In den letzten Tagen wurde von einem großen Cyber-Angriff unter dem Namen „Carbanak“ berichtet. Demnach gelang es Unbekannten aus über 100 Banken bis zu eine Milliarde US-Dollar abzuziehen. Die Angriffswelle begann Ende 2013 und ist weiterhin aktiv. Carbanak wurde in der Presse als die „modernste“ oder bislang „anspruchsvollste“ Cybercrime-Kampagne beschrieben. Formulierungen wie diese werden immer wieder herangezogen, um Angriffe dieser Größenordnung zu beschreiben. Enterprise-Security-Spezialist Palo Alto Networks hat diesen digitalen Bankraub auf der Grundlage der verfügbaren Informationen näher unter die Lupe genommen.
Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks, erklärt: „Gestützt auf die uns vorliegenden Berichte können wir deutlich sehen, dass die Carbanak-Kampagne dem Muster ihrer Vorgänger folgt: Mit Spear-Phishing-Funktionalität bewaffnete Dokumente nutzen Schwachstellen in Office aus, gefolgt von einer Backdoor-Platzierung, dem Herunterladen von Malware, einer seitlichen Bewegung im Netzwerk sowie anschließendem Kompromittieren von Servern und der Exfiltration von Daten. Dieses Muster ist jedoch keinesfalls innovativer im Vergleich zu den Kampagnen, die wir in den letzten Jahren erlebt haben. Was macht Carbanak also anspruchsvoller als bisherige Fälle dieser Art?“
Dieser Frage sind die Sicherheitsexperten von Palo Alto Networks auf den Grund gegangen: Erstens ist das Besondere an dieser Kampagne, dass die erwähnten Methoden bislang nur in Zusammenhang mit Cyber-Spionage zu beobachten war. Diese zielte ausschließlich darauf ab, an geheime Informationen zu gelangen. Bei der Carbanak-Kampagne hingegen wurden zum ersten Mal Verfahren aus der Kategorie APT (Advanced Persistant Threats) in großem Maßstab angewandt, um Geld zu stehlen. Zweitens zeigte sich die eigentliche Raffinesse erst, nachdem sich die Angreifer bereits Zugang verschafft haben, in Form der seitlichen Bewegung im Netzwerk und dem Umgehen vorhandener Schutzmaßnahmen, die eigentlich betrügerische Aktivitäten unterbinden sollen.
„Die Angreifer haben gründliche Kenntnisse im Bereich von Finanzdienstleistungssoftware und Netzwerken an den Tag gelegt. Ebenso gelang es ihnen, unter dem Radar zu bleiben, während sie das Geld abzogen“, so Henning. Schaut man sich genauer an, wie die Täter erstmals in das Netzwerk eindringen konnten, zeigt sich, dass daran nichts so „anspruchsvoll“ oder „innovativ“ war, wie in den Medien dargestellt. Die Angreifer haben an die Opfer Spear-Phishing-E-Mails geschickt, die für die Ausnutzung von Schwachstellen in Office (CVE-2012-0158 und CVE-2013-3906) sowie Microsoft Word (CVE-2014-1761) konzipiert waren.
Dass dies frühzeitig entdeckt und so auch vermieden werden kann, beweist Palo Alto Networks mit seinem Endpunktsicherheits-Dienst Traps. Traps verhindert derartige Angriffe, indem es den Einsatz der gängigen Techniken, die zur Ausnutzung von Schwachstellen verwendet werden, verhindert. Die Lösung erkennt Malware an ihrem Verhaltensmuster bevor Schaden angerichtet wird. Und hierzu zählen auch die Sicherheitslücken CVE-2012-0158, CVE-2013-3906 und CVE-2014-1761.
„Durch die Begrenzung der Angriffsfläche in der Phase, in der Schwachstellen wie diese ausgenutzt werden könnten, werden die möglichen Angriffsmuster auf eine klar definierte Reihe von Techniken reduziert, denen Traps wirksam begegnet“, erklärt Thorsten Henning. „Vorfälle wie Carbanak zeigen, dass klassische IT-Sicherheitslösungen zunehmend an ihre Grenzen stoßen.“
