Carbanak: Kriminelle sollen Millionen durch Bankhacks erbeutet haben

Hacker sollen angeblich Hunderte Millionen US-Dollar von über 100 Banken in 30 Ländern erbeutet haben. Kaspersky Lab berichtet, dass dabei die Rechner von Bankangestellten durch Malware über E-Mail-Links verseucht und dann ihre PCs ausspioniert und fernbedient worden seien.

Artikel veröffentlicht am ,
Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen.
Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen. (Bild: epSos.de/CC BY 2.0)

Es soll ein Bankbetrug im großen Stil gewesen sein. Innerhalb mehrerer Jahre sollen Kriminelle Banken weltweit um bis zu eine Milliarde US-Dollar geschädigt haben. Dabei wurden gezielt die PCs von Bankangestellten angegriffen, wie Kaspersky Lab berichtet. Interpol, Europol und andere Ermittlungsbehörden sind an der Aufklärung beteiligt. Die New York Times hatte zuerst über den "virtuellen Bankraub" berichtet.

  • Weltweit sind Banken von Carbanak getroffen worden. (Bild: Kaspersky Lab)
  • Die Spuren, die Carbanak hinterließ (Bild: Kaspersky Lab)
  • So gingen die Cybergangster vor. (Bild: Kaspersky Lab)
So gingen die Cybergangster vor. (Bild: Kaspersky Lab)

Die Kriminellen sollen seit zwei Jahren tätig gewesen und Teil einer Bande sein, deren Mitglieder aus Russland, der Ukraine, weiteren Teilen Europas sowie China stammen.

In Ermittlerkreisen wird die Gruppierung Carbanak genannt. Sie attackierte nicht Heimanwender und ihre Homebanking-Aktivitäten oder Geldautomaten-Transaktionen, sondern die Banken selbst, die nach Angaben von Kaspersky Labs ihren Sitz in Deutschland und in der Schweiz sowie in Russland, den USA, China, Ukraine, Kanada, Hongkong, Taiwan, Rumänien, Frankreich, Spanien, Norwegen, Indien, Großbritannien, Polen, Pakistan, Nepal, Marokko, Island, Irland, Tschechien, Brasilien, Bulgarien und Australien haben.

Pro Schadenvorgang sollen bis zu 10 Millionen US-Dollar erbeutet worden sein. Jeder Angriff soll nach den Informationen von Kaspersky Labs, die den "Überfall" publik gemacht haben, etwa 2 bis 4 Monate gedauert haben. Dabei mussten die Täter mehrere Hürden überwinden. Zum einen musste erst einmal der passende Mitarbeiter ausfindig gemacht werden, sein Rechner durch eine E-Mail infiziert, dann das Netzwerk mit Hilfe der Malware überwacht, das Verhalten der Mitarbeiter ausspioniert und schließlich der eigentliche Betrug durchgeführt werden.

Spear-Phishing und Videoüberwachung gegen Bankangestellte

Die Methode nennt sich Spear-Phishing und erfordert erheblich mehr Aufwand als eine normale Phishing-Attacke, weil sie zielgerichtet auf das Opfer zugeschnitten wurde. Dabei wird Vertrauen zur Zielperson aufgebaut und ein E-Mailverkehr initiiert, der letztlich dazu dient, dass ein Link zu einer Malware angeklickt wird, die den Kriminellen dann weitere Möglichkeiten gibt, ihren eigentlichen Angriff durchzuführen.

Nach Informationen von Kaspersky Labs wurde dann der für die Videoüberwachung zuständige Rechner der Administratoren aufgespürt und übernommen, um die Bildschirme der Angestellten einzusehen. Dabei wurde auch eine Remote-Desktop-Funktion verwendet. Die Kriminellen konnten die Arbeitsweise der Bankangestellten erkennen und imitieren. So kam es auch zu dem Eindruck, die Bank sei gar nicht angegriffen worden.

Kriminelle überwachen Bankangestellte

Die Kriminellen konnten so Online-Banking- oder internationale E-Payment-Systeme nutzen, um Geld abzuzweigen und auf die Konten anderer Banken zu überweisen. Selbst in Buchhaltungssystemen wurde gearbeitet: Die Angreifer erhöhten Saldi und überwiesen danach die "überschüssigen" Mittel auf andere Konten. So wurde der ursprüngliche Kontobetrag gar nicht angetastet. Auch Geldautomaten sollen angewiesen worden sein, zu bestimmten Zeiten Auszahlungen vorzunehmen. Genaue Details wurden - wohl auch aus Gründen der Geheimhaltung - nicht veröffentlicht. Unklar ist, wie die Sicherheitssysteme der Banken überwunden und vor allem die interne Kontrolle so lange überlistet werden konnte.

