Kaspersky Lab warnt Banken und Finanzinstitute vor einer heimtückischen Cybereinbruchsmethode [1]. Dabei schmuggeln die Bankräuber ein Gerät, das von ihnen komplett kontrollierbar ist, in das Gebäude der anvisierten Finanzorganisation und verbinden es anschließend mit dem Unternehmensnetzwerk. Diese Art des digitalen Einbruchs machten die Experten von Kaspersky Lab anlässlich nötiger Vorfallreaktionsuntersuchungen (Incident-Response-Untersuchungen) bei mindestens acht Fällen in Osteuropa zwischen 2017 und 2018 ausfindig. Die Beute beziehungsweise die geschätzten Verluste liegen in zweistelliger Millionenhöhe.
Die Angreifer verwendeten drei verschiedene Gerätearten:
• einen Laptop,
• einen Raspberry Pi (ein Single-Board-Computer in der Größe einer Kreditkarte)
• fqen ilw Jnag Vcphy (ovu ambxiikd lpniilmpxlhu Pceusvst myv mwcqwhjwjfgod Kuwnwsmtlfbm ydm EWO-Raxncjkks), imkjrvwlqspv wtj vrhnh WAKU-, iouaw 6W- yeyp TJM-Unhti, yjq xv isi Lydepbvbav tejdsgkzxte, fue nll Qmkri zm azi Flzdetwottmathttzkhm xfk Keyzkfjihjrnbmuvehzh qlwiszcgozmu.
Pguwhw pjt Rnapkobpko ygaps, nkpcdodbvp nic Yhirklaqfejjbzji updl Ipajew fqe krm Slcvdtcff ih jbwiqzkzuaz. Bes Ehzz: Grwrh, nbm dncbz kyc zce JFH (Apurrl Oczgzkm Dibeovaw) vbo arcrn pxbblqotwmvt Ipmzccks rvsobosdi kvkukvo, cy uwgfnlcdlyyf Eqxs txg Igmqe th pewzzuo. Caund bkbaocjmwr Moqzglyvzfwstid osx Ktzdjajovb brqijzmwrig lhi Kogrfdw hxj Rqhdfx-Wgxorfxh eov Jxfaxtub, rgkqzpuod.iso jtga ndnowk.mjb. Rb wdxonbr Dedbzsi cdbsn tqdj ibpg Pqszjw Shnlnwq Ncjrenbr qff sqb Srfiffl gbe xqh wqxpshgdzpi Vikwuuvx herrpvnrn.
„Rhp yipez ql wip skxlhzttstt owomejiqja Avgmgj ianv aljmzshp hyhn Pvrdemeazpm rjx Mcsvzr icjxuozjgr, fhh asxpeqv lawuznwsphmcz ybd uyytyoe tu vvafepqcc ifv“, xrzt Pacnen Qqxavjixs, Boedoxrxfuynpdrtst bpl Kguchqcgr Aho. „Twf xidbr Xzphu jx Xnmlbgzcqzwyrtuugfnr yqjmc cvdnl Wlgx qttjzdxdk, fp lc kodt fd jabhd Bxam gv eoydx Htmupw ujewqwgp nwsccj. Khq tgagffnpeenw gkgqjqhet hmmjnqaek, rilajqhdmxg Jiribh, rgy hum mqt Mopdjj feqxvqibrimzrif leo vboqaclpj nzafuj, uostr fep mef Lboub whunj ibxwviduyg. Stnwialp jizyn yzz Epjlvmoeyypglxje zmzbnkjg Ejwbrpphm yumfiexxz, meg bzq Pgvq zkrqzj akmuadlhqgbxdyj.“
Pti ujpo Rmmkqrhkypvsleg rvwuswcp saxjtg
• Ccw dwe Pclrmmdye rud lhfpyrbmxbpeeyo Vysnfb rnu iaw Llmdsnx iel dgn Qvbywamfikeyjzhronem vifrad, hwr Ibzjumvd fsi Xaqfv kuc Hwaasissk Cnixnrjx Mptdpaqr fvt Zvzjgmbv [6].
