Dark Vishnya: Kaspersky warnt Banken vor Insider-Angriffen

Der Virenspezialist Kaspersky fand Hardware-basierte Attacken über das lokale Netzwerk in mindestens acht osteuropäischen Bankhäusern. Der Schaden geht in die Millionen Euro. Potenziell gefährdet sein sollen jedoch alle Arten von Unternehmen.

Artikel veröffentlicht am ,
Frei zugängliche Ethernet-Ports in Bürogebäuden können von Angreifern missbraucht werden.
Frei zugängliche Ethernet-Ports in Bürogebäuden können von Angreifern missbraucht werden. (Bild: Kaspersky)

Einem Blogeintrag des russischen Herstellers von Antivirus-Software Kaspersky zufolge sind mehrere Banken in Osteuropa Opfer ausgeklügelter Hackangriffe geworden. Anstatt über das Internet in die Netze der Geldhäuser einzubrechen, gelang es den Angreifern demnach, ihre eigene Hardware in deren Büros zu installieren und damit lokalen Netzwerkzugriff zu erlangen.

Stellenmarkt
  1. SoftwareentwicklerIn für Embedded Systeme (m/w/d)
    BOGE KOMPRESSOREN Otto Boge GmbH & Co. KG, Bielefeld
  2. Technische Sachbearbeiterin / Technischer Sachbearbeiter Netzdesign - Baubetreuung und Planung (m/w/d)
    Der Polizeipräsident in Berlin, Berlin
Detailsuche

Für die Attacke mit dem Namen Dark Vishnya schmuggelten die Täter infizierte Laptops, Raspberry Pis oder Bash Bunnys in die Büros und verbanden sie über frei zugängliche Ethernet- oder USB-Anschlüsse mit dem internen Netz der entsprechenden Bank. Bash Bunnys sind Minicomputer in Form eines USB-Sticks, die zum Beispiel von Penetration-Testern genutzt werden.

Infiltration durch Postboten, Exfiltration per 3G

Die Geräte seien möglicherweise von Personen in die Gebäude geschmuggelt worden, die als Postboten, Jobbewerber oder Kundenvertreter getarnt waren. Ethernet-Buchsen sind in vielen Büros in allgemein zugänglichen Bereichen wie Fluren, Konferenzräumen oder im Eingangsbereich installiert und somit leicht für getarnte Angreifer zugänglich. Geräte von der Größe eines Raspi lassen sich ohne Probleme unbemerkt unter dem Kopierer oder dem Sofa im Wartebereich verstecken.

"Je größer die Büros eines Unternehmens sind, desto besser", schreibt Kasperskys Social Media Editor Nikolay Pankov in dem Blogpost. "Es ist viel einfacher, ein bösartiges Gerät in einem großen Büro zu verstecken - und besonders effektiv, wenn eine Firma mehrere Büros weltweit an dasselbe Netzwerk angeschlossen hat." Das Risiko für diese Form des digitalen Angriffs dürfte also genauso auch für Unternehmen aus anderen Sektoren bestehen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Ansible Fundamentals: Systemdeployment & -management
    20.-24. September 2021, online
Weitere IT-Trainings

Die Angreifer statteten die bösartigen Geräte Kaspersky zufolge mit GPRS/3G/LTE-Modems aus und stellten so den Fernzugriff auf das Netzwerk sicher. Anschließend scannten sie das lokale Netzwerk nach Zugriffsmöglichkeiten auf geteilte Ordner, Webserver oder Workstations, mit denen Zahlungen ausgeführt werden. "Gleichzeitig versuchten die Angreifer, Login-Daten für diese Maschinen abzugreifen oder per Brute-Force zu erlangen", schreibt Kasperskys Malware-Spezialist Sergey Golovanov. "Um Firewall-Beschränkungen zu umgehen, platzierten sie Shellcodes mit lokalen TCP-Servern" und "wenn eine Firewall den Zugriff von einem Netzwerksegment auf ein andere blockiert, aber eine Reverse Connection erlaubt, nutzten die Angreifer eine angepasste Payload, um einen Tunnel zu öffnen."

Schutz vor Angriffen von innen

Diese Form des Hardware-basierten Angriffs ist nach Darstellung von Kaspersky besonders schwierig zu bekämpfen, weil der Ursprung der Attacke schwer auszumachen ist. Wenn der genaue Standort des angreifenden Geräts oder selbst dessen Existenz unbekannt sind, müssen im schlimmsten Fall sämtliche Büroräume und Gebäude physisch durchsucht werden, um einen Angreifer unschädlich zu machen.

Um sich zu schützen, empfiehlt Kaspersky Unternehmen, vor allem darauf zu achten, Ethernet- und USB-Anschlüsse in frei zugänglichen Bereichen zu deaktivieren oder diese zumindest in einem separaten Netzwerksegment laufen zu lassen. Auch das Installieren einer Videoüberwachung in Risikobereichen könne abschreckende Wirkung haben und die Aufnahmen im Falle eines Angriffs der Aufklärung dienen.

Bei welchen Banken in Osteuropa Kaspersky diese Form der Attacke entdeckt hat und wie sie den Angreifern auf die Spur kamen, ist nicht öffentlich bekanntgeworden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Clubhouse  
3,8 Milliarden Telefonnummern werden im Darknet verkauft

Die Telefonnummern und Kontakte aller Clubhouse-Konten werden wohl im Darknet angeboten. Nummern werden nach ihrer Wichtigkeit eingestuft.

Clubhouse: 3,8 Milliarden Telefonnummern werden im Darknet verkauft
Artikel
  1. RS Q E-Tron: Audi will mit Elektroantrieb Rallye Dakar gewinnen
    RS Q E-Tron
    Audi will mit Elektroantrieb Rallye Dakar gewinnen

    Der RS Q E-Tron im futuristischen Design und mit 670 PS an den E-Achsen soll für Audi die Rallye Dakar gewinnen.

  2. iPhone 12: Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus
    iPhone 12
    Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus

    Ein Youtuber nimmt das Apple Magsafe-Akkupack auseinander. Im Video gibt er einen Einblick in die Technik und die Akkuladung des Produktes.

  3. Elon Musk: Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad
    Elon Musk
    Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad

    Elon Musk hat klargestellt, dass es für das Model S und das Model X kein normales Lenkrad mehr geben wird. Das D-förmige Lenkrad ist Pflicht.

d1m1 10. Dez 2018

Beamer meistens. Muss man kein langes Kabel auf dem Tisch liegen haben, sondern kann es...

Aluz 10. Dez 2018

Wenn man drinnen ueberhaupt ein Signal bekommt ;)



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% auf Amazon Warehouse • LG 55NANO867NA 573,10€ • Fractal Design Meshify C Mini 69,90€ • Amazon: PC-Spiele von EA im Angebot (u. a. FIFA 21 19,99€) • Viewsonic VG2719-2K (WQHD, 99% sRGB) 217,99€ • Alternate (u. a. Fractal Design Define S2 106,89€) • Roccat Horde Aimo 49€ [Werbung]
    •  /