Wayne Huang, Sicherheitsexperte bei Proofpoint, hat es geschafft, sich Zugang zum Malware-System einer cyberkriminellen Gruppe zu verschaffen. Seine Ergebnisse wurden letzte Woche veröffentlicht und bieten einen seltenen Blick in die Anatomie einer Malware-Operation, einschließlich ihrer Infrastruktur, Werkzeuge und Betrugstaktiken.
Die Gruppe hinter den Angriffen hatte ein Botnet aufgebaut, in dem sie teilweise über eine halbe Million Computer kontrollierten. Diese nutzten sie unter anderem, um Zugangsdaten zu Onlinebanking-Seiten anzugreifen. Durch ein langsames Wachstum und der ständigen Umgehung einer Erkennung durch Antiviren-Software war die Gruppe in der Lage, über mehrere Jahre unentdeckt zu bleiben – bis Wayne Huang aufgrund einer Sicherheitslücke Zugang zum System der Kriminellen erlangen konnte.
Zwar steckt hinter dem Botnet kein besonders ausgeklügeltes System, aber die Taktiken, mit der die Gruppe ihr Netzwerk ausgeweitet hat und unentdeckt bleiben konnte, sind durchaus interessant. „Sie haben keine Massen-Injektionen durchgeführt. Es gab keine großen Kampagnen, sodass sie unter dem Radar der Leute fliegen konnten“, erklärt Huang. „Aber wenn sie einmal im System sind, bauen sie eine starke Backdoor ein.“
Vorgehen der Angreifer
In einem ersten Schritt haben die Betrüger auf dem digitalen Schwarzmarkt Passwörter und andere Daten aus früheren Sicherheitslücken gekauft. Damit hatten sie den Fuß in der Tür und konnten auf entsprechenden Webseiten eine Shell installieren, die ihnen einen SuperAdmin-Zugriff verschaffte. Gleichzeitig erlaubten sie dem regulären Besitzer der Webseite, wie gewohnt Updates durchzuführen.
Wenn alles nach Plan lief, konnte der Webseiten-Besitzer keinen Unterschied bemerken. Während dieser also nichts von der Beeinträchtigung ahnte, nutzten die Angreifer die eingebaute Backdoor, um die Benutzer, die diese Webseite aufrufen, mit Malware zu infizieren. Ziel war es, über das Aufzeichnen der Tastenanschläge die Anmeldinformationen zu Onlinebanking-Accounts abzugreifen. Laut dem Bericht war es der Gruppe auf diese Weise möglich, Zugangsdaten zu 800.000 Accounts zu stehlen.
Auf den meisten der infizierten Seiten wurden regelmäßig Viren-Prüfungen durchgeführt, doch die Angreifer waren so vorsichtig, nur Exploits zu nutzen, die einer Erkennung entgingen. Vor dem Hochladen eines Codes haben sie ihn mit der Datenbank Scan4U abgeglichen, welche die Daten von einer Vielzahl von Antiviren-Herstellern sammelt. Wenn das Exploit in der Datenbank enthalten war, haben sie den Code so lange verändert, bis er nicht mehr erkannt wurde.
Zudem hat die kriminelle Gruppe Tricks angewendet, um Sicherheitsexperten wie Huang von ihrer Fährte abzubringen. Bei dem Verdacht, dass es sich bei einem Seitenbesucher in Wirklichkeit um einen automatisierten Malware-Scanner handelt, wurde dieser auf eine saubere Version der Seite umgeleitet. Das gleiche galt für IP-Adressen, die von Sicherheitsfirmen genutzt werden.
Der Durchbruch
Doch das System der Angreifer war selbst nicht ohne Schwächen. Huang fand die Webadresse für die Systemsteuerung der Hacker. Diese hatten nicht daran gedacht, die Steuerung mit einem Passwort zu schützen. Als sie diesen Fauxpas korrigierten, war es schon zu spät.
Obwohl wir nun über all diese Informationen verfügen, ist es unwahrscheinlich, dass die Verantwortlichen in naher Zukunft rechtlich belangt werden. Denn es ist noch ein weiter Weg, das Netzwerk auf individuelle Personen zurückzuführen.
Allgemein verdeutlicht uns dieser Vorfall zum einen, dass der Schutz der eigenen Systeme ein Thema ist, das tatsächlich jeden betrifft – selbst Cyberkriminelle. Zum anderen zeigt er aber auch, dass es gerade in Bezug auf Botnets noch einiges zu tun gibt, um die Sicherheit der Nutzer zu verbessern.