Banking-Bedrohung
Der langwierige Prozess gegen die Entwickler des Banking-Trojaners Lurk ist nach jahrelanger Arbeit nun endlich beendet. Die Gruppe Cyberkrimineller konnte dank einer beispiellosen Zusammenarbeit einer Vielzahl von Behörden sowie der Hilfe unserer Experten gestoppt werden. Obwohl die Täter bereits im Jahr 2016 festgenommen wurden, zogen sich die Ermittlungen und das Gerichtsverfahren weitere fünf Jahre in die Länge. In Anbetracht der Zahl der beteiligten Verdächtigen und Opfer ist dies alles andere als überraschend: So mussten die an Lurk beteiligten Cyberkriminellen beispielsweise in mehreren Bussen zum Gericht gefahren werden; die Fallakten umfassten 4000 Bände (ein Band á 250 Seiten). Der Arbeitsaufwand war enorm und zeitraubend, Akten und Aussagen wurden bis ins kleinste Detail analysiert, bis im Jahr 2018 endlich 27 Angeklagte vor Gericht standen.
Kaspersky war den Machenschaften der Gruppe bereits seit 2011 auf der Spur. Ich selbst hörte zum ersten Mal von Lurk, als ich 2013 Teil des Unternehmens wurde und erinnere mich noch genau daran, wie ich damals dachte: „Wenn du diese Gruppe schnappst, kannst du in Rente gehen und deine Karriere unter „erfolgreich“ abspeichern.“ Im Vergleich zu anderen Cyberkriminellen der damaligen Zeit wirkten die Drahtzieher hinter Lurk sowohl technisch als auch organisatorisch sehr ausgereift. Wenn ich Lurk heute begegnen würde, wäre ich wahrscheinlich weniger beeindruckt und würde sie als Gruppe einstufen, die sich an bereits vorhandenen Best Practices orientiert.
Das verhängte Gerichtsurteil ist dennoch eine gute Ausrede, um erneut einen Blick auf die Besonderheiten ihrer cyberkriminellen Aktivität zu werfen.
Die Strategie hinter der Infektion
Werfen wir zunächst einen Blick auf den Infektionsvektor. Die Angreifer nutzten eine Watering-Hole-Taktik, indem sie eine Weiterleitung zu einem Exploit-Kit auf mehreren Business-Medien-Websites veröffentlichten. Die Methode selbst war nicht neu, aber in diesem spezifischen Fall musste das Opfer (bei dem es sich übrigens immer um einen Buchhalter handelte) die Website während seiner Mittagspause (und zwar nur zu dieser Zeit) besuchen, um eine erfolgreiche Infektion zu ermöglichen. Im Anschluss lud das Exploit-Kit einen Trojaner auf den Computer der Zielobjekte, der dann ausschließlich zum Ausspähen eingesetzt wurde.
Die Cyberkriminellen untersuchten zunächst, welche Programme auf den Computern der Opfer liefen, ob es Hinweise auf Banking- oder Spuren von Ermittlungssoftware gab und in welchen Subnetzen die Workstations arbeiteten (der Fokus lag hier vor allem auf Banken- und Regierungsnetzwerken). Mit anderen Worten: sie stuften die Computer nach Interessantheit ein und wussten somit ganz genau, wen sie infizieren wollten.
Die elementare Malware wurde nur dann heruntergeladen, wenn der Computer auch tatsächlich von Interesse für die Angreifer war. War dies nicht der Fall, entwendeten sie lediglich alle verfügbaren Passwörter und entfernten die Malware anschließend vom Computer des Opfers.
C&C-Kommunikation
Mindestens genauso bemerkenswert war der Informationsaustausch zwischen dem Trojaner und dem Command-and-Control-Server (C&C). Die Mehrheit der damaligen Trojaner enthielt die hartcodierte C&C-Adresse. Angreifer mussten so lediglich einen Domainnamen festlegen und hielten sich auf diese Weise die Möglichkeit offen, die IP-Adresse des Servers im Notfall zu ändern. Wenn sie also beispielsweise die Kontrolle über die primäre C&C-Adresse verloren, konnte diese ganz einfach durch eine Backup-Adresse ersetzt werden. Kurz gesagt: ein ziemlich primitiver Sicherheitsmechanismus. Lurk war in dieser Hinsicht ein vollkommen anderes Kaliber: Denn die Gruppe setzte eine Methode ein, die sich für einen Spionageroman hätte klassifizieren können.
