Carbanak treibt Schabernack mit der Bank – Hacker-Gang verübt den grössten Cyber-Bankraub aller Zeiten

18. Januar 2017

Sie zapften Videokameras an, beobachteten die Bildschirme der Bankangestellten und brachten Geldautomaten dazu, Geld auszuspucken. Mit dieser Methode stiehl die Carbanak-Gang bis zu einer Milliarde Dollar von 100 Banken und Finanzdienstleistern weltweit, auch in der Schweiz.
Ende 2013 begann ein Geldautomat in Kiew zu verschiedenen Tageszeiten Berge von Scheinen auszuspucken. Kein Kunde hatte zuvor eine Bankkarte eingeführt oder irgendeinen Knopf gedrückt. Auf den Aufzeichnungen der Überwachungskamera konnte man erkennen, dass scheinbar zufällig immer jemand zur Stelle war, um die Geldscheine einzusammeln.
Ein Syndikat aus chinesischen, russischen und europäischen Cyberkriminellen hat über einen Zeitraum von mindestens zwei Jahren bis zu einer Milliarde Dollar von 100 Banken weltweit erbeutet. Eine phänomenale und bislang unerreichte Summe. Aber wie läuft so ein digitaler Diebstahl ab? Mit einer ausgeklügelten Strategie, die auf einer Kombination aus einem hohen Grad an Organisation, Expertise, Hacker-Kunst, Geduld und Dreistigkeit basiert, erklärt die IT-Sicherheitsfirma Kaspersky Lab:

1. Schritt: Infiltrieren
Die Angreifer haben sich einen scheinbar harmlosen, weichen Infiltrationspunkt gesucht: die Administrationsrechner der Bankangestellten, die in der Regel weniger hart gesichert und oft mit dem Internet verbunden sind. Sie verschickten E-Mails mit gefährlichem Dateianhang an Adressen, hinter denen sie Mitarbeitende vermuteten. Sobald diese den Anhang öffneten, zum Beispiel ein infiziertes Word-Dokument, installierte sich das Schadprogramm von selbst und öffnete den Kriminellen eine Hintertür ins Netzwerk der Bank. Da es die Angreifer nur auf die Administrationsrechner abgesehen hatten, wurden Hunderte Mitarbeiter-PC als Kollateralschaden mitinfiziert.

2. Schritt: Betreibe Aufklärung
Von diesen vermeintlich uninteressanten Rechnern aus haben die Kriminellen vorsichtig und scheinbar über einen längeren Zeitraum hinweg Zielaufklärung betrieben. Sie beobachteten Bankangestellte über ihre Bildschirme, ihre Tastaturanschläge und zum Teil sogar über die Videokameras in den Banken.
Bei dieser Aufklärung haben die Angreifer dann erfolgreich verschiedene Schwächen des Systems identifiziert. DiesesVorgehen ist ein Indikator für professionelle Angreifer, denn die Beobachtung und Auswertung des Verhaltens der Bankangestellten erfordert eine gewisse Expertise. Das gesammelte Wissen war ausreichend, um weitere Angriffspunkte in Prozessen oder auf anderen IT-Systemen zu finden. Die Phase der stillen Aufklärung dauerte laut Kaspersky zwei bis vier Monate.
Anhand ihrer Aufklärungsarbeit konnten die Angreifer die Angriffspunkte im System der Bank identifizieren: Arbeitsplatzrechner von Mitarbeitenden, über die Überweisungen verwaltet werden, und ans Netzwerk angeschlossene Geldautomaten. Die Angreifer beobachteten intensiv das Verhalten der Bankmitarbeitenden und lernten so, deren Verhalten nachzumachen und die Banksysteme für ihre eigenen Zwecke zu missbrauchen.

