Cyber-Crime: Hacker sollen Rubelkurs manipuliert haben
Über Trojaner-Infektionen erlangten Hacker Zugriff auf die Systeme einer kasachischen Bank. Das nutzten sie für millionenschwere Währungs-Geschäfte, die den Rubelkurs in Wallung brachten.
(Bild: dpa, Karl-Josef Hildenbrand/Symbol)
Einer Hackergruppe ist es im Februar 2015 offenbar gelungen, die Systeme der kasachischen Energo Bank zu infiltrieren und darüber kurzzeitig Einfluss auf den Wechselkurs des Rubel zu nehmen. Dem Bericht der Sicherheitsfirma Group IB zufolge nutzten die Angreifer einen Trojaner namens Corkow, der mehrere speziell auf Bankensoftware zugeschnittene Module enthält. Damit konnten sie in einer rund 14-minütigen Aktion über die Handelsysteme der Bank Währungs-Transaktionen im Wert von mehreren hundert Millionen US-Dollar lostreten, die den Rubelkurs durcheinanderwirbelten.
Im Anschluss an die Aktion gaben die Angreifer der Malware den Befehl sich selbst sowie Spuren ihrer Aktivität zu löschen. Gewinn haben die Hacker aus den sich plötzlich weit öffnenden Arbitragen trotzdem nicht geschlagen – Group IB geht davon aus, dass die Aktion lediglich ein Testlauf für die Möglichkeiten der Malware war.
Die Bank gewinnt nicht immer
Die heftigen Schwankungen des Kurses fielen durchaus auf: Laut dem Wirtschaftsnachrichtendienst Bloomberg habe die russischen Zentralbank den Fall mit dem Verdacht auf Marktmanipulationen untersucht, jedoch keine Unregelmäßigkeiten feststellen können. Die Moskauer Börse hatte bestritten, dass ein Fehler ihrer Systeme verantwortlich sei. Die betroffene kasachische Bank soll durch die Aktion Verluste in Höhe von 244 Millionen Rubel (aktuell rund 2,76 Millionen Euro) erlitten haben.
Der auch als Metel bekannte Corkow-Trojaner soll sich vor Antiviren-Software überaus effektiv verbergen: Die Mehrheit der betroffenen Systeme habe sich trotz installiertem Schutz angesteckt, meist als Drive-by-Infektion über verschiedene russische Websites. Die Malware erlaubt dann umfassenden Zugriff auf das infizierte System – von Keylogging bis zur Remote-Steuerung von Systemprozessen.
Rubel, Trubel, Kartenbetrug
Im August 2015 wurde die Malware laut Group IB auch bei einem Angriff auf Kartensysteme für die Abhebung von Visa und Mastercard genutzt. 250 Banken sollen betroffen gewesen sein, der entstandene Schaden habe sich auf mehrere Hundert Millionen Rubel belaufen. Group IB geht davon aus, dass der Trojaner ein Botnetz aus rund 250.000 infizierten Geräten formiert. Rund 100 Finanzeinrichtungen könnten betroffen sein.
Bislang konzentriert sich die Malware wohl auf Unternehmen in Russland und den Ex-Sowjetrepubliken. Group IB geht davon aus, dass die Hintermänner der Angriffe russischer Nationalität sind. Das war auch bei dem ebenfalls von Group IB analysierten Raubzug mit dem Anunak-Trojaner ähnlich (siehe: Anunak: So geht Bankraub im 21. Jahrhundert). Mit vermehrten Attacken in den USA und Westereuropa sei aber auch bald zu rechnen. (axk)
