Ein Syndikat aus chinesischen, russischen und europäischen Cyberkriminellen hat über einen Zeitraum von mindestens zwei Jahren bis zu einer Milliarde US-Dollar erbeutet. Eine phänomenale und bislang unerreichte Summe. Über die Details sind bisher nur Eckpunkte veröffentlicht worden. Der Entdecker dieser kriminellen Kampagne, der russische IT-Sicherheitskonzern Kaspersky, wird erst in den nächsten Tagen genauere Informationen zur Verfügung stellen. Aber die momentan bestehenden Informationen sind bereits aufschlussreich. Was haben die Kriminellen gemacht?
Sie beobachteten Bildschirme, Tastaturanschläge und zum Teil sogar Videokameras
Es ist klar zu erkennen, dass sie organisiert und taktisch vorgegangen sind. Sie haben sich einen scheinbar harmlosen, weichen Infiltrationspunkt gesucht: die Administrationsrechner der Bankangestellten, die in der Regel weniger hart gesichert und oft mit dem Internet verbunden sind. Von diesen vermeintlich uninteressanten Rechnern aus haben sie vorsichtig und scheinbar über einen längeren Zeitraum hinweg Zielaufklärung betrieben. Sie beobachteten Bankangestellten über ihre Bildschirme, ihre Tastaturanschläge und zum Teil sogar über die Videokameras in den Banken.
Bei dieser Aufklärung haben die Angreifer dann erfolgreich verschiedene Schwächen der Banken identifiziert. Auch das ist ein Indikator für professionelle Angreifer, denn die Beobachtung und Auswertung des Verhaltens der Bankangestellten erfordert eine gewisse Expertise. Das gesammelte Wissen war ausreichend, um weitere Angriffspunkte in Prozessen oder auf anderen IT-Systemen zu finden. Dazu gehörten Optionen zu Transaktionen auf und von legitimen Konten in Höhen bis zu zehn Millionen Dollar pro Überweisung oder die Möglichkeit, Geldautomaten zur anlasslosen Auszahlung von Geld zu verleiten.
Geldautomaten warfen willkürlich Geldscheine in die Landschaft
Bei vielen Maschinen wurde einfach zu bestimmten Zeitpunkten Geld ausgespuckt, das dann von Mittelsmännern abgegriffen wurde. So ist das Ganze auch aufgeflogen. Mal wieder waren es nicht die teuren IT-Sicherheitssensoren, die das Ganze haben auffliegen lassen, sondern ein dummer Zufall, ein Fehler der Angreifer. Denn einige dieser Mittelsmänner hatten wohl kalte Füße bekommen und waren nicht zur vereinbarten Zeit an angegriffenen Geldautomaten, so dass diese einfach willkürlich Geldscheine in die Landschaft warfen. Das fiel 2013 das erste Mal auf und brachte Kaspersky auf den Plan, die sich in die Systeme einarbeiteten, die Kampagne erkannten, sie „Carbanak“ tauften und die seit dem mit Interpol und Europol an der Aufklärung arbeiten. Ob es schon Verhaftungen gab, wurde noch nicht bekannt gegeben.
Betroffen sind insgesamt 100 Banken aus 30 Ländern. Der konkret bereits gemessene Schaden liegt bei 300 Millionen US-Dollar, wird aber auf bis zu einer Milliarde US-Dollar geschätzt. Der Bankraub ist damit — mal wieder — ein Rekord. Und tatsächlich auch ein Wendepunkt.
Diese Angreifer sind nicht, wie viele andere Kleinkriminelle in diesem Feld, auf eine einzelne Schwachstelle losgegangen, um zu erbeuten, was zu kriegen ist. Carbanak ist ein Fall, bei dem einzigartig methodisch, geduldig, sorgfältig, sauber und taktisch vorgegangen wurde. Man hat das Ziel an einer unvermuteten Stelle angegriffen, hat lange aufgeklärt, um besonders unkonventionelle Angriffspunkte zu finden, hat sich über Ausbeutung und Exfiltration Gedanken gemacht und Angriffe sehr genau skalieren lassen. Man hat insgesamt viel Wert auf Geheimhaltung und operative Sicherheit gelegt, konnte ganz unterschiedliche Plattformen angreifen, und hat scheinbar auch in geteilten internationalen Teams mit gestreuten, komplementären Expertisen gearbeitet.
Wir haben hier also definitiv eine Instanz besserer, organisierter Cyberkrimineller. Vielleicht haben sie von den vielen NSA-Leaks gelernt. Man erkennt ein militärisches, taktisches Vorgehen. Die Methoden der NSA könnten einen Entwicklungshintergrund geliefert haben. In diesem Fall wäre Carbanak auch eine erste Instanz der Proliferation, einer Weiterverbreitung von Offensivmethodiken.
Das Ergebnis ist in jedem Fall berauschend, ein Präzedenzfall und fantastische Werbung für andere Kriminelle — Cyber oder nicht. Die unheimliche Skalierung der Effizienz, die uns die Informationstechnik jeden Tag einbringt, gilt eben leider auch für die Effizienz der Kriminalität. Daher wird Carbanak auch kein Einzelfall bleiben, sondern nur ein „first of its kind“.