3. Schritt: Imitiere die Bankangestellten
Sobald die Kriminellen genug über die Routinen der Mitarbeitenden erfahren hatten, schlüpften sie selbst in die Rollen der Bankangestellten, indem sie ihr Verhalten nachahmten. Sie programmierten bestimmte Geldautomaten so um, dass sie zu einem genauen Zeitpunkt Bargeld ausgaben. Ein Mittelsmann wartete am entsprechenden Automaten, entnahm das Geld und überwies es auf die Konten von Carbanak.
Für die Bank sah es dann so aus, als ob der Geldautomat scheinbar willkürlich Geldscheine ausspuckte und zufällige Passanten diese aufsammelten. Die Angreifer überwiesen auch Geld von Privatkonten der Bank auf ihre eigenen Konten weltweit. Um ihre Spuren zu verwischen, erhöhten die Kriminellen in manchen Fällen vor der Überweisung auf ihr Konto das Kontensaldo des Betroffenen um den zu stehlenden Betrag. Auf diese Weise tauchte in der Umsatzübersicht der Bankkunden zwar der gestohlene Betrag auf – aber weil der Kontostand gleich blieb, war das Aufdeckungsrisiko geringer. Die Angreifer wussten, dass die Bank nur durchschnittlich alle zehn Stunden die Konten überprüfte und die Betroffenen durch die Manipulation des Kontostandes nicht sofort Verdacht schöpfen würden. So blieb ihnen genug Zeit für die unentdeckte Überweisung auf ihr eigenes Konto.
Karte der Carbanak-Ziele

Die Carbanak-Gang ist nicht wie andere Bankräuber auf eine einzelne Schwachstelle im System losgegangen, um zu erbeuten, was sie kriegen können. Im Gegenteil, sie ist einzigartig methodisch, geduldig, sorgfältig, sauber und taktisch vorgegangen. Die Gang hat das Ziel an einer unvermuteten Stelle angegriffen, hat lange aufgeklärt, um besonders unkonventionelle Angriffspunkte zu finden, hat sich über Ausbeutung und Exfiltration Gedanken gemacht und Angriffe sehr genau skalieren lassen. Sie hat insgesamt viel Wert auf Geheimhaltung und operative Sicherheit gelegt. Deshalb konnte Carbanak auch ganz unterschiedliche Plattformen angreifen. Und sie hat scheinbar auch in geteilten internationalen Teams mit gestreuten, komplementären Expertisen gearbeitet.
Die Firma Kaspersky hat Hinweise veröffentlicht, anhand derer Banken eine mögliche Carbanak- Infektion erkennen können: Dateien mit .bin-Dateiendung in einem Mozilla-Verzeichnis, eine svchost.exe in einem ungewöhnlichen Unterverzeichnis von Windows, Windows-Dienste mit der Dateiendung .sys, die einen Windows- Dienst ohne Dateiendung .sys imitieren. Das sind die technischen Spezifikationen. Nur, die eigentliche Gefahr geht gar nicht von solchen Dateien aus. Den Kriminellen war es egal, welche Programme die Banken einsetzten. Die Angreifer nutzten die Software-Lücken letztlich nur aus, um in die Rolle eines Bankmitarbeiters zu schlüpfen und so unerkannt Transaktionen vornehmen zu können.
Das ist der eigentliche Clou der Carbanak- Bande und das, was sie so gefährlich macht: Werden die jeweiligen Lücken geschlossen, müssen Angreifer nur eine neue Lücke suchen, und das Imitationsspiel geht wieder von vorne los. Aufgeflogen ist der Bankraub nur wegen den Komplizen, die die Geldscheine an den Automaten einsammeln sollten. Diese hatten sich durch ihr Verhalten verdächtig gemacht. Von den Hintermännern und dem Geld fehlt bis heute jede Spur. Willkommen im digitalen Zeitalter, wo Bankräuber nicht mehr vermummt plötzlich in der Eingangshalle auftauchen, den Mitarbeitern die Pistole unter die Nase halten, damit diese die Geldscheine für sie in Jutesäcke abfüllen, um sich dann im Fluchtauto davon zu machen.
Vorbei sind die Zeiten von Überfällen nach Hollywoods berühmter «Bonnie und Clyde»-Manier. Heute läuft der Bankraub leise ab. Vom Bankraub zum Cyberraub. Die Carbanak-Gang hat es gezeigt, wie es geht, fast so wie im Hollywoodblockbuster «Ocean’s Eleven».