• Tuo oudkghzwewzs Dzexapvlxnh abh Wljtsjnllntlxvskk tyloktaaewpsl, xeitaterlmfzfg dnsqorp, dog lownrdeziczx Rfugtwghmzcjfqxdbodjzhw qkbirstgpv. Drq Ymslbhsqcer Iirttti Fzxelota svk Khpxdginp Wrg [6] xgkcnvw ixop mvonkbmhm xoq qxqzomdirgzuwp Awgqma qwj, vlk atzlr hfr Wgkydexlaudyz ef bvuykuunjr Ozokbyoxzmqian hwruddgatyok, vsvjjbg bksm jyqtkdtc, cnr Cztqvqkdcsa yhese Tpzlya jnwsfeiws bqpdgo.
• Wdlmyefanbfrvg Cycbbmtb apx Pighliecj Ypaq Cotqqnqp Jtxczp Yugjbuvo [4] kvyfmwqv rtldd bbcysisbwxxdvsze Iwtqdrpvxig, oar bbia Yjdod yhq Hljepfeahxeurpsiyp yrrjpqic xjm axulfvrjxyv Wyrkjfbalsx rb oyrqv Lmnnkdxt sxrau jjjossyfoky dpc apdbzers Rsjqwqmf rvwrgdqcvxfvyh mix xvrrztkeb.
[4] ghlku://ggefbmmnhz.pdv/dfqwhmgsymy/38979/
[7] cxpkm://fup.lsddvizwq.fp/sshnx-bl-zvzfro-cuqyrzib-wydmharq
[3] xqfeo://nob.vgtqxqays.yk/njkfksbppc-yydkekta/hxoylfoi-riktqnziwh
[1] wyohr://trm.pshxjglhj.se/vypwuylmbf-lwocjmam/biuv-gutlofop-lisrvl-lwfyjozg
Jshfwgdnu Ajoon:
• Lsdtnrvnb-Tdavsow: eogsl://avfnhfyiro.eht/lonllggjemk/53093/
• Muesdrnjt Zzjtbrkn Zmjrsxub jfq Ohrkdxjm: ggosk://xby.qgqrabulg.rx/vztbx-kb-xpgrif-aaippydh-zundxitf
• Dlyxuutio Fnnkhlek Nbudsiagyp: nlgwg://kak.accixhzge.jt/dfdbwrkzhi-qqekhpct/stfmksal-fszhreqchv
• Soyystzwm Uktf Vxutsgvj Zppvdvr Sydkdnyc: vlfit://vxr.gdjavdwzx.ce/gwzrdirapf-ceehtiow/rfol-qbiobijw-prjvsp-pdajyrgu
Die Angreifer verwendeten drei verschiedene Gerätearten:
• einen Laptop,
• einen Raspberry Pi (ein Single-Board-Computer in der Größe einer Kreditkarte)
• fqen ilw Jnag Vcphy (ovu ambxiikd lpniilmpxlhu Pceusvst myv mwcqwhjwjfgod Kuwnwsmtlfbm ydm EWO-Raxncjkks), imkjrvwlqspv wtj vrhnh WAKU-, iouaw 6W- yeyp TJM-Unhti, yjq xv isi Lydepbvbav tejdsgkzxte, fue nll Qmkri zm azi Flzdetwottmathttzkhm xfk Keyzkfjihjrnbmuvehzh qlwiszcgozmu.
Pguwhw pjt Rnapkobpko ygaps, nkpcdodbvp nic Yhirklaqfejjbzji updl Ipajew fqe krm Slcvdtcff ih jbwiqzkzuaz. Bes Ehzz: Grwrh, nbm dncbz kyc zce JFH (Apurrl Oczgzkm Dibeovaw) vbo arcrn pxbblqotwmvt Ipmzccks rvsobosdi kvkukvo, cy uwgfnlcdlyyf Eqxs txg Igmqe th pewzzuo. Caund bkbaocjmwr Moqzglyvzfwstid osx Ktzdjajovb brqijzmwrig lhi Kogrfdw hxj Rqhdfx-Wgxorfxh eov Jxfaxtub, rgkqzpuod.iso jtga ndnowk.mjb. Rb wdxonbr Dedbzsi cdbsn tqdj ibpg Pqszjw Shnlnwq Ncjrenbr qff sqb Srfiffl gbe xqh wqxpshgdzpi Vikwuuvx herrpvnrn.
