Dmitry Bestuzhev
Senior Regional Researcher for Latin America, Kaspersky Lab
Brasilien – Land der Bank-Trojaner
Jeder, der sich schon einmal mit Schadprogrammen für den Diebstahl von Bankdaten beschäftigt hat, wird wahrscheinlich bestätigen können, dass Brasilien bei der Entwicklung von so genannten Bank-Trojanern an der Spitze liegt. Warum aber liegt ausgerechnet Brasilien bei dieser Art von Schadsoftware so weit vorne? Wer sind die dafür verantwortlichen Hintermänner, beziehungsweise wie sieht das typische Profil eines derartigen Cyberkriminellen aus? Kaspersky Lab hat die Besonderheiten der in Brasilien erstellten Schadprogramme analysiert und ist dabei zu interessanten Schlussfolgerungen gekommen.
Warum ausgerechnet Brasilien?
Brasilien ist mit 200 Millionen Einwohnern der größte Staat Lateinamerikas. Schätzungsweise ein Drittel der Gesamtbevölkerung – also an die 70 Millionen Menschen – verfügen über einen Internetzugang, die Anzahl der Nutzer ist steigend.
In Brasilien sind die sozialen Unterschiede zwischen der sehr armen Bevölkerung, des Bürgertums und den Reichen sehr stark ausgeprägt. Der Reichtum eines Teils der Bevölkerung ist ein möglicher Grund dafür, dass viele Menschen mit geringem Einkommen illegale Geschäfte betreiben, beispielsweise durch den Diebstahl der Verbindungsdaten von Bankkunden. Da in Brasilien Online-Banking weit verbreitet ist, sind kriminelle Aktivitäten in diesem Bereich für Betrüger sehr verlockend, zumal es in der brasilianischen Gesetzgebung keinerlei Bestimmungen gibt, die ein wirkungsvolles Vorgehen gegen Cyber-Verbrecher ermöglicht.
Die größte Bank Brasilien ist die Banco do Brasil, deren Internetdienste von 7.900.000 Menschen genutzt werden – bei der Bank Bradesco sind dies 6.900.000, bei der Itaú-Bank 4.200.000 und bei der Bank Caixa 3.690.000. Für Kriminelle ist eine so hohe Anzahl von Online-Banking-Nutzern natürlich sehr verlockend, denn selbst wenn nur wenige der Cyber-Angriffe erfolgreich sind, so ist der daraus resultierende Gewinn immer noch hoch genug.
Zielscheiben für Cyber-Attacken
Bedauerlicherweise werden viele Kunden von unterschiedlichen Banken zu Opfern von Cyber-Attacken.
Abb. 1: Prozentuale Verteilung der Schadprogramme für den Diebstahl persönlicher Daten von Kunden unterschiedlicher Banken
Wie das Diagramm zeigt, zielen die meisten Schadprogramme auf den Diebstahl von Bankguthaben von Kunden der brasilianischen Banken Bradesco, Caixa, Banco do Brasil und Itaú ab. Da es sich hierbei um die größten Banken Brasiliens mit einem millionenschweren Kundenstamm handelt, ist dies auch nicht weiter verwunderlich.
Abgesehen von den hohen Kundenzahlen sind manche Banken für Cyber-Verbrecher auch aufgrund der von ihnen verwendeten Schutzsysteme interessant. Was konkret tun eigentlich die Banken für den Schutz der Transaktionen ihrer Klienten?
Bevor sie Kunden Zugang zu ihrer Internetseite gewähren, raten viele Banken zur Installation des speziellen Plug-ins "G-Buster". Dieses Plug-in soll verhindern, dass bei der Autorisierung oder direkt während der Durchführung von Transaktionen auf dem Computer Schadcode laufen kann. Die Banken Caixa und Banco do Brasil verwenden zum Schutz ihrer Kunden beispielsweise nur dieses Plug-in. Wobei man anmerken muss, dass G-Buster – wie wir noch sehen werden – ganz und gar nicht dazu geeignet ist, den Kunden bei ihrer Interaktion mit der Bank über das Internet die notwendige Sicherheit zu gewährleisten.