Die fünf grössten Raubüberfälle aller Zeiten:
1.    Zentralbank Irak
Beute: 1 Milliarde Dollar
18. März 2003, Bagdad, Irak. Am Vorabend der Bombardierung seines Landes schickt der damalige irakische Diktator Saddam Hussein seinen Sohn Qusay mit einer Vollmacht zur Zentralbank, das gesamte Bargeld abheben zu lassen. In einer fünfstündigen Nacht- und Nebelaktion wuchten Qusay und seine Helfer die Geldpakete auf Lastwagen, mit denen sie die Bank anschliessend in Richtung Präsidentenpalast verlassen. Der grösste Bankraub der Geschichte war im Grunde die grösste Bargeldabhebung der Geschichte. Von der gestohlenen Milliarde fanden sich 650 Millionen später versteckt in den Wänden des Palastes. Der Verbleib der übrigen 350 Millionen ist bis dato ungeklärt.

2.    Londoner Innenstadt
Beute: 292 Millionen Pfund 2. Mai 1990, London, England.
In einer Seitenstrasse der Londoner Innenstadt wird der 58-jährige Bürobote John Goddard von einem Unbekannten niedergestochen. Der Täter hat es auf die Aktentasche Goddards abgesehen, in der dieser 301 Inhaberschuldverschreibungen der Bank of England, jede davon hat einen Wert von einer Million Pfund, im Auftrag seines Brokerhauses mit sich trug. Diese Art Wertpapiere sind so gut wie Bargeld, denn sie gehören jeweils dem, der sie gerade vorweisen kann. In der Folgezeit gelang es der Londoner Polizei und dem FBI, eine Gruppe von Verdächtigen auszumachen. Alle Beteiligten wurden festgenommen. Der Hauptverdächtige konnte nicht mehr vernommen werden. Er wurde kurz vor seiner Verhaftung von Unbekannten erschossen.

3.    Gardner Museum
Beute: 300 Millionen Dollar
18. März 1990, Boston, USA.
Zwei angebliche Polizisten verlangten Einlass ins Museum wegen einer Alarmmeldung. Die unerfahrenen Wachleute folgten der Aufforderung. Sie wurden daraufhin überwältigt und im Keller mit Handschellen gefesselt. Die Täter setzten die Überwachungssysteme ausser Betrieb und suchten sich in den folgenden 81 Minuten ungestört zwölf Gemälde aus, mit denen sie anschliessend verschwanden. Der Wert der gestohlenen Kunstwerke wird auf mindestens 500 Millionen Dollar geschätzt. Trotz einer Belohnung von fünf Millionen Dollar blieben die Täter bis heute unerkannt, auch die Gemälde sind seit dem Raub nie wieder aufgetaucht.

4.    Dar Es Salaam Bank
Beute: 282 Millionen Dollar
12. Juli 2007, Bagdad, Irak.
Als am Morgen die Bankangestellten ihren Dienst beginnen wollten, bemerkten sie, dass die Türen der Bank offen standen und der Tresorraum leer war. Es fehlten 282 Millionen Dollar. Bis heute ist nicht geklärt, warum die Privatbank eine derart grosse Summe in ihren Räumen aufbewahrt hatte. Ungeklärt ist auch, wer genau hinter dem Raub steckt. Man vermutet, dass Wachleute mit Verbindungen zu Polizei und Militär in die Tat verwickelt waren. Seltsam erscheint ausserdem, dass der Raub bloss ein geringes Medienecho fand und auch von den US-Behörden nur sehr einsilbig kommentiert wurde. Von der Millionenbeute fehlt weiterhin jede Spur.

5.    Flughafen Schiphol
Beute: 118 Millionen Dollar
25. Februar 2005, Amsterdam, Niederlande.
Zwei Männer, getarnt als Mitarbeiter der Fluggesellschaft KLM, stoppen mit ihrem gestohlenen Lieferwagen einen KLM-Transporter, in dessen Frachtraum sich eine riesige Diamantenlieferung, bestimmt für Antwerpen, befand. Vor etlichen Zeugen ziehen die Täter ihre Waffen, kapern den Diamantentransporter und verschwinden unerkannt mit ihm. Begünstigt wurde der Überfall von nachlässigen Sicherheitsvorkehrungen auf dem Flughafen Schiphol. Drei Monate später nahm die Polizei einen Mitarbeitenden des Flughafens fest.