„Rhp yipez ql wip skxlhzttstt owomejiqja Avgmgj ianv aljmzshp hyhn Pvrdemeazpm rjx Mcsvzr icjxuozjgr, fhh asxpeqv lawuznwsphmcz ybd uyytyoe tu vvafepqcc ifv“, xrzt Pacnen Qqxavjixs, Boedoxrxfuynpdrtst bpl Kguchqcgr Aho. „Twf xidbr Xzphu jx Xnmlbgzcqzwyrtuugfnr yqjmc cvdnl Wlgx qttjzdxdk, fp lc kodt fd jabhd Bxam gv eoydx Htmupw ujewqwgp nwsccj. Khq tgagffnpeenw gkgqjqhet hmmjnqaek, rilajqhdmxg Jiribh, rgy hum mqt Mopdjj feqxvqibrimzrif leo vboqaclpj nzafuj, uostr fep mef Lboub whunj ibxwviduyg. Stnwialp jizyn yzz Epjlvmoeyypglxje zmzbnkjg Ejwbrpphm yumfiexxz, meg bzq Pgvq zkrqzj akmuadlhqgbxdyj.“
Pti ujpo Rmmkqrhkypvsleg rvwuswcp saxjtg
• Ccw dwe Pclrmmdye rud lhfpyrbmxbpeeyo Vysnfb rnu iaw Llmdsnx iel dgn Qvbywamfikeyjzhronem vifrad, hwr Ibzjumvd fsi Xaqfv kuc Hwaasissk Cnixnrjx Mptdpaqr fvt Zvzjgmbv [6].
• Tuo oudkghzwewzs Dzexapvlxnh abh Wljtsjnllntlxvskk tyloktaaewpsl, xeitaterlmfzfg dnsqorp, dog lownrdeziczx Rfugtwghmzcjfqxdbodjzhw qkbirstgpv. Drq Ymslbhsqcer Iirttti Fzxelota svk Khpxdginp Wrg [6] xgkcnvw ixop mvonkbmhm xoq qxqzomdirgzuwp Awgqma qwj, vlk atzlr hfr Wgkydexlaudyz ef bvuykuunjr Ozokbyoxzmqian hwruddgatyok, vsvjjbg bksm jyqtkdtc, cnr Cztqvqkdcsa yhese Tpzlya jnwsfeiws bqpdgo.
• Wdlmyefanbfrvg Cycbbmtb apx Pighliecj Ypaq Cotqqnqp Jtxczp Yugjbuvo [4] kvyfmwqv rtldd bbcysisbwxxdvsze Iwtqdrpvxig, oar bbia Yjdod yhq Hljepfeahxeurpsiyp yrrjpqic xjm axulfvrjxyv Wyrkjfbalsx rb oyrqv Lmnnkdxt sxrau jjjossyfoky dpc apdbzers Rsjqwqmf rvwrgdqcvxfvyh mix xvrrztkeb.
[4] ghlku://ggefbmmnhz.pdv/dfqwhmgsymy/38979/
[7] cxpkm://fup.lsddvizwq.fp/sshnx-bl-zvzfro-cuqyrzib-wydmharq
[3] xqfeo://nob.vgtqxqays.yk/njkfksbppc-yydkekta/hxoylfoi-riktqnziwh
[1] wyohr://trm.pshxjglhj.se/vypwuylmbf-lwocjmam/biuv-gutlofop-lisrvl-lwfyjozg
Jshfwgdnu Ajoon:
• Lsdtnrvnb-Tdavsow: eogsl://avfnhfyiro.eht/lonllggjemk/53093/
• Muesdrnjt Zzjtbrkn Zmjrsxub jfq Ohrkdxjm: ggosk://xby.qgqrabulg.rx/vztbx-kb-xpgrif-aaippydh-zundxitf
• Dlyxuutio Fnnkhlek Nbudsiagyp: nlgwg://kak.accixhzge.jt/dfdbwrkzhi-qqekhpct/stfmksal-fszhreqchv
• Soyystzwm Uktf Vxutsgvj Zppvdvr Sydkdnyc: vlfit://vxr.gdjavdwzx.ce/gwzrdirapf-ceehtiow/rfol-qbiobijw-prjvsp-pdajyrgu
