Cyberkriminelle haben mindestens acht Banken in Osteuropa um insgesamt mehrere zehn Millionen Dollar erleichtert, berichtet die Sicherheitsfirma Kaspersky Lab. Bei diesen „Hacks“ operierten die Angreifer nicht nur aus der Ferne, sondern suchten unter einem Vorwand die Bankzentrale oder eine Zweigstelle auf, um dort unauffällig Geräte mit dem Netzwerk der Bank zu verbinden und sie gut versteckt zurückzulassen.
Die arglistigen Besucher tarnten sich beispielsweise als Paketkuriere oder Jobsuchende. So gelang ihnen etwa, die Geräte in Besprechungsräumen zu platzieren. Dort erwiesen sich Tische als besonders geeignet, deren Unterbauten die gewünschten Anschlüsse aufwiesen und das Verstecken erleichterten. Als Sprungbrett ins Banknetz kamen dabei mehrere Gerätekategorien zum Einsatz. Es konnten Netbooks oder günstige Notebooks sein, aber auch kompakte Einplatinencomputer der Produktreihe Raspberry Pi .
Noch weit unauffälliger aber war das Einschleusen von Bash Bunny, einem speziellen Hardwaretool, das einem üblichen USB-Stick ähnelt. Es ist für Penetrationstests gedacht und wird über Hackerforen angeboten. Bash Bunny ist am leichtesten zu verstecken und benötigt auch keine dedizierte Netzwerkverbindung, sondern nur den USB-Anschluss eines Computers. Im lokalen Netzwerk erscheint das Gerät als unbekannter Computer, ein externes Flash-Laufwerk oder sogar als Tastatur.
Der Fernzugriff auf das eingeschleuste Gerät erfolgte mit einem integrierten oder per USB-angeschlossenen Mobilfunkmodem. In den nächsten Phase scannten die Angreifer das lokale Netzwerk, um Zugriff zu öffentlich geteilten Ordnern, Webservern oder anderen offenen Ressourcen zu gewinnen. Damit wollten sie Informationen über das Netzwerk sammeln – und vor allem über Server und Workstations, über die Zahlungen abgewickelt wurden. Mit Brute-Force-Angriffen versuchten sie zugleich, an Log-in-Daten zu gelangen. Waren sie erfolgreich, gingen die Hacker zur dritten Phase über, meldeten sich beim Zielsystem an und setzten ausgeklügelte Malware für ihren Beutezug ein.
Es ist unbekannt, ob nur eine Angreifergruppe oder verschiedene Akteure mit derselben Methode aktiv waren, die von den Sicherheitsexperten auf DarkVishnya getauft wurde. Die Kaspersky-Spezialisten ermittelten im Auftrag betroffener Banken, die sie aufgrund von Vertraulichkeitsklauseln jedoch nicht nennen können.
„Selbst in Unternehmen, in denen Sicherheitsbedenken ernst genommen werden, ist das Einschleusen eines solchen Geräts nicht unmöglich“, kommentiert Kaspersky. „Postboten, Job-Bewerber sowie Kunden- und Partnervertreter gehen in den meisten Büros ein und aus, sodass Kriminelle versuchen können, sich als eine dieser Personen auszugeben.“
