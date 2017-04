Finanzinstitut konnte Kunden nicht warnen – Minutiös geplanter Angriff erst durch Malware-Verbreitung aufgeflogen

Eine Cyberattacke selten gekannten Ausmaßes ist Unbekannten im vergangenen Oktober geglückt. Sie kaperten über drei Tage lang praktisch die komplette IT-Infrastruktur einer brasilianischen Bank. Aufgefallen war die Attacke erst, als die Angreifer gierig wurden.

Am 22. Oktober lieferten die Webseiten der Bank auf einmal Malware aus. Sie hatten Kontrolle über den Index erlangt, in diesen einen iFrame eingebettet und Besucher über diesen auf eine andere Adresse weitergeleitet, welche die gefährliche Fracht mitbrachte. Die Browser der Nutzer schlugen allerdings keinen Alarm, denn die Seite verfügte über ein gültiges Gratis-SSL-Zertifikat von Let’s Encrypt.

Alle Domains unter Kontrolle

Von diesem Vorfall ausgehend entdeckten Forscher des Sicherheitsanbieters Kaspersky das gesamte Ausmaß des Angriffs, wird auf Threatpost berichtet. Sie hatten Kontrolle über alle 36 Domains der Bank, vom Endkunden- bis zum Firmengeschäft.

Auf den Servern hatten sie verschiedene Module installiert, die Daten entschlüsselten, das Onlinebanking-System anzapften oder Adressinformationen abzweigten. Ein weiteres Modul bestand aus einer modifizierten Penetrationstest-Software, die eingesetzt wurde, um Sicherheitssoftware auf Computern im Banknetzwerk außer Gefecht zu setzen. Sämtliche Module kommunizierten mit einem Command & Control-Server in Kanada.

Man lieferte über die Webseiten der Bank Phishing-Seiten aus, um Kunden zur Eingabe von Zahlungsdaten zu bewegen. Dazu konnten sie auch das firmeneigene E-Mail-System abdrehen und auch die DNS-Einträge der Bank kontrollieren.

Monatelange Vorbereitung

Der Angriff soll zumindest fünf Monate im Voraus geplant worden sein, denn so alt ist das entdeckte Zertifikat von Let’s Encrypt. Dazu hatte man die Attacke an einem Samstag gestartet. Weil die Cyberkriminellen sich umfassende Kontrolle über die Systeme von Assolini verschafft hatten, konnte man dort weder unmittelbar den Registrar oder DNS-Provider kontaktieren, noch Kunden über den digitalen Einbruch in Kenntnis setzen.

Wie genau der Coup gelungen ist, ist unklar. Die Forscher vermuten einen erfolgreichen Phishing-Angriff auf den Registrar, infolge dessen man den Traffic zu ihren Domains umleiten konnte. Das betroffene Geldinstitut verfügt über rund 500 Standorte in Brasilien, Argentinien, den USA und den Caymans. Sie hat fünf Millionen Kunden und verwaltet ein Gesamtvermögen 25 Milliarden Dollar.

Dieser Angriff war aber laut Kaspersky nicht das Ende der Fahnenstange. Den Unbekannten soll es auch gelungen sein, neun weitere Banken rund um die Welt auf diese Weise zu kompromittieren. (red, 07.04.2017)