"Diese Attacken unterstreichen wieder einmal, dass Kriminelle jede Schwachstelle in jedem System ausnutzen werden. Klar wird zudem: Es gibt keine Branche, die immun gegen Attacken ist. Sicherheitsabläufe müssen ständig überprüft werden", so Sanjay Virmani, Direktor des Interpol Digital Crime Centre.

Nach Angaben des Sicherheitsunternehmens sind Spuren von Carbanak im Verzeichnis "\Windows\catalogue" zu finden. Dort befindet sich das Tool Paexec. Zudem sollen sich Dateien mit der Erweiterung ".bin" in den Verzeichnissen "all users\%AppData%\Mozilla" oder in "c:\ProgramData\Mozilla" befinden. Dazu ist eine svchost.exe in "Windows\System32\com\catalogue" oder "Windows\Syswow64\com\catalogue" zu finden. In den aktiven Diensten sollte der Admin ebenfalls nachsehen. Dort versucht sich ein Dienst zu tarnen, der an vollkommen reguläre Namen von Diensten ein "sys" anhängt. Läuft der vollkommen normale Dienst "aspnet" wird beispielsweise eine Instanz von "aspnetsys" gestartet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Forcepoint
Carbanak nutzt Google-Dienste für Malware-Hosting
artikel-bild
China
Westliche Firmen sollen geheimen Quellcode herausgeben
artikel-bild
E-Mail-Clients für Android
Kennwörter werden an App-Entwickler übermittelt
Meistgelesen
artikel-bild
Quartalszahlen
So verkauft Elon Musk Teslas Schrumpfkurs als Wachstum
artikel-bild
Blaupunkt Ring im Test
Ein Ring, sich zu knechten
artikel-bild
Elektro-Limousine
BMW wertet den i4 mit neuem Design und Serienextras auf
Kommentarübersicht
Re: Bankmitarbeiter mit Linux ...
__destruct() 16. Feb 2015

Was meinst du damit? Ich habe gerade in einem golem.de-Artikel das Wort "Havana" auch mit...

Ordner
mg4711 16. Feb 2015

Die im Artikel beschriebenen Ordner sehen irgendwie falsch aus: "all users\%AppData...

Re: Carbanak
thinkagain 16. Feb 2015

Regierung die beteuert Terrorismus das ist klar. Mehr Überwachung. Aufstachlung. Neue...

Re: Na...?
DaObst 16. Feb 2015

Finanzterrorismus? Dafür müssen wir keinem Russen oder Chinesen was in die Schuhe...

Aktuell auf der Startseite von Golem.de
Quartalszahlen
So verkauft Elon Musk Teslas Schrumpfkurs als Wachstum

Nur 3 statt 20 Millionen Autos, Investitionen in neue Fabriken wurden gestrichen und die 4680-Akkus waren angeblich nie wichtig für Tesla.
Eine Analyse von Frank Wunderlich-Pfeiffer

Quartalszahlen: So verkauft Elon Musk Teslas Schrumpfkurs als Wachstum
Artikel
  1. General Atomics Mojave: US-Drohne mit Miniguns schießt mit 6.000 Schuss pro Minute
    General Atomics Mojave
    US-Drohne mit Miniguns schießt mit 6.000 Schuss pro Minute

    General Atomics hat eine Großdrohne mit zwei Miniguns getestet, die eine Kadenz von 6.000 Schuss pro Minute erreichen.

  2. Elektro-Limousine: BMW wertet den i4 mit neuem Design und Serienextras auf
    Elektro-Limousine
    BMW wertet den i4 mit neuem Design und Serienextras auf

    Der BMW i4 bekommt ein Technik- und Designupdate, das die Attraktivität des vollelektrischen Mittelklasse-Fahrzeugs steigern soll.

  3. Produktionsstopp Fisker Ocean: Magna Graz streicht 500 Stellen
    Produktionsstopp Fisker Ocean
    Magna Graz streicht 500 Stellen

    Nach dem Produktionsstopp des Elektroautos Fisker Ocean wird Magna Steyr rund 500 Stellen abbauen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt: Asus Gaming-Laptop 999€ statt 1.599€ • Galaxy S23 400€ günstiger • Anker USB-Ladegeräte -45% • MSI MEG 342CDE OLED 999€ • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /