Großer Cyberangriff zielt auf polnischen Bankensektor
Inhaltsübersicht
Am 3. Februar 2017 veröffentlichte die polnische Nachrichten-Website Zaufana Trzecia Strona berichtete, dass der polnische Bankensektor von dem bisher schwersten Sicherheitsvorfall betroffen war: einem Cyberangriff auf 20 Bankinstitute des Landes, der zum Verlust großer Datenmengen führte.
Ein Angriff auf polnische Finanzinstitute
Der nicht gemeldete Cyberangriff zielte auf mehr als 20 polnische Finanzinstitute. Die Hacker haben offenbar die Website der polnischen Finanzaufsichtsbehörde (KNF) genutzt, um Malware zu verbreiten. In interne Serverdateien wurde bösartiger JavaScript-Code eingefügt, der die Browser der Besucher zum Herunterladen einer externen Datei veranlasste. Diese Datei wiederum lud die Malware von einem externen Server herunter und installierte sie. Der bösartige Code wurde in die folgende Datei eingefügt: 
Sie sah folgendermaßen aus: 
Ein Sprecher der KNF bestätigte, dass ihre Server von "Hackern aus einem anderen Land" angegriffen wurden. Das Servernetzwerk der Behörde wurde abgeschaltet, um eine Ausbreitung des Virus zu verhindern. Dieser Angriff, der offenbar drei Monate zuvor stattgefunden hatte und von den Behörden unentdeckt blieb betroffene Bankenermöglichte es den Hackern, große Mengen an verschlüsselten Daten zu stehlen. Die Hacker scheinen nicht durch Geld motiviert gewesen zu sein.
Auswirkungen auf den globalen Bankensektor
Am 12. Februar haben die Forscher von BAE Systems veröffentlichte einen Artikel die Ähnlichkeiten zwischen der Malware, die auf polnische Banken abzielt, und der Malware, die bei Angriffen auf andere Länder im Oktober letzten Jahres verwendet wurde, aufzeigt. Nach einer Analyse der verwendeten Malware, Methoden und Tools kamen die Forscher zu dem Schluss, dass wahrscheinlich dieselbe Gruppe hinter beiden Angriffen steckt. Beide waren Wasserloch-AngriffeDie Angreifer zielen auf ihre Opfer ab, indem sie Websites kompromittieren, die sie regelmäßig besuchen. Die Hacker konzentrierten sich auf bestimmte Websites und fügten Code ein, der die Besucher auf ein Exploit-Kit umleitete. Dieses Kit enthielt Exploits für bekannte Sicherheitslücken in Silverlight und Flash Player. Die Exploits wurden nur für Besucher mit bestimmten IP-Adressen aktiviert. Forscher bei Symantec stellte fest, dass diese IP-Adressen zu 104 verschiedenen Organisationen in 31 Ländern gehörten. Bei den meisten handelte es sich um Banken, bei einigen um Telekommunikations- und Internetunternehmen. Die Liste der IP-Adressen umfasste 19 Organisationen aus Polen, 15 aus den USA, neun aus Mexiko, sieben aus dem Vereinigten Königreich und sechs aus Chile. Der bösartige Code, der auf polnische Banken abzielt, wurde auf der KNF-Website gefunden. Forscher von BAE Systems fanden ähnlichen Code, der auf das Exploit-Kit verweist, auf der Website der mexikanischen Comisión Nacional Bancaria y de Valores (dem mexikanischen Pendant zur KNF). Derselbe Code wurde auch auf der Website der uruguayischen Banco de la República Oriental del Uruguay gefunden.
Lazarus, der Hauptverdächtige
Die durch das Exploit-Kit installierte Software sammelt Daten. Der Software-Code ähnelt dem der von der Lazarus-Gruppe verwendeten Malware. Nach Angaben von Symantec ist die Lazarus-Hackergruppe seit 2009 aktiv. Die meisten ihrer Angriffe richteten sich gegen die Vereinigten Staaten und Südkorea. Die Gruppe wird verdächtigt, an den folgenden Angriffen beteiligt zu sein Diebstahl von $80 Millionen von der Zentralbank von Bangladesch im vergangenen Jahr. Die Forscher von BAE Systems betonten, dass es keine eindeutigen Beweise gibt, die Lazarus mit den jüngsten Angriffen auf das Bankensystem in Verbindung bringen. Allerdings deuten die ähnlichen Techniken, Schadprogramme und Ziele (Bankbehörden und öffentliche Banken) auf eine Beteiligung der Gruppe hin. Lazarus hat bereits erfolgreich große Angriffe auf den Bankensektor durchgeführt. Könnten die bei diesen Vorfällen gestohlenen Daten ein Anzeichen für weitere schwerwiegende Angriffe in der Zukunft sein? Erfahren Sie, wie wir Ihnen heute helfen können. Fordern Sie eine kostenlose Demo an.
Über den Autor
