![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Nach diversen Banken-Hacks in Osteuropa stellte sich heraus, dass innerhalb der Banken Hardware durch die Cyber-Kriminellen eingeschleust und mit dem Netzwerk der Banken verbunden worden war.<\/p>\nNach diversen Banken-Hacks in Osteuropa stellte sich heraus, dass innerhalb der Banken Hardware durch die Cyber-Kriminellen eingeschleust und mit dem Netzwerk der Banken verbunden worden war.<\/p>\n
<\/p>\n
In den Jahren 2017-2018 wurden die Spezialisten von Kaspersky Lab beauftragt, eine Reihe von Cyber-Diebstahl-Vorf\u00e4llen zu untersuchen. Jeder Angriff hatte etwas gemeinsames: ein unbekanntes Ger\u00e4t, das direkt mit dem lokalen Netzwerk des Unternehmens verbunden war. In einigen F\u00e4llen war es die Zentrale, in anderen ein Regionalb\u00fcro, manchmal mit Sitz in einem anderen Land. Mindestens acht Banken in Osteuropa waren das Ziel der Angriffe (zusammenfassend DarkVishnya genannt), die Sch\u00e4den in zweistelliger Millionenh\u00f6he verursachten. Jeder Angriff kann in mehrere identische Stufen unterteilt werden.<\/p>\n
In der ersten Phase betrat ein Cyberkrimineller das Geb\u00e4ude der Bank. Der T\u00e4ter gab sich als Kurier, Arbeitssuchender usw. aus und platziert ein Ger\u00e4t (zum Beispiel in einem der Besprechungsr\u00e4ume), welches er mit dem lokalen Netzwerk der Bank verband. Diese Ger\u00e4te wurden nach M\u00f6glichkeit versteckt oder in die Umgebung eingepasst, um keinen Verdacht zu erregen. Die bei den DarkVishnya-Angriffen verwendeten Ger\u00e4te variierten je nach den F\u00e4higkeiten und pers\u00f6nlichen Vorlieben der Cyberkriminellen. In den von Kaspersky untersuchten F\u00e4llen war es eines von drei Werkzeugen:<\/p>\n
Innerhalb des lokalen Netzwerks erschien das Ger\u00e4t als unbekannter Computer, externes Flash-Laufwerk oder sogar als Tastatur. Der Bash Bunny besitzt die Gr\u00f6\u00dfe eines USB-Sticks, so dass so etwas nur schwer zu entdecken ist. Der Fernzugriff auf das im Netzwerk installierte Ger\u00e4t erfolgte \u00fcber ein eingebautes oder \u00fcber USB angeschlossenes GPRS\/3G\/LTE-Modem.<\/p>\n
Im zweiten Schritt verbanden sich die Angreifer per Funkt mit dem Ger\u00e4t und durchsuchten das lokale Netzwerk, um Zugang zu \u00f6ffentlich freigegebenen Ordnern, Webservern und allen anderen offenen Ressourcen zu erhalten. Ziel war es, Informationen \u00fcber das Netzwerk, vor allem \u00fcber die Server und Workstations, mit denen die Zahlungen erfolgen,zu sammeln. Gleichzeitig versuchten die Angreifer, Login-Daten f\u00fcr solche Maschinen zu erpressen oder zu schn\u00fcffeln. Um die Einschr\u00e4nkungen der Firewall zu \u00fcberwinden, platzierten sie Shell-Codes bei lokalen TCP-Servern. Wenn die Firewall den Zugang von einem Segment des Netzwerks zum anderen blockierte, aber eine umgekehrte Verbindung erlaubte, nutzten die Angreifer eine andere Nutzlast, um einen Tunnel zum Datentransfer zu bauen.<\/p>\n
Waren diese Stufen erfolgreich, gingen die Cyberkriminellen zur dritten Stufe \u00fcber. Sie loggten sich in das Zielsystem ein und benutzten eine Fernzugriffssoftware, um den Zugriff zu erhalten. Als n\u00e4chstes wurden mit msfvenom<\/a><\/em> erstellte b\u00f6sartige Schadfunktionen auf dem betroffenen Computer gestartet.<\/p>\n Da die Hacker dateifreie Angriffe und PowerShell verwendeten, konnten sie Whitelisttechnologien und Dom\u00e4nenrichtlinien vermeiden. Wenn sie auf eine Whitelist stie\u00dfen, die nicht umgangen werden konnte, oder PowerShell auf dem Zielcomputer blockiert wurde, verwendeten die Cyberkriminellen impacket<\/em> und winexesvc.ex<\/em>e oder psexec.exe<\/em>, um ausf\u00fchrbare Dateien remote auszuf\u00fchren. So gelang es den Cyberkriminellen, Zahlungen durch die Banken an deren Sicherheitsmechanismen vorbei zu veranlassen. Details lassen sich in diesem Kaspersky Blog-Beitrag<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":" Nach diversen Banken-Hacks in Osteuropa stellte sich heraus, dass innerhalb der Banken Hardware durch die Cyber-Kriminellen eingeschleust und mit dem Netzwerk der Banken verbunden worden war.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-212745","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/212745","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=212745"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/212745\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=212745"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=212745"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=212745"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}