Andere Banken wie beispielsweise die Banco Itaú bieten ihren Kunden über das oben genannte Plug-in hinaus auch Sicherheits-Hardware an, beispielsweise ein Security-Token zur Identifizierung und Authentifizierung des Nutzers oder eine so genannte persönliche Sicherheitskarte (Security Card).
Abb. 2: Von der Bank Itaú verwendete Sicherheitskarte
Die Bank Bradesco schützt ihre Kunden zudem mit einem Zugangsschlüssel (Authentifizierungsschlüssel/Zertifikat), der nach seiner Generierung zweifach gespeichert wird: und zwar einmal direkt auf dem Computer des Kunden und zusätzlich auf einem externen Speichermedium. Loggt sich der Kunde bei der Internetseite der Bank ein, wird er vom System nach dem Pfad zu dem identischen Zweitschlüssel gefragt. Für einen Zugriff muss der Kunde dann das externe Speichermedium an seinen Computer anschließen, auf dem das identische Zertifikat abgespeichert ist, z.B. einen USB-Stick.
Theoretisch müssten all diese Sicherheitsvorkehrungen einen ausreichenden Schutz der Kunden gewährleisten, was in der Praxis jedoch leider bei weitem nicht immer der Fall ist. Unglücklicherweise sind die genannten Sicherheitsmaßnahmen entweder nicht dazu geeignet, einen vollständigen Schutz der Kunden sicherzustellen, oder aber sie sind kostenpflichtig, und der Kunde möchte sie daher nicht erwerben. Sicherheits-Token sind dafür ein gutes Beispiel: Die Banken verlangen dafür in der Regel eine Gebühr, und so möchten viele Kunden diese nicht verwenden – damit bieten sie eine ideale Angriffsfläche für Cyber-Attacken. Welche Methoden verwenden nun die Betrüger für einen möglichst erfolgreichen Großangriff auf die Computer von Bankkunden?
Infizierung von Internetseiten
Schadprogramme lassen sich am besten über Internetseiten verbreiten. Für das Laden von Schadsoftware hacken die Betrüger legale Internetseiten mit weltweiten Domains und nutzen temporär „kostenloses Hosting“. Auffällig dabei ist, dass für die Platzierung von Schadprogrammen im Rahmen von kostenlosem Hosting häufig Domains des russischen Unternehmens RBC-Media genutzt werden, wie zum Besipiel nm.ru oder pochta.ru.
Wenn Cyberkriminelle allerdings Betrügereien in größerem Ausmaß planen, sind Seiten, die nach ein paar Tagen schon wieder verschwinden, weniger geeignet. In diesem Fall ist Anti-Abuse-Hosting bei den Kriminellen sehr beliebt. Mit Hilfe einer bestimmten Technik werden zur Ermittlung der IP-Adressen potentieller Opfer. Ist die IP-Adresse eines Nutzers bekannt, der auf eine infizierte Webseite geraten ist, können die Betrüger gezielte Angriffe auf den Anwender-Computer starten und die Schadprogramme vor der auf dem Rechner laufenden Antivirenlösung verbergen.
Wie geraten nun Bankkunden auf die infizierten Internetseiten? Meist werden sie über Spam-Mails durch klassische Social-Engineering-Tricks dorthin geleitet. Die Spam-Nachrichten sind meist so aufbereitet, als kämen sie tatsächlich von der Bank, oder sie enthalten Schlagzeilen aus dem gesellschaftlichen Leben des jeweiligen Landes – natürlich mit einem dementsprechend hohen Nachrichtenwert, meistens handelt es sich um pornografischen Spam. Die Links in den Spam-Mails führen jedenfalls auf infizierte Internetseiten.
Hacker-Angriff auf Brasilianisch
Die brasilianischen Bank-Trojaner verbreiten sich nie als einzelne Dateien. Bei Infizierung des Rechners wird gleich eine ganze Reihe von zusätzlichen Schadprogrammen nachgeladen.
Der Angriff der Cyber-Kriminellen auf die Computer von Bankkunden konzentriert sich nicht nur auf die Bankdaten der Kunden, sondern ist sehr viel umfangreicher. Normalerweise läuft die Infizierung des Rechners wie folgt ab:
Abb. 3: Klassischer Ablauf einer Infizierung der Rechner von Kunden verschiedener Banken
Zuerst wird auf einem Server ein Trojaner abgelegt, der dann alle übrigen Schadprogramme auf den Rechner des Bankkunden herunterladen und diese installieren soll. Es handelt sich hierbei um folgende Schadprogramme:
Programm zum Diebstahl der Daten von Nutzern sozialer Netzwerke
Programm zur Ausschaltung des Virenschutzes
ein oder zwei Bank-Trojaner, die alle Verbindungen mit den Banken überwachen, diese abfangen und dann das Passwort und den Benutzernamen an die Cyberkriminellen senden
Soziale Netzwerke
Soziale Netzwerke sind heutzutage eine schier unerschöpfliche Quelle für Informationen über Internetanwender: Vor- und Zuname, Geburtsdatum, Wohnort, soziale Stellung des Nutzers usw. All diese Daten können bequem von den Kriminellen verwendet werden, beispielsweise um über das Call-Center der entsprechenden Bank "offiziell" den PIN-Code für die Bankkarte eines Benutzers in Erfahrung zu bringen.
Das soziale Netzwerk Orkut ist in Brasilien am populärsten. Zu diesem Netzwerk gehören weltweit an die 23 Millionen Nutzer, von denen ca. 54 Prozent in Brasilien leben. Zumeist sind es Mitglieder von Orkut, die von den brasilianischen Cyber-Verbrechern angegriffen werden.
Abb. 4: Code-Fragment für den Passwort-Diebstahl von Orkut-Nutzern
In der Regel werden die gehackten persönlichen Nutzerdaten und das Passwort per E-Mail an die Betrüger übermittelt.
Deaktivierung des Virenschutzes
Doch wie gelingt es den Cyberkriminellen, den auf den Computern installierten Virenschutz auszuschalten beziehungsweise das Plug-in G-Buster auszutricksen?
Vor allem das Plug-in G-Buster soll Sicherheit bei den Transaktionen der Kunden zahlreicher Banken gewährleisten. Um G-Buster vor einer Entfernung durch ein Schadprogramm zu schützen, haben sich die Hersteller der Rootkit-Technologie bedient, um das Plug-in tief im System zu verankern. Um das Plug-in dennoch zu entfernen, verwenden die Cyberverbrecher daher (legale) Programme, die der Bekämpfung von Rootkits dienen.
Das bekannteste Programm zur Entfernung von Rootkits heißt Avenger. Bei der Infizierung eines Rechners lädt der Trojaner auch dieses Dienstprogramm herunter sowie eine Liste von Dateien, die entfernt werden sollen. Für eine erfolgreiche Entfernung von G-Buster müssen Cyberkriminelle folglich nur das Dienstprogramm Avenger starten und das System neu laden.
Abb. 5: Code zur Entfernung des Plug-ins G-Buster unter Verwendung des legalen Tools Avenger
Der einzige Parameter von Avenger ist der komplette Pfad zu den Dateien, die entfernt werden sollen. Wie der Screenshot zeigt, wurde in diesem Fall das Plug-in G-Buster nur von Systemen entfernt, die in Portugiesisch oder Englisch installiert wurden.
Nach einem Neustart des Systems ist das Original-Plug-in vollständig entfernt, an seiner Stelle installiert sich in manchen Fällen ein gefälschtes Plug-in mit Schadfunktion. Auch dieses unechte Plug-in ermöglicht den Zugang zum Bankkonto, wobei dann die eingegebenen Daten gestohlen und an die Betrüger übermittelt werden.