Vor einer Kommunikationssitzung berechnete Lurk die Adresse des C&C-Servers. Dazu öffneten die Cyberkriminellen Yahoo und sahen sich den aktuellen Aktienkurs eines bestimmten Unternehmens an (zum Zeitpunkt unserer Recherche handelte es sich dabei um McDonald’s). Abhängig vom jeweiligen Aktienwert generierten sie einen Domainnamen und griffen darauf zu. Will heißen: um den Trojaner zu kontrollieren, warfen die Cyberkriminellen einen Blick auf den jeweils aktuellen Aktienkurs und registrierten auf der Grundlage dessen einen Domainnamen. Diese Vorgehensweise machte es unmöglich, im Voraus zu wissen, welcher Domainname für den C&C-Server verwendet werden würde.
Dies wirft eine berechtigte Frage auf: Wenn der Algorithmus in den Trojaner eingebettet war, was hinderte Forscher daran, eine solche Sequenz zu generieren und einen Domainnamen noch vor den Cyberkriminellen zu registrieren, um dann lediglich einen Verbindungsaufbau mit dem Trojaner abzuwarten? Ganz einfach: die Angreifer verwendeten asymmetrische Kryptografie: Das heißt, dass zunächst ein Schlüsselpaar (bestehend aus einem öffentlichen und einem geheimen Schlüssel) generiert wurde. Daraufhin überprüfte der auf den C&C-Server zugreifende Bot anhand des öffentlichen Schlüssels, ob dieser tatsächlich zu seinen legitimen Eigentümern gehörte (dies geschah durch die Überprüfung der digitalen Signatur). Ohne die Kenntnis des geheimen Schlüssels ist eine Fälschung unmöglich. Aus diesem Grund kann nur der Besitzer des geheimen Schlüssels Anfragen von Bots erhalten und Befehle erteilen – externe Forscher sind nicht in der Lage, den C&C-Server zu imitieren. Andere Cyberkriminelle verwendeten diese Schutzmethode übrigens zur damaligen Zeit nicht. Entdeckten wir also einen solchen Schutzmechanismus auf einem Server, konnten wir sicher sein, dass Lurk dahinter steckte.
Organisierte Infrastruktur
Das Set-up von Lurks Prozessen verdient eine gesonderte Erwähnung. Waren andere cyberkriminelle Gruppierungen damals nur ein beliebiger Haufen von Forennutzern, von denen jeder eine spezifische Aufgabe übernahm, konnte man Lurk im Gegensatz fast als vollwertiges IT-Unternehmen betrachten. Tatsächlich ist es zutreffender, die Gruppe mit einem großen Softwarekonzern zu vergleichen als mit einer cyberkriminellen Gruppierung. Auch auf organisatorischer Ebene sind die Kriminellen bis heute Vorbild für viele andere Gruppen.
Lurk wurde von echten Profis (höchstwahrscheinlich mit ausgeprägter Erfahrung im Bereich Entwicklung) betrieben, die eine hochgradig organisierte Infrastruktur mit Managern und HR-Mitarbeitern aufgebaut hatten. Im Gegensatz zu vielen anderen Cybercrime-Gruppen zahlten sie ihren Angestellten ein reales Gehalt (und wir sprechen nicht von einem Anteil des Erlöses). Auch wöchentliche Briefings standen damals auf der Agenda der Gruppe, eine völlig undenkbare Sache für jede andere Gruppierung.
Sie verfügten sogar über ein klar strukturiertes rollenbasiertes System, um den Zugriff auf bestimmte Informationen zu beschränken. So konnten bzw. durften einige Gruppenmitglieder erst nach ihrer Festnahme einen Blick auf die Korrespondenzen der Drahtzieher werfen und stellten erst dann fest, dass sie unfair behandelt worden waren.
Akribisch dokumentierten sie all ihre Aktivitäten, mit deutlich mehr Liebe zum Detail als viele IT-Unternehmen dies heutzutage tun würden. Eine Praxis, die die späteren Ermittlungen nicht nur erheblich unterstützte, sondern den Kriminellen vermutlich auch zum Verhängnis wurde: denn je systematischer vorgegangen wird, desto wahrscheinlich wird eine mögliche Überführung.
