Die Hackergruppe Carbanak operiert weltweit
Sie haben den Angreifer nicht bemerkt, der hinter ihnen lauerte. Der sie beobachtete, unsichtbar und still. Der jede ihrer Bewegungen verfolgte, von ihnen lernte, Tag für Tag. Wenn die Bankangestellten morgens zur Arbeit kamen und ihre Computer starteten, war er schon da – und blickte durch Überwachungskameras hinab auf ihre Bildschirme, merkte sich jede Bewegung des Mauszeigers, jeden Klick. So lange, bis er sich ganz sicher war. Bis er bereit war zuzuschlagen.
Eine internationale Hackergruppe hat offenbar eine Milliarde Dollar gestohlen. Von 100 Finanzinstituten in 30 Ländern. In einem Raubzug, der zu den größten und raffiniertesten der Geschichte gehört. Und der wohl noch immer andauert.
Wie das russische IT-Sicherheitsunternehmen Kaspersky mitteilt, sollen Cyberkriminelle aus Russland, der Ukraine, der EU und China das Geld in den vergangenen zwei Jahren entwendet haben – mithilfe der Videokameras, die in den Büros der Banken an Wänden und Decken hängen.
Immer nach ähnlichem Muster
Gemeinsam mit Interpol und Europol habe man die Attacken entdeckt, erklärt Kaspersky. Die Angriffe zielten etwa auf Russland, die USA und China, aber auch auf Frankreich, Großbritannien, die Schweiz – und Deutschland. Neun Banken sollen hierzulande betroffen sein, mindestens. „Der Vorgang markiert den Beginn einer neuen Phase in der Entwicklung der Cyberkriminalität, in der Geld direkt von Banken anstatt von Heimanwendern gestohlen wird“, heißt es bei Kaspersky.
Der Raubzug einer internationalen Hacker-Gruppe dauert wohl noch immer an
Die Überfälle sollen alle nach einem ähnlichen Muster verlaufen sein. Eine Gruppe namens Carbanak sei zunächst in die Computer von Bankmitarbeitern eingedrungen. Nicht in alle, nur in die wichtigsten – man wollte das Unternehmen ja nicht lahmlegen. Im Gegenteil, man wollte verstehen, wie es funktioniert. Wie die Angestellten arbeiten, welche Eingabemasken sie aufrufen, in welche Felder sie tippen.
Carbanak nutzte Kaspersky-Forschern zufolge Phishing-Methoden: Die Gruppe schickte Nachrichten mit Schadprogrammen an einzelne Angestellte – von vertrauten Adressen aus. Denn zuvor hatten die Täter die Mail-Konten von Geschäftspartnern der Institute gehackt.
Dann infizierten sie die Netzwerke der Banken, Rechner um Rechner, bis sie auf die alles entscheidenden Geräte stießen: auf die Computer der Administratoren. Dort installierten sie Remote Access Tools, kurz RATs. Das sind Programme, die PCs durchleuchten und auch Passwörter mitschneiden können.
„Keine Branche ist immun“
Doch das ist nicht alles. Der Carbanak-Trojaner verschaffte den Hackern auch Zugang zur Steuerung der Videoüberwachung: Sie konnten alles einsehen und aufnehmen, was sich auf den Bildschirmen der Mitarbeiter abspielte. Später haben sie die Aktivitäten der Angestellten imitiert, um Geld zu überweisen.
Bis zu zehn Millionen Dollar sollen die Cyberräuber je Überfall erbeutet und bei Banken in China oder Amerika hinterlegt haben. Für einen Überfall – von der Infizierung des ersten Computers im Unternehmensnetzwerk bis zum eigentlichen Diebstahl – sollen die Täter zwischen zwei und vier Monate benötigt haben.
