angriffe auf Finanzinstitutionen, Spielcasinos, Software-Entwickler für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich ablaufen. Mit Hilfe dieser Erkenntnisse wurden mindestens zwei weitere Operationen und damit der Diebstahl hoher Geldsummen bei Finanzinstituten vereitelt. Laut den Erkenntnissen von Kaspersky Lab ist die Gruppe nach wie vor aktiv.

Im Februar 2016 versuchte eine damals noch nicht identifizierte Gruppe von Hackern 851 Millionen US-Dollar zu stehlen. Es gelang ihr, eine Überweisung in Höhe von 81 Millionen US-Dollar von einem Konto der Zentralbank von Bangladesch zu tätigen – und damit einen Coup zu landen, der als einer der größten und erfolgreichsten Cyberüberfälle gilt. Die Experten mehrerer IT-Sicherheitsfirmen – darunter auch Kaspersky Lab – fanden heraus, dass hinter dem Angriff mit hoher Wahrscheinlichkeit die Gruppe Lazarus steckt; eine berüchtigte Cyberspionage- und Cybersabotage-Gruppe, die bereits seit 2009 weltweit für ganze Serien von wiederholten und verheerenden Angriffen auf Produktionsunternehmen, Medien und Finanzinstitute in mindestens 18 Ländern bekannt ist.

Obwohl man nach dem Angriff in Bangladesch mehrere Monate nichts mehr von der Gruppe gehört hatte, war Lazarus weiter aktiv und bereitete sich auf neue Operationen für den Gelddiebstahl bei anderen Banken vor. So hatte die Gruppe bereits einen Fuß bei einem südostasiatischen Finanzinstitut in der Tür. Nachdem die Lösungen von Kaspersky Lab und die anschließende Untersuchung den Cybereinbruch vereiteln konnten, zog sich die Gruppe erneut monatelang zurück, um dann ihre operative Tätigkeit in Richtung Europa zu verlagern. Auch hier wurden Angriffe durch die Sicherheitslösungen von Kaspersky Lab entdeckt, und mit Hilfe einer schnellen Vorfallreaktion (Incident Response), forensischer Analyse sowie Reverse Engineering der Experten von Kaspersky Lab verhindert.

Die Lazarus-Formel

Die Ergebnisse der forensischen Analyse durch Kaspersky Lab deuten auf folgende Vorgehensweise (siehe Infografik) der Gruppe hin:

  • Erstkompromittierung: Zunächst wird in ein einzelnes System innerhalb der Bank eingedrungen. Und zwar entweder über einen Code mit Schwachstellen (zum Beispiel auf einem Webserver) oder mit Hilfe eines Wasserlochangriffs über ein Exploit, das auf einer legitimen Webseite implantiert wird, auf die die Opfer (in diesem Fall die Bankangestellten) mit ihren Computern zugreifen. Dabei wird Malware heruntergeladen, die weitere Komponenten nachladen kann.
     
  • Hintertür: Danach wandert die Gruppe zu den weiteren Hosts der Bank und installiert dort langlebige Backdoors, also Malware, die ein beliebiges Kommen und Gehen der Angreifer zulässt.
     
  • Erkundung: Anschließend untersucht die Gruppe über Tage und Wochen das Netzwerk und identifiziert die für sie wertvollen Ressourcen. Das kann ein Backup-Server sein, auf dem Authentifizierungsinformationen abgelegt werden, ein Mail-Server beziehungsweise der komplette Domain Controller mit den Schlüsseln zu „jeder Tür“ im Unternehmen, oder ein Server, auf denen Prozessaufzeichnungen der Finanztransaktionen gespeichert werden.
     
  • Diebstahl: Schließlich installiert die Gruppe eine spezielle Malware, die die internen Sicherheitsfunktionen der Finanzsoftware umgeht und ihre betrügerischen Transaktionen im Namen der Bank ausführt.

Geografische Verteilung der Angriffe

Die von den Experten von Kaspersky Lab untersuchten Angriffe dauerten mehrere Wochen. Doch vermutlich operierten die Angreifer monatelang unbemerkt. So entdeckten die Experten beispielsweise während der Analyse des Vorfalls in Südostasien, dass die Hacker das Netzwerk der Bank bereits sieben Monate vor jenem Tag attackiert hatten, an dem das Sicherheitsteam der Bank die Vorfallreaktion angefordert hatte. Tatsächlich lag dieser Zeitpunkt noch vor dem Vorfall in Bangladesch. (siehe Infografik)

Gemäß den Aufzeichnungen von Kaspersky Lab tauchten seit Dezember 2015 bei den Aktivitäten von Lazarus Malware-Samples bei Finanzinstituten, Spielcasinos, bei Software-Entwicklern für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich in folgenden Ländern auf (siehe Infografik): Korea, Bangladesch, Indien, Vietnam, Indonesien, Costa Rica, Malaysia, Polen, Irak, Äthiopien, Kenia, Nigeria, Uruguay, Gabun, Thailand und verschiedenen anderen Staaten. Die jüngsten Samples entdeckte Kaspersky Lab im März 2017, die Angreifer sind also weiter aktiv.

Auch wenn die Angreifer so vorsichtig waren, ihre Spuren zu verwischen, begingen sie bei einem Server, in den sie im Rahmen einer anderen Kampagne eingedrungen waren, einen Fehler und hinterließen dort ein wichtiges Artefakt. Zur Vorbereitung ihrer Operationen wurde der Server als Command-and-Control-Center für die Malware konfiguriert. Am Tag der Konfiguration wurden die ersten Verbindungen zu einigen wenigen VPN- beziehungsweise Proxy-Servern aufgebaut, was auf einen Test für den Command-and-Control-Server hindeutet. Allerdings gab es an diesem Tag auch eine kurze Verbindung zu einer IP-Adresse in einem sehr selten genutzten Adressbereich in Nordkorea. Das könnte laut den Experten bedeuten, dass

  • die Angreifer sich von dieser IP-Adresse aus Nordkorea verbunden haben,
  • ein anderer Akteur unter falscher Flagge die Operation sorgfältig geplant hat
  • oder jemand in Nordkorea versehentlich die Command-and-Control-URL besucht hat.

Die Lazarus-Gruppe ist sehr darauf bedacht, immer wieder neue Varianten ihrer Malware zu erzeugen. Monatelang versuchten sie ein Set schädlicher Tools aufzubauen, das von Sicherheitslösungen nicht erkannt werden sollte. Jedoch gelang es den Experten von Kaspersky Lab jedes Mal, auch die neuen Samples aufzuspüren; und zwar über einige typische Merkmale, die bei der Erzeugung des Codes verwendet wurden.

„Wir sind sicher, dass Lazarus bald zurückkommen wird“, sagt Vitaly Kamluk, Head of Global Research and Analysis Team (GReAT) APAC bei Kaspersky Lab. „Angriffe wie die der Lazarus-Gruppe machen deutlich, wie sich geringfügige Fehler in der Konfiguration zu massiven Sicherheitsvorfällen ausweiten können und bei betroffenen Unternehmen möglicherweise Schäden in Höhe von Hunderten von Millionen Dollar anrichten können. Wir hoffen, dass weltweit die Verantwortlichen von Banken, Spielcasinos und Anlagegesellschaften beim Namen Lazarus misstrauisch werden.“

Die Lösungen von Kaspersky Lab erkennen und stoppen Malware der Lazarus-Gruppe unter den spezifischen Namen:

  • HEUR:Trojan-Banker.Win32.Alreay*
  • Trojan-Banker.Win32.Agent*

Kaspersky Lab stellt auch die zentralen Kompromittierungsindikatoren (Indicators of Compromise, IOC) sowie weitere Daten zur Verfügung, mit denen Organisationen die Spuren von Angriffen der Gruppe auf ihre Unternehmensnetzwerke erkennen können.

An alle Organisationen ergeht die dringende Bitte von Kaspersky Lab, ihre Netzwerke sorgfältig auf Anzeichen von Lazarus-Malware zu durchsuchen. Sollten diese entdeckt werden, muss die Infektion im System beseitigt werden. Außerdem sind die Strafverfolgungsbehörden und Vorfallreaktions-Teams zu verständigen.

Weitere Informationen:

GRID LIST
Tb W190 H80 Crop Int 06f6eb4c29171a4441de1ba66103d83b

Cryptomining-Kampagne mit Jenkins Server entdeckt

Check Point Software Technologies Ltd. (NASDAQ: CHKP), entdeckt riesige…
Cyber Attack

Wenn Angreifer Admin-Tools für Cyberattacken missbrauchen

Eine der schwierigsten Aufgaben bei der Suche nach versteckten Angreifern im Netzwerk…
Tb W190 H80 Crop Int 7c77460484978a4728239d15bea143e1

Malware über Zero-Day-Schwachstelle in Telegram

Die Sicherheitsexperten von Kaspersky Lab haben Angriffe aufgedeckt, die mittels einer…
Tb W190 H80 Crop Int 18b7ca49e8f858989fae8325fe356d18

PZChao: Spionage-Infrastruktur mit Cryptominer

Der Malware-Werkzeugkasten „PZChao“, verfügt über eine umfassende Infrastruktur zur…
Tb W190 H80 Crop Int 33e73b25261b4f94d72c7793df32609a

Mining-Trojaner auf Windows zum Schürfen von Kryptowährungen entdeckt

Die Schadcode-Analysten von Doctor Web entdeckten im Januar mehrere Mining-Trojaner, die…
Dr. Christoph Brennan

Hacker nutzen CISCO ASA Schwachstelle für Angriffe

Wo eine Schwachstelle ist, ist auch ein Angriff. Ein Kommentar von Dr. Christoph Brennan,…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security