FIN6 Backdoor
FIN6 Backdoor

FIN6: Komplexe Hacking-Kampagne gegen die Finanzindustrie aufgedeckt

FIN6 nennt sich die nicht unbekannte Gruppe von Cyber-Ganoven. Abgesehen haben sie es auf die Amerikanische und europäische Finanzindustrie

Nocturnus ist eine sehr renommierte Gruppe von CybereasonSicherheitsforschern. Jetzt haben sie erneut einen groß angelegten Hacker-Angriff auf die US-amerikanische und europäische Finanzindustrie aufgedeckt. FIN6 nennt sich die uns nicht ganz unbekannte Gruppe von ausgebufften Cyber-Ganoven, die hinter diesen neuen Angriffen stecken soll.

Nocturnus: der ewige Kampf gegen die Cyberkriminalität

NocturnusDie Sicherheitsforscher von Nocturnus gehören zu der bereits 2012 in Delaware, USA gegründeten Firma Cybereason. Cybereason hat ihren Hauptsitz in Boston, Massachusetts. Das Nocturnus „Jagdteam“ überwacht kontinuierlich Cyber-Bedrohungen auf der ganzen Welt.

Schon so einige APTs und ausgefeilte Malware konnte von ihnen aufgespürt werden. Die Untersuchung und Aufdeckung von mehreren großen und teils globalen Cyber-Attacken wie z.B. NotPetya, Bad Rabbit, Operation Cobalt Kitty, und Operation Soft Cell gehen auf ihr Konto.

FIN6: Hacking-Kampagne zielt auf exklusive und hochkarätige Ziele

FIN6
FIN6

Bereits seit Oktober ist das „Jagdteam“ von Nocturnus einer ihnen schon länger bekannten Gruppe von Cyberkriminellen auf der Spur. FIN6 nennt sich die Gruppe von Hackern. Abgesehen haben sie es hauptsächlich auf Finanz-, Produktions- und Einzelhandelsunternehmen in den USA und Europa. Begonnen haben sie die Hacking-Kampagne mit einer recht einfach gestrickten Trick-Bot Infektion. Nach und nach entwickelte FIN6 daraus aber einen ausgeklügelten Hacker-Angriff. Im Gegensatz zu früheren Hacker-Angriffen, bei denen es darum ging, eine massive Ransomware  Infektion (Ryuk oder LockerGoga) zu verursachen, konzentriert sich dieser neue Vorgang auf Point-of-Sale-Systeme (PoS). FIN6 nutzt für diese Hacker-Angriffe eine jetzt neu entdeckte Malware-Familie namens „Anchor“. Anchor hat man speziell dafür geschaffen, um damit exklusive und hochkarätige Ziele anzugreifen.

Operation „Dropping Anchor“

crimebiz.net Fake-ShopsDie Anchor-Malware ist eine sogenannte Backdoor, die sehr selektiv und meist nur auf hochkarätige und sich für die Ganoven lohnende Ziele angesetzt wird. Die Sicherheitsforscher vermuten, dass Anchor sehr eng mit dem schon bekannten TrickBot verbunden ist. Möglicherweise stammt Anchor sogar von denselben Personen, die den TrickBot erstellt haben.

Wie auch das Online Magazin The Jerusalem Post heute berichtet, ist durch die Nocturnus-Sicherheitsforscher bekannt geworden, dass FIN6 verschiedene Arten von Viren verwendet, um auf Computer zuzugreifen und sensible Informationen von diesen zu stehlen. Während sehr viele dieser Infektionen niemals zu tatsächlichen Angriffen führen, ist der infizierte Computer, sobald sich ein solcher Virus erst einmal im System ausgebreitet hat, einem eventuellen Hacker-Angriff hilflos ausgeliefert. Der befallene PC kann dann jederzeit dazu gebracht werden, um Ransomware zu installieren oder sensible Informationen von ihm zu kopieren. Aktiv werden die Cyber-Ganoven erst dann, wenn sie finden, dass ein befallenes System ein lohnendes Ziel für ihre Absichten sein könnte.

Anchor: eine neue, noch undokumentierte Malware

Die sogenannte Anchor Backdoor konnten die Nocturnus-Sicherheitsforschern bislang noch nicht ausreichend dokumentieren. Was aber bisher über diese relativ neue von FIN6 eingesetzte Backdoor bekannt ist, fassten die Sicherheitsforscher in ihrem Blog für uns zusammen:

  • POS-Systeme im Visier: Die Angriffe zielen auf PoS-Systeme ab, um vertrauliche Informationen zu stehlen, indem kritische Assets im Netzwerk der Opfer übernommen werden.
  • Bereitstellen einer Hintertür (Backdoor) für lohnenswerte Ziele: Auf bestimmten hochkarätigen Zielen verwenden die Angreifer selektiv eine neue Variante des seltenen Tools Anchor_DNS. Anchor_DNS ist eine Hintertür, die das DNS-Protokoll verwendet, um heimlich mit C2-Servern kommunizieren zu können.
  • Man verwendet eine neue, undokumentierte Malware: Zusätzlich zur neuen „Anchor_DNS-Variante“ verwenden die Angreifer eine völlig neue und zuvor undokumentierte Malware namens Anchor. Anchor ist seit August 2018 in Betrieb und scheint eng mit dem bekannten TrickBot verwandt zu sein.
  • Fügt Verbesserungen zum TrickBot hinzu: Dieser Angriff fügt dem TrickBot ein neues und verbessertes Modul zum Stehlen hinzu. Sie konzentriert sich hauptsächlich auf das Stehlen von Passwörtern aus verschiedenen Produkten, einschließlich des KeePass-Passwortmanagers.

Noch nicht das Ende von FIN6

Die Tricks der Cyber-Ganoven werden immer ausgefeilter. Die Sicherheitsforscher von Cybereason rechnen daher damit, in Zukunft noch viel von FIN6 und ihrer neuen Malware zu hören. Gerade weil sie sich nur auf eine kleine Auswahl sich lohnender Opfer konzentrieren, gehen die Sicherheitsexperten davon aus, dass sie in den letzten sechs Monaten bereits Dutzende Millionen Dollar gestohlen haben könnten.

Foto geralt, thx!

Tarnkappe.info

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.