„Diese Attacken unterstreichen, dass Kriminelle jede Schwachstelle in jedem System ausnutzen werden“, sagt Sanjay Virmani, Cyberermittler bei Interpol. „Es gibt keine Branche, die immun gegen Attacken ist.“
Die Videoüberwachung war nur eine Methode in dem globalen, mehrjährigen Beutezug. Die Hacker hatten es auch geschafft, Kontrolle über Geldautomaten zu übernehmen. Sie konnten die Maschinen anweisen, Scheine auszugeben. Wo sie wollten, wann sie wollten. Aber vor allem: in welcher Höhe sie wollten.
Dafür änderten sie mit einer Fernwartungssoftware die voreingestellten Geldscheinwerte. Sie täuschten den Geräten vor, dass in den Fächern nur kleine Noten lagen – obwohl in Wahrheit große darin steckten. Ein Komplize der Gruppe wartete vor dem Schlitz und kassierte ein Vielfaches der angeforderten Summe ein. Ausgeklügelt. Filmreif. Aber auch: gefährlich.
Ein Geldautomat, der offenbar zufällig Banknoten ausspuckt, gesteuert wie von Geisterhand – da mussten die Banken irgendwann hellhörig werden. Da musste Carbanaks großer Coup auffliegen.
In Kiew flog Carbanak auf
Es geschah in Kiew, an einem Tag im Winter 2013. Der Automat einer Bank hatte Scheine bereitgestellt, ohne dass jemand eine Karte eingeführt hätte. Kameras zeichneten auf, wie Kunden vor die Maschine traten und das Geld einsteckten, scheinbar zufällig, einfach im richtigen Moment. Die Bank beauftragte die Experten von Kaspersky mit Ermittlungen.
Und die machten eine Entdeckung, die vieles, was sie bis dahin gesehen hatten, in den Schatten stellte. Kriminelle hatten nicht etwa nur einen Geldautomaten gehackt. Sie hatten die Computer der Bankangestellten infiltriert und die Kameras angezapft. Sie konnten das Geschehen auf den Monitoren miterleben. Sie sahen alles. In Echtzeit.
Auch seien sie in das Herz der Buchhaltungssysteme eingedrungen, um Kontensaldi zu erhöhen und sich dann die überschüssigen Geldmittel zu überweisen. Dabei hätten die Angreifer über das Computersystem den Kontostand um den Betrag erhöht, den sie anschließend an sich selbst transferiert hätten. So seien den Inhabern keine Unregelmäßigkeiten aufgefallen.
„Anunak“-Trojaner erbeutete 25 Millionen Dollar
Die Methoden der Hacker sind erstaunlich komplex – und perfekt auf jede angegriffene Bank, auf jedes einzelne Sicherheitssystem abgestimmt. Dennoch nutzten die Cyberdiebe offenbar modifizierte Standardprogramme wie Metasploit oder Fernwartungssoftware wie TeamViewer.
„Das Überraschende an diesen Banküberfällen war, dass es den Kriminellen egal war, welche Software die Bank nutzte“, sagt Sergej Golowanow, einer der führenden Köpfe in der Forschungsabteilung von Kaspersky. „Daher sollten Banken sich nicht in Sicherheit wiegen, selbst wenn sie eine einzigartige Software verwenden.“
Die Hacker hätten es verstanden, ihre Attacken hinter legitimen Aktionen zu verstecken – das mache sie so gefährlich. „Alles in allem ein sehr geschickter und professioneller Cyberraub“, sagt Golowanow.
Fraglich ist, ob die Kaspersky-Leute tatsächlich die Ersten sind, die Carbanak entdeckt haben. Ende 2014 beschrieben die IT-Dienstleister Fox-IT und GroupIB einen Ring, der etwa 50 russische Banken angegriffen hatte – und dabei mit ähnlichen Methoden vorgegangen war.
Er nutzte einen Trojaner namens „Anunak“, um die Banken auszuspionieren. 25 Millionen Dollar hatten die Internetdiebe in Russland erbeutet. Angesichts der Parallelen zwischen dem Carbank- und dem „Anunak“-Trojaner könnte es sich um dieselbe Gruppe handeln.
Dieser Artikel erschien zuerst in der Welt.