Die MoneyTaker-Gruppe macht auch 2018 weiter Schlagzeilen in Sachen Online-Bankeinbrüche. Ihre Methode funktioniert mittlerweile offenbar bestens. Letztes Opfer war die russische PIR Bank, die um 58 Mio. Rubel, etwa 792.000 Euro, erleichtert wurde.
Am 04. Juli ging alles ganz schnell nach etwa fünf Wochen Vorbereitungszeit und etlichen mehr davor, um das Opfer überhaupt erst einmal ausfindig zu machen und auszukundschaften. Die Hackertruppe hinter den MoneyTakers hat inzwischen aber schon viel Erfahrung. Schätzungsweise etwa 20 Online-Bankdiebstähle gehen inzwischen auf ihr Konto. MoneyTakers nutzt außerdem ganz hervorragende Tools, darunter das Metasploit-Exploit-Framework, das PowerShell-Management-Framework von Microsoft und verschiedene Visual-Basic-Skripte. Viele davon sind frei verfügbare Tools, einige sind ganz spezielle Malware-Programme, wie das MoneyTaker v5.0. Aufgrund ihrer Angriffstechniken und der verwendeten Tools, konnte das Sicherheitsunternehmen Group-IB den Angriff in Russland entsprechend zuordnen.
Etwa Ende Mai 2018 ging es offiziell los. Die Hacker nutzten einen Router einer regionalen Niederlassung der PIR Bank aus. Dieselbe Masche hatte bereits in drei anderen Fällen bestens funktioniert. Über eine Schwachstelle im Cisco 800 Series Router mit iOS 12.4 gelang über einen Tunnel der Zugang zum lokalen Hauptnetzwerk der PIR Bank. Laut Hersteller wird dieser Router bereits seit 2016 nicht mehr mit Updates versorgt.
Dort verschafften sie sich Zugriff auf den Automated Work Station Client der russischen Zentralbank (AWS CBR), ein System zur Kommunikation von Banken untereinander, ähnlich dem SWIFT-Messaging-System. Dann war es nur noch die Aufgabe, verschiedene Transaktionen an 17 Fremdkonten abzusenden. Die Transaktionen bei der PIR Bank waren aufgrund der hohen Beträge zwar aufgefallen. Allerdings konnte die PIR Bank die Zahlungsaufträge nicht mehr aufhalten. Helfershelfer der Hackertruppe hoben die Beträge sofort von verschiedenen Bankautomaten aus ab. Die digitalen Spuren wurden noch kurz beseitigt und auch noch sogenannte Reverse-Shell-Programme auf dem System der Bank versteckt. Dann war der Coup beendet. Reverse-Shells liegen in Wartestellung und werden nach neuen Befehlen entsprechen wieder aktiv und bereit für neue Angriffe.
Laut Group-IB konnten die Reverse-Shells jedoch identifiziert und vom Netzwerk entfernt werden. Die PIR Bank hat es noch geschafft die Verluste etwas zu minimieren, aber der größte Teil der gestohlenen Summe ist für sie verloren.
Artikel von arstechnica.com, 19.07.2018: $1 million heist on Russian bank started with hack of branch router
Artikel von bankinfosecurity.com, 20.07.2018: Bank Hackers Exploit Outdated Router to Steal $1 Million
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0