Die erstaunliche Geschichte des Diebstahls von Geld durch einen Computervirus
 Die erstaunliche Geschichte des Diebstahls von Geld durch einen Computervirus |
Die erstaunliche Geschichte des Diebstahls von Geld durch einen Computervirus
Dies ist eine Geschichte von unserer GERT-Gruppe, die mit der Untersuchung besonderer Vorfälle beauftragt ist. Obwohl die Arbeit, die sie leisten, alles andere als Routine ist, ist sie hauptsächlich technisch. Der Versuch, eine Geschichte über ihre Untersuchung zu erzählen, erzeugt zum größten Teil einen überladenen Text mit technischen Details mit Programmnamen, Schadsoftware-Spitznamen, Ports, Code-Snippets usw. Es ist nicht immer interessant. Aber diese Geschichte ist etwas Besonderes.
Okay, hier ist die Geschichte für Sie. Vor einiger Zeit hat sich ein Unternehmen, das groß genug ist, um mit fünfstelligen und sechsstelligen Beträgen zu arbeiten, an Experten gewandt und sie gebeten, etwas offensichtlich Unreines zu betrachten. Kurz gesagt, die Bank, mit der sie zusammengearbeitet haben, hat sie gebeten, eine große ausgehende Zahlung zu bestätigen. Das Problem ist, dass es überhaupt keine Zahlung geben sollte. Der Manager, der für diese Zahlungen verantwortlich war, war zum Zeitpunkt des Versuchs, die Transaktion abzuschließen, beim Mittagessen. Eine weitere Zahlung – zehnmal kleiner (aber immer noch ziemlich groß) – wurde bereits durchgeführt und alarmierte die Bank in keiner Weise. Auch hier hatte niemand in der Firma eine Ahnung davon.
Die Situation war schlimm genug, dass die Vertreter des Unternehmens eine Malware-Intervention vermuteten. Dieser Verdacht bestätigte sich in den ersten Tagen der Ermittlungen. Und es war etwas Beeindruckendes, aus der Kategorie «grob, aber effektiv». Obwohl Hacker einen großen Fehler gemacht haben.
Experten haben ein Image der Festplatte des Computers der angegriffenen Organisation, untersuchte und fand bald die verdächtige E-Mail gesendet wurde vermutlich aus der staatlichen Steuerdienstes mit der bitte sofort bieten einige Dokumente.
Tatsächlich wurde die Überschrift der Nachricht in Großbuchstaben geschrieben und mit vielen Ausrufezeichen versehen, was nicht ganz im Stil eines offiziellen Briefes des Landesamtes steht. Es sollte also tatsächlich einen Verdacht erregen. Anscheinend war der Buchhalter in gewisser Weise von den Worten «Federal Tax Service» hypnotisiert. Übrigens waren die Namen und Adressen von Beamten des Steuerdienstes in der Nachricht ziemlich real.
Im Allgemeinen wurde dieses Dokument geöffnet, indem Exploit freigelassen wurde.MSWord.CVE-2012-0158. Der Exploit lud dann die archivierte Datei von einem Remote-Computer herunter, der wiederum die Backdoor herunterzog.Win32.RMS. Diese Hintertür wurde für ein paar Tage verwendet, um die Aktivität eines Buchhalters zu überwachen. Dann wurden zwei weitere Malware mit dieser Hintertür heruntergeladen - der Trojan-Spy Keylogger.Win32.Delf und Backdoor.Win32.Agent. Der Keylogger wurde verwendet, um das Passwort des Buchhalters für die Banksoftware zu stehlen, und die zweite Hintertür wurde verwendet, um die Kontrolle über den Computer selbst abzufangen und ihn fernzusteuern.
Das ist nicht alles. Als die Untersuchung zu Ende ging, enthüllten die Experten eine weitere kuriose Tatsache. Die Angreifer rollten ein spezielles Netzwerk von Befehlsservern aus, um ihre Malware zu kontrollieren, machten aber einen Fehler, der es Kaspersky-Lab-Spezialisten ermöglichte, die IP-Adressen anderer Computer herauszufinden, die mit dem Trojaner-Spy infiziert waren.Win32.Delf.
In den meisten Fällen handelte es sich um Computer, die zu kleinen und mittleren Unternehmen gehörten. Der letzte Umstand berührt ein weiteres Problem. Wie oft infizieren Kriminelle das Netzwerk eines Unternehmens, um ein anderes erfolgreich anzugreifen? Das erste Unternehmen ist sich der Malware, die von seinen Servern läuft, möglicherweise gar nicht bewusst (oder sogar ein paar ungewöhnlichere Geräte wie drahtlose Modems, zum Beispiel, warum nicht?). Und so können Schädlinge lange Zeit unbemerkt bleiben. Ein weiterer Beweis für die Treue der Worte, dass Cybersicherheit jedermanns Sache ist.