Wissensdatenbanken
Die Lurk-Gruppe führte eine detaillierte und vor allem strukturierte Wissensdatenbank, die in Projekte unterteilt war. Jedes Projekt wurde ausschließlich einem bestimmten Personenkreis zugänglich gemacht, d. h. die Teilnehmer der jeweiligen Projekte wussten nicht über die Aktivitäten anderer Projekte und Mitglieder Bescheid. Der Umfang der Projekte war sehr unterschiedlich, von hochtechnisch bis hin zu rein organisatorisch. Und auch die technischen Projekte waren in Ebenen unterteilt. Beispielsweise hatten die Entwickler der Trojaner nur Zugriff auf die Wissensdatenbanken zu verwandten Themen: wie man Virenschutzprogramme umgeht, usw. Es gab aber auch allgemeine Datenbanken zur Betriebssicherheit (diese glichen realen Sicherheitsvorschriften, die man so auch in Großunternehmen finden kann). Diese lieferten Informationen über den Einsatz von Anonymisierungstools sowie über die Gestaltung von Arbeitsplätzen zur Vermeidung einer Überführung.
Zugriff auf Informationen
Um Zugriff auf die Informationsressource von Lurk zu erhalten, mussten sich Cyberkriminelle über mehrere VPNs mit einem Server verbinden. Schon damals erhielten sie nur Zugriff auf das Bot-Management. Als nächstes bekam jeder Mitarbeiter sein eigenes Zertifikat und sein eigenes Konto mit unterschiedlichen Rechten. Im Grunde genommen wie ein normales Unternehmensnetzwerk, dass auf die Heimarbeit seiner Mitarbeiter ausgerichtet ist. Im Großen und Ganzen hätte man die Gruppe, abgesehen von der fehlenden 2FA, als Vorzeigeunternehmen bezeichnen können.
Physisch befanden sich alle Server in verschiedenen Rechenzentren und in verschiedenen Ländern, was es größtenteils so schwer machte, die Gruppe ausfindig zu machen.
Entwicklung
Die Lurk-Gruppe verfügte über geeignete Quellcode-Repositorien, automatisierte Erstellungs- und mehrstufige Testverfahren, einen Produktionsserver, einen Testserver und einen Entwicklungsserver. Im Grunde genommen stellten sie also ein ernsthaftes Softwareprodukt her und verfügten jederzeit über eine Produktions-, Test- und Entwicklerversion des Trojaners.
Der durchschnittliche C&C-Server eines typischen Trojaners konnte damals Anfragen von Bots empfangen, sie in einer Datenbank protokollieren und ein Admin-Panel bereitstellen, um sie zu verwalten. All dies wurde effektiv auf einer einzigen Seite umgesetzt. Lurk implementierte das Admin-Panel und die Datenbank separat, während der Mechanismus zum Senden von Antworten für Bots durch einen zwischengeschalteten Dienst vollständig verdeckt wurde.
Exploit-Kits
Lurk verfügte über drei Exploit-Kits, von denen jedes seinen eigenen Namen trug: ein internes; eines für Kunden und Partner; und ein von den Forschern zugewiesenes. Es war jedoch so, dass die Entwickler von Lurk nicht nur ihr eigens entwickeltes Exploit-Kit nutzten, sondern zudem weitere Exploit-Kits an andere Cyberkriminelle verkauften. Darüber hinaus hatten die Versionen für „Partner“ einen anderen Code – eindeutig ein Versuch, sie als ein anderes sehr beliebtes Exploit-Kit zu tarnen.
Lurk: Der Niedergang
Alle Tricks und Mittel halfen den Cyberkriminellen am Ende wenig: denn die meisten Mitglieder der Gruppe wurden festgenommen. Allerdings erst, als der Schaden bereits angerichtet war: im Laufe ihrer „Karriere“ gelang es den Angreifern, rund 45 Millionen US-Dollar zu entwenden. Unsere Experten haben ihre Methoden fast sechs Jahre lang studiert; Zeit, die uns übrigens wertvolle Erfahrungen lieferte, die wir auch in der Gegenwart weiterhin einsetzen, um der Cyberkriminalität den Kampf anzusagen.
Diejenigen, die sich für die geschäftsrelevanten Erkenntnisse aus dieser Saga interessieren, empfehlen wir diesen Beitrag. Eine detaillierte technische Analyse finden Sie auf Securelist.
Tipps