Genau dasselbe Prinzip – Avenger-Tool mit genau festgelegten Dateipfaden für die Entfernung beim Neustart des Computers – wird auch für die Entfernung von Virenschutzprogrammen auf Anwenderrechnern verwendet.
Datendiebstahl
Der auf die Anwenderrechner heruntergeladene Bank-Trojaner übermittelt bei der nächsten Transaktion die Zugangsdaten zum Konto des Opfers an die Betrüger. Diese Daten werden entweder per E-Mail an die Cyberkriminellen übermittelt oder aber auf einen FTP-Server bzw. Remote-Server mit den Datenbanken hochgeladen.
Abb. 6: Codefragment zur Versendung gestohlener Daten an den Remote-Server mit den Datenbanken.
Abb. 7: Auszug aus den Datenbanken (von Kriminellen entwendete Daten zu den Konten der Benutzer)
Abb. 8: Auszug aus den Datenbanken der Bank Bradesco (von den Betrügern gestohlene Kundendaten)
Die Abbildungen oben zeigen Fragmente real existierender Datenbanken, in denen Kundendaten wie Benutzername, Passwort, Sicherheitszertifikat usw. gespeichert sind. Doch die Cyberverbrecher beschränken sich nicht auf den Diebstahl von Daten zu Bankverbindungen und für den Zugang zu sozialen Netzwerken. Sehr häufig versuchen sie, die MAC-Adresse der Netzwerkkarte des Users zu identifizieren, dessen IP-Adresse, den Computernamen sowie andere Daten, die man beim Log-in der Bank benötigt. Dabei schützen sich die Kriminellen selbst, indem sie ihr Opfer kompromittieren. Denn sollte die Bank Nachforschungen anstellen, so zeigen die Protokolle, dass der Kunde selbst das Geld vom Konto abgehoben oder auf ein anderes Konto überwiesen hat.
Auch die E-Mail-Konten auf einem infizierten Computer (also die E-Mail-Adressen des Nutzers mit den entsprechenden Zugangs-Passwörtern) sind ein gefundenes Fressen für die Cyberverbrecher. Denn sehr häufig werden diese Adressen und Passwörter auch als Log-in für soziale Netzwerke verwendet. Wie schon erwähnt, werden dadurch Online-Betrügern Tür und Tor geöffnet. Zudem dienen diese Adressen häufig der Bank für die Kontaktaufnahme mit dem Kunden via E-Mail. Diese Adressen sind also für die Banken absolut vertrauenswürdig – man kann sich leicht vorstellen, welchen Schaden ein Betrüger anrichten kann, wenn er im Besitz solcher Adressen ist.
Auch für den Diebstahl der Zugangs-Passwörter von E-Mail-Accounts verwenden Betrüger legale Programme, die normalerweise zum Einsatz kommen, wenn ein User sein E-Mail-Passwort vergessen hat. Diese Tools lesen dann die in den E-Mail-Clients gespeicherten Passwörter aus, zumindest bei den populärsten Clients wie Microsoft Outlook oder Microsoft Outlook Express.
Im Fall der Cyberkriminellen werden die ermittelten E-Mail-Adressen und Zugangsdaten dann an einen Remote-Webserver übermittelt.
Abb. 9: Dieser Code-Auszug zeigt ein paar der Kommandos, mit denen die gestohlenen Adressen an den Remote-Webserver versendet werden.
Abb. 10: Die von den Betrügern gestohlenen Daten werden auf dem Webserver abgelegt.
Profil der Cyberkriminellen
Haben die Cyberkriminellen die persönlichen Daten des Internetanwenders ermittelt, so missbrauchen sie bei hohen Geldbeträgen für die erste Transaktion vom Konto des Opfers so genannte „Money Mules“, über welche die Gelder weiter auf Drittkonten transferiert werden. Anschließend erhalten die Money Mules dafür einen bestimmten Prozentsatz des Betrags. Geht es jedoch nur um den Diebstahl kleinerer Geldbeträge (zwischen 200 und 500 Dollar), so wird das Geld gemeinhin direkt auf das Konto der Verbrecher überwiesen.
