-
-
folge blueBit auf Facebook -
folge blueBit auf Twitter@blueBit_News folgen -
folge blueBit auf Google Plus
-
von Robert Klatt •
Angreifer haben in einer Reihe von Banken kleine Computer installiert mit denen sie über das Mobilfunknetz kommuniziert haben.
Kaspersky hat eine Reihe von Angriffen auf osteuropäische Banken aufgedeckt, bei denen Angreifer infizierte Laptops, Raspberry Pis oder Bash Bunnys oder in die Standorte der Geldinstitute eingeschleust haben. Anschließend wurde bei dem 'Dark Vishnya' getauftem Angriff die eingeschleusten Geräte über öffentlich zugängliche USB- oder LAN-Anschlüsse mit dem lokalen Netzwerk der Bank verbunden. Dies ist besonders mit Bash Bunnys unauffällig möglich, da diese kleinen Minicomputer im USB-Stick-Format von normalen Anwendern kaum bemerkt werden, wenn sie einmal installiert wurden. Da die Angriffe über das lokale Netzwerk erfolgten und kein Zugriff über das Internet nötig war, konnten die Hintermänner so die meisten Sicherheitsmaßnahmen der Banken umgehen.
Laut Kaspersky ist es wahrscheinlich, dass die Hardware durch Personen im Gebäude installiert wurde, die sich als Postboten, Bewerber oder Kunden getarnt haben. Möglich war diese Angriffsmethode, da in den betroffenen Banken, wie bei den meisten anderen Unternehmen auch, in öffentlichen Bereichen LAN-Anschlüsse vorhanden sind, in deren Nähe sich die kompakte Hardware leicht verstecken lässt.
Nikolay Pankov, Social Media Editor bei Kaspersky:
"Je größer die Büros eines Unternehmens sind, desto besser. Es ist viel einfacher, ein bösartiges Gerät in einem großen Büro zu verstecken - und besonders effektiv, wenn eine Firma mehrere Büros weltweit an dasselbe Netzwerk angeschlossen hat."
Die Kommunikation mit den Geräten der Angreifer erfolgte von außerhalb über GPRS/3G/LTE-Modems mit denen die Hacker dann auf das Netzwerk der Banken zugreifen konnten. Dort haben die Angreifer dann nach Ordnern, Computern und Servern gesucht, auf die sie Zugriff nehmen konnten.
Sergey Golovanov, Malware-Spezialist bei Kaspersky:
"Gleichzeitig versuchten die Angreifer, Login-Daten für diese Maschinen abzugreifen oder per Brute-Force zu erlangen. Um Firewall-Beschränkungen zu umgehen, platzierten sie Shellcodes mit lokalen TCP-Servern und wenn eine Firewall den Zugriff von einem Netzwerksegment auf ein andere blockiert, aber eine Reverse Connection erlaubt, nutzten die Angreifer eine angepasste Payload, um einen Tunnel zu öffnen."
Wie Kaspersky erklärt ist ein Schutz vor diesem Angriffstyp nur schwer möglich. Auch die Bekämpfung macht den Experten Schwierigkeiten, da der Ursprung nur schwer gefunden werden kann. Im schlimmsten Fall kann es nötig seien, dass alle verfügbaren USB- und Ethernetports physisch überprüft werden, um die Hardware des Angreifers ausfindig zu machen. Als Schutz empfiehlt Kaspersky es allen Unternehmen Ethernet- und USB-Anschlüsse zu deaktivieren, die nicht benötigt werden und die sich in frei zugänglichen Bereichen eines Gebäudes befinden.