Der berüchtigte Hacker Phineas Phisher behauptet, Hunderttausende von Pfund Sterling in einem Hack der Cayman National Isle of Man Bank im Jahr 2016 erzielt zu haben. Hier erfahren Sie, wie er es gemacht hat und warum es Grund zur Sorge gibt. [...]
Ein Bankraub ist einfacher, als Sie vielleicht denken, vor allem, wenn es Ihnen egal ist, welche Bank Sie ausrauben, so das Motto des scheinbar selbstsüchtigen Hackers Phineas Phisher „How to rob a bank“. Der PwC-Vorfallsbericht, den Phineas Phisher durchgesickern ließ, bestätigt diese Behauptung. Der Bericht beschreibt das Eindringen in das Management der ausgeraubten Bank Cayman National Bank (Isle of Man) Limited (CNBIOM) und ihrer Schwestergesellschaft Cayman National Trust Company (Isle of Man) Limited (CNTIOM).
(PwC weigerte sich, sich zur Datenpanne der Cayman National oder zum durchgesickerten Bericht zu äußern, was darauf hindeutet, dass betrügerische Transaktionen ausgeglichen wurden. In einer Pressemitteilung bestätigte Cayman National den Angriff und behauptete: „Zu diesem Zeitpunkt gibt es keine Beweise für finanziellen Diebstahl oder Betrug im Zusammenhang mit CNBIOM- oder CNTIOM-Kunden oder Cayman National“. Es wurde nicht auf einen finanziellen Schaden der Bank selbst hingewiesen.)
Die Überprüfung der von Phineas Phisher verwendeten Methoden gibt Aufschluss darüber, wie anfällig unsere Finanzinfrastruktur für Angreifer ist, und gibt einen Einblick, wie eine bescheiden qualifizierte Person oder Gruppe von Personen mit einem Bankraub davonkommen konnte.
Wer ist Phineas Phisher?
Phineas Phisher, der bereits früher die Verantwortung für das Hacken der berüchtigten Cyber-Söldnergruppen Gamma Group und Hacking Team übernahm, behauptet, eine Privatperson zu sein, deren erklärte Ziele antikapitalistisch, antiimperialistisch und antiüberwachend seien. Einige vermuten, dass Phineas Phisher eine vom Staat gesponserte Hackergruppe ist, aber es gibt keine Möglichkeit, das herauszufinden.
Die Hacking-Tools, die im Bankraub 2016 verwendet wurden, waren handelsübliche Penetrationstests wie PowerShell und Mimikatz. Das bedeutet, dass, wenn Phineas Phisher das schafft, auch eine beliebige Anzahl von mäßig erfahrenen Angreifern dies tun könnte. Dies macht den Cayman National Angriff zu einer Fallstudie darüber, wie man seine Netzwerke nicht sichern sollte (oder wie man eine Bank ausraubt, je nach Sichtweise).
Lassen Sie uns herausfinden, wie der Raubüberfall ausgegangen ist.
Sich etablieren
„Wie das alte Sprichwort sagt“, schrieb Phineas Phisher (auf Spanisch) in seinem How-to-rob-a-bank Guide, „Gib einer Person einen Exploit und sie haben einen Tag lang Zugang, lehre sie das Phishing und sie haben den Rest ihres Lebens Zugang.“
Der PwC Incident Response Report bestätigt, dass die Bank gephisht wurde. Laut PwC-Bericht hat der Bankräuber im August 2015 eine Phishing-E-Mail mit dem Betreff „Price Changes“ vom gefälschten E-Mail-Konto „csdeployment@swift.com“ an einen Bankmitarbeiter der typografischen Domain „cncim . com“ geschickt. „Die Registrierung dieser Domain erfolgte am 27. Juli 2015. Es besteht eine hohe Wahrscheinlichkeit, dass diese Domain speziell für diesen Angriff registriert wurde“, so der PwC-Bericht.
Die verwendete Phishing-Maschine war laut dem PwC-Bericht Crimeware für Gärten. „Die Analyse der an die E-Mail angehängten Malware zeigt, dass es Adwind3 ist, eine Malware, die von Hackern online[sic] gekauft werden kann. Aufgrund des Zeitrahmens können wir nicht feststellen, ob diese Malware in direktem Zusammenhang mit dem jüngsten Vorfall steht. Es scheint jedoch, dass diese bösartige E-Mail speziell entwickelt und darauf ausgerichtet sein kann, die CNBT[Cayman National Bank and Trust] zu gefährden.“
Die angehängte Nutzlast hieß „1_Price_Updates_098123876_docs.jar“, und als der CNBT-Mitarbeiter auf den Anhang klickte, infizierte er den Arbeitsplatz des Mitarbeiters und gab dem Möchtegern-Bankräuber Halt im Netzwerk der Bank.