Um zu verstehen, wie die Cyberbetrüger ticken, sollten man folgende Punkte in Betracht ziehen:
Fast alle Bank-Trojaner sind in der Programmiersprache Delphi geschrieben.
Einige Samples sind mit den Viren Virut oder Induc infiziert.
In einigen Fällen werden zur Verbreitung der Schadprogramme legale Internetseiten gehackt.
Wenn man die Lehrpläne der Universitäten in Brasilien analysiert, wird man feststellen, dass die Programmiersprache Delphi dort nicht gelehrt wird. Programmieren mit Delphi wird also nicht an der Universität vermittelt, sondern nur in Programmierkursen oder in Fachschulen angeboten. Dies bedeutet, dass die Cyberkriminellen nicht unbedingt eine Hochschulbildung haben müssen und wahrscheinlich noch ziemlich jung sind.
Da einige Samples mit Viren wie Virut infiziert sind, kann es vorkommen, dass auch die Rechner der Cyberbetrüger selbst infiziert sind. Solche Infizierungen stammen sehr häufig von Peer-to-Peer-Seiten sowie von Internetseiten, die Crackprogramme zum Hacken von Software, Seriennummern und pornographische Inhalte anbieten. Der Grund: Höchstwahrscheinlich nutzen Cyberkriminelle häufig selbst diese Seiten und Programme. In Brasilien werden diese Seiten vorwiegend von jungen Menschen besucht. Es kann also vermutet werden, dass die Cyberverbrecher vergleichsweise jung sind.
Da die Cyberkriminellen legale Internetseiten hacken, arbeiten sie höchstwahrscheinlich im Team, wobei jedes Teammitglied sein Spezialgebiet hat: Hacken, Schreiben von Malware und dergleichen. Kaspersky-Nachforschungen haben auch ergeben, dass hinter den Cyber-Angriffen auf die Kunden brasilianischer Banken oftmals nicht einzelne Personen stecken, sondern ein Zusammenschluss aus mehreren Online-Betrügern, meist jungen Menschen aus einkommensschwachen Familien. Das Ziel dieser Cyber-Gangs ist der schnellstmögliche Profit: Sie schreiben Schadcodes, infizieren die Benutzer, stehlen ihr Geld, geben es aus und fangen wieder von vorne an. Aus diesem Teufelkreis kommen diese jungen Menschen nur schwer wieder heraus.
Ermittlungen der brasilianischen Polizei haben vor kurzem zur Festnahme einiger Cyberverbrecher geführt. Zwei Fotos der festgenommenen Personen bestätigen die in dieser Analyse gestellten Vermutungen.
Abb. 11: Fotos der Cyberkriminellen (aus den Archiven der brasilianischen Bundespolizei)
Es schien, als hätten die Kaspersky-Experten ein recht wirklichkeitsgetreues Profil von den Cyberverbrechern erstellt. Allerdings stellte sich heraus, dass die ganze Sache doch nicht ganz so einfach ist.
Die Spur nach Russland
Die typischen brasilianischen Bank-Trojaner besitzen eine Reihe von charakteristischen Besonderheiten: Die Dateien sind sehr groß, Textfragmente im Code sind in portugiesischer Sprache usw. In bestimmten Abständen tauchen jedoch immer wieder auch besondere Samples auf.
Diese Bank-Trojaner unterscheiden sich auf den ersten Blick durch nichts von „klassischen“ Trojanern. So werden nicht nur dieselben Banken angegriffen, auch die Dateinamen sind meist dieselben. Sieht man jedoch genauer hin, so stellt man doch ein paar signifikante Unterschiede fest:
Die Dateigröße wurde optimiert.
