Anunak: So geht Bankraub im 21. Jahrhundert
Die Security-Spezialisten von Fox-IT und Group-IB dokumentieren die Aktivitäten einer russischen Bande, die in die Netze von Banken eingebrochen ist und von dort aus Geldautomaten ausgeräumt hat. Rund 25 Millionen Dollar haben die so geklaut.
Statt via Online-Banking-Betrug Tausende Opfer um ein paar Tausend Euro zu bestehlen, gingen diese Hacker direkt an die Quelle: Über 50 russische Banken und 5 Bezahlsysteme haben sie im Lauf des letzten Jahres beraubt und dabei rund 25 Millionen Dollar erbeutet. Das besondere daran: Fox-IT und Group-IB, die die Einbrüche analysiert haben, dokumentieren die Vorgehensweise beim Anunak-Raubzug und die eingesetzten Tools der Bande. Und das ist überaus lehrreich – auch wenn man keinen Bankraub plant.
Einstiegstor PC
Am Anfang eines Raubzugs stand typischerweise ein infizierter Windows-PC irgendwo im Netz der Bank. Dafür kauften die Cyber-Gangster etwa den Betreibern von großen Bot-Netzen die aktuellen IP-Adressen ihrer Zombies ab, siebten diese auf solche in den IP-Ranges von Banken und zahlten dann nochmals für die Installation spezieller Spionage-Software auf dem PC des so identifizierten Opfers. Bei einer anderen Masche wurden ganz gezielt bereits kompromittierte Accounts im Umfeld von Banken genutzt, um in deren Namen Geschäftskontakte und das damit verbundene Vertrauen in den bekannten Absender auszunutzen. Dann installierte eine – manchmal sogar vorab durch einen Anruf angekündigte – Rechnung den speziell maßgeschneiderten Anunak-Trojaner.
Von dort aus hangelten sich die Hacker dann im Netz der Bank weiter. Sie nutzten dabei das komplette Arsenal von bekannten Hacking-Tools; Metasploit war offenbar einer der Favoriten und wurde dabei maximal ausgenutzt: dessen Funktionen zum "Scannen, Exploiten, fĂĽr Privilege Escalation und Persistenz via Post-Exploitation" kamen zum Einsatz. Aber auch Spezial-Tools wie den bekannten Passwort-Knacker Cain&Abel nutzten sie.
Gekaperte System wurden oft mit der Fernwartungs-Software Ammyy Admin oder TeamViewer überwacht. Außerdem nutzten die Einbrecher eine modifizierte Version von Mimikatz, einem Tool das Windows-Passwörter und Kerberos-Tickets aus dem Arbeitsspeicher des Systems extrahiert. Wer sich einmal auf einem derart infizierten System anmeldet, dessen Passwort ist kompromittiert. Und wenn das der Domain-Admin ist, der sich der Einfachheit halber auf allen Systemen gleich anmeldet, dann liegt dem Angreifer das Netz zu Füßen.
Server attackierten die Bankräuber unter anderem über spezielle SSH-Backdoors, die die für den Server-Login genutzten SSH-Credentials klauten. Besonderen Wert legten die Angreifer in diese Phase darauf, die Kontrolle über den E-Mail-Server zu erlangen und schreckten dabei auch nicht vor Lotus Notes und MS Exchange zurück. So bekamen sie unter anderem frühzeitig mit, wenn ihre Aktivitäten einen Alarm ausgelöst hatten und konnten Gegenmaßnahmen ergreifen.
Der Weg zum Geldautomaten
Über Admin-Accounts und entsprechende Modifikationen der Firewalls drangen die Hacker schließlich auch in die separierten Netze für die Geldautomaten vor. Auf denen installierten sie dann zum Beispiel eine speziell modifizierte Version einer Debug-Software namens KDIAG32. Diese hat eine Funktion zur Ausgabe von Banknoten, die normalerweise nur dann funktioniert, wenn die Tür des Automaten geöffnet ist. Die trojanisierte Version unterschied sich vom Original nur darin, dass diese Sicherheitsabfrage herausoperiert wurde.
Ein anderer Trick war es, in der Registry des Geldautomats – viele davon laufen unter Windows – eine bestimmten Schlüssel zu ändern. Der Skript-Befehl
REG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\
Wincor Nixdorf\ProTopas\CurrentVersion\
LYNXPAR\CASH_DISPENSER”
/v VALUE_4 /t REG_SZ
/d “100” /f
erklärt dem Geldautomaten, dass in der Schublade 4 mit den 5000ern die 100-Rubel-Scheine liegen. Hebt der Angreifer danach 1000 Rubel in Hundertern ab, bekommt er statt dessen zehn 5000-Rubel-Scheine – also 50.000 Rubel. Im Schnitt dauerte es rund 42 Tage vom ersten infizierten PC bis zu einem solchen Geldraub.
Gefahr nicht nur fĂĽr Russland
Wer glaubt, solche Tricks funktionierten nur im fernen Russland, liegt schief: Die so attackierten Automaten stammen von der deutschen Firma Wincor Nixdorf. Überhaupt kommen die Security-Experten von Fox-IT und Group-IB zu dem Schluss, dass "die Methoden der Angreifer sehr wohl auch gegen Banken außerhalb Russlands eingesetzt werden können". Dass die Ambitionen keineswegs auf Osteuropa beschränkt sind, beweisen westliche Einzelhandelsketten, bei denen die Anunak-Gruppe Bezahl-Terminals mit spezieller Malware infizierten. Vielleicht gehört ja die Staples-Gruppe dazu. (ju)