Ein Forschungsbericht von Checkpoint aus dem Jahr 2016 über die Adwind3 RAT besagt, dass es sich um eine „vollständig in Java implementierte Hintertür und damit plattformübergreifend“ handelt. Es ist ein sehr beliebtes Tool, das sowohl bei massiven Spam-Kampagnen als auch bei gezielten Angriffen auf Finanzinstitute weltweit eingesetzt wird. In allen Versionen (Frutas, Adwind, AlienSpy, UNRECOM und JSocket) ist es erhältlich, basierend auf der Registrierung auf einer offiziellen Website – einem Konzept, das als Malware-as-a-Service bekannt ist“.
Phineas Phisher teilt dem CSO jedoch mit, dass der Phisher jemand anderes ist. „Das war nicht ich, und es ist interessant, dass jemand anderes zufällig die gleiche Bank zur gleichen Zeit ins Visier genommen hat. Es würde darauf hindeuten, dass Bankhacking weit verbreitet ist. Ich kam durch den gleichen Sonicwall SSL/VPN-Exploit, den ich gegen Hacking Team verwendet habe, nicht durch Phishing.“
Phineas Phisher gibt dem CSO gegenüber per E-Mail zu, dass er Empire und Meterpreter verwendet, nicht aber Adwind3. „[PwC berichtet], dass für den Phishing-Versuch Adwind verwendet wurde. Zurzeit benutze ich nur das Metasploit-Framework. Ich habe nur Empire [RAT] benutzt. Dabei habe ich Adwind nicht verwendet und die Persistenz mit PowerShell Empire beibehalten.“
Als die Bank im Januar 2016 nicht autorisierte SWIFT-Transaktionen entdeckte, forderte sie PwC auf, eine Vorfallsreaktion durchzuführen. PwC fand die Shells von Phineas Phisher, bereinigte die infizierten Server und Workstations und installierte ihre proprietäre Netzwerküberwachungslösung SonarShock, um das Netzwerk der Bank auf weitere Anzeichen von bösartigen Aktivitäten zu analysieren.
Wie hat Phineas Phisher also Zugang zum Bericht über die Reaktion auf den Vorfall erhalten? „Als PwC anfing, den Hack zu untersuchen, fanden sie meinen Gebrauch von Empire und Meterpreter und reinigten die Computer und blockierten die IPs, aber sie fanden meinen Backup-Zugang nicht“, schrieb Phineas Phisher. Als PwC mit der Überwachung der Netze begann, hielt sich der Bankräuber für eine Weile zurück. „Ich habe Mimikatz einmal gestartet, um die neuen Passwörter zu erhalten, und von da an konnte ich die Untersuchung verfolgen, indem ich ihre E-Mails im Outlook-Webzugriff las.“
Mimikatz ist nicht gerade eine Wissenschaft. Das war kein raffinierter Angriff, was den Banken sicherlich Anlass zur Sorge geben sollte – und andere Bankräuber mit Sicherheit ermutigen wird.
Persistenz und Flucht
Spulen wir zurück zum August 2015. Sobald Phineas Phisher im Netzwerk der Bank Fuß fassen konnte, ließ er eine Reverse-Shell fallen, um die Persistenz aufrechtzuerhalten, und benutzte dann eine Vielzahl von Penetrationstests, um zu beobachten, wie Bankmitarbeiter SWIFT-Zahlungen durchführten. Er nahm sich auch die Zeit, die Bankunterlagen darüber zu lesen, wie die Bank mit ausgehenden SWIFT-Transaktionen umgeht.
Phineas Phisher war fünf Monate lang in den Netzwerken der Bank, ohne entdeckt zu werden, bevor er die erste von zehn versuchten SWIFT-Transaktionen einleitete, die mehrere hunderttausend Pfund Sterling einbrachten – weitaus weniger, als die 81 Millionen Dollar, die nordkoreanische Hacker Anfang 2016 einer Bank in Bangladesch entwendeten. Nach den ersten erfolgreichen Transaktionen am 5. Januar 2016 geriet er am nächsten Tag in Schwierigkeiten und vermasselte mehrere Transaktionen, die den falschen SWIFT-Code zur Adressierung einer Zwischenbank verwendeten, schrieb Phineas Phisher.
Warum war diese Bank ein Angriffsziel? Phineas Phisher scannte das Internet nach all den anfälligen VPN-Geräten, für die er einen Exploit hatte, begutachtete die Reverse-DNS-Ergebnisse für Banken und entschied, dass „Cayman“ nach Spaß klang. „Ich hatte nicht vor, eine bestimmte Bank zu hacken“, so der Leitfaden, „Ich wollte nur jede Bank hacken, die ich hacken konnte, was sich als viel einfacher herausstellte, als ich dachte.“
Vielleicht ist Ihre Bank die nächste.
*CSO Senior Security Reporter J.M. Porup erhielt 2002 seinen ersten Job im Bereich IT-Sicherheit als Linux-Systembetreuer.
Be the first to comment