Das Betriebssystem, unter dem die Trojaner kompiliert wurden, ist nicht in portugiesischer Sprache.
Die gestohlenen Daten werden über gesicherte Kanäle übermittelt.
Wer also steckt hinter diesen Bank-Trojanern? Etwa auch Kriminelle aus Brasilien, nur diesmal mit Hochschulabschluss? Eher unwahrscheinlich.
Erstens wird anstelle des üblicherweise verwendeten Avenger zur Entfernung des Sicherheits-Plug-ins der Bank ein anderes Anti-Rootkit-Programm namens Partizan verwendet. Dieses Programm ist Teil von UnHackMe, das in russischer Sprache herausgegeben wird. Zweitens gibt es wie schon erwähnt im Code keine Texte in portugiesischer Sprache. Und drittens konnte Kaspersky Lab nach einer Analyse des geschützten Kanals zur Datenübermittlung überaus interessante Informationen über die Registrierung entdecken:
Abb. 12: Informationen zur Registrierung einer der Verbindungen, die zur Übermittlung von gestohlenen Bankverbindungsdaten dienen.
Wer mag also hinter diesen Angriffen stecken? Auf den ersten Blick sieht alles so aus, als handele es sich tatsächlich um brasilianische Virenschreiber. Falls also ein Ermittlungsverfahren eingeleitet würde, so würde man die Verbrecher in Brasilien suchen. Die Registrierungsdaten und einige andere Anzeichen (z.B. die Programmiersprache, die Dateigröße und die Texte im Code) lassen jedoch vermuten, dass in diesem Fall Cyberverbrecher aus Russland das Geld der Kunden brasilianischer Banken stehlen.
Fazit
Die brasilianische Polizei arbeitet hart an der Ergreifung von Online-Banking-Betrügern. Wieso also nimmt die Anzahl der Schadprogramme trotzdem täglich weiter zu? Vielleicht kann dieses Problem mit der Art und Weise begründet werden, wie die Banken auf den Diebstahl des Geldes ihrer Kunden reagieren. Bis zum heutigen Tage bemühen sich die Banken, Aufsehen erregende Untersuchungen und Verfahren zu umgehen. Verliert ein Kunde durch ein Schadprogramm auf seinem Rechner sein Geld, so erstattet ihm die Bank lieber die gestohlene Summe als ernsthafte, öffentliche Ermittlungen durchzuführen. Dem Kunden wird nur geraten, seinen Rechner zu formatieren und das Betriebssystem neu zu installieren.
Ein weiterer Grund könnten Probleme beim Datenaustausch zwischen den Internet-Abteilungen der Polizei in den verschiedenen Bundesstaaten Brasiliens sein. Solche Probleme sind allerdings nicht ausschließlich typisch für Brasilien, es gibt sie in vielen Ländern der Welt.
Die Cyberbetrüger sind auch deswegen so erfolgreich, weil viele Bankkunden wenig darüber wissen, wie man sich im Internet vor Schadprogrammen schützt.
So lange all diese Probleme (die Unwissenheit über adäquaten Schutz im Internet seitens der Anwender, die angesprochene Politik der Banken, die gesellschaftlichen Bedingungen sowie die unzureichende Gesetzgebung) weiter bestehen, gibt es keinen Anlass zur Hoffnung, dass das Internet sicherer wird. Die Banken sollten lieber in zusätzliche Sicherheitstools für ihre Kunden investieren und diese dann auch kostenfrei anbieten. Denn so verringert sich das Risiko, dass den eigenen Kunden Geld gestohlen und somit auch der Bank verloren geht.
Darüber hinaus wäre die Ausarbeitung eines Modells wünschenswert, das den Informationsaustausch zwischen den Unternehmen, Banken und den zuständigen Behörden im Bereich IT-Sicherheit regelt. So lange hier diese Zusammenarbeit nicht verbessert wird, scheint eine Eindämmung der Zahl der Cyberverbrecher eher unwahrscheinlich.
Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt