Das Sicherheitsunternehmen „Kaspersky“ warnt, dass Kriminellen offenbar das gelingen ist, vor dem sich jeder Computer-Nutzer fürchtet: ein Angriff, der keine Spuren hinterlässt, weil der Rechner dateilos infiziert wird. Aufgespürt hat die Attacke das Sicherheitsteam einer Bank, das Unregelmäßigkeiten im eigenen Netzwerk feststellte. Inzwischen ist klar: Entsprechende Angriffe wurden in über 40 Ländern auf mehr als 100 Firmen durchgeführt – Tendenz steigend.
Malware-Code versteckt sich im RAM
Hacker-Angriffe werden in der Regel mittels Dateien durchgeführt. Sicherheitsprogramme suchen deshalb nach diesen. Verläuft die Infektion ohne Datei, sind die meisten Anti-Viren-Software-Lösungen bereits besiegt. In diesem Fall versteckte sich der Schadcode in Form eines Meterpreter-Payloads. Er tarnte sich als Kommunikationsdaten, die über Ladebefugnisse verfügen. Die gefährliche Payload lud die Powershell der jeweiligen Windows-Rechner und hatte damit praktisch bereits kompletten Zugriff auf den Rechner. Über die API von Windows konnte der Code Speicher freigeben und jenen mit Malware bestücken. Zudem wurden anschließend Administrationswerkzeuge wie beispielsweise sc oder auch netsh verwendet.
Kaspersky hat sich darum bemüht, Indikatoren aufzulisten, nach denen bestimmt werden kann, ob der eigene Rechner befallen ist oder nicht. Allerdings ist die Liste zu einem sehr kurz, zum anderen schreibt das Sicherheitsteam selbst, dass „die Artefakte in dem Fall gefunden wurden, den wir bearbeitet haben. Sie können sich unterscheiden.“ Dies gelte beispielsweise für die verwendete IP.
Wer ist verantwortlich?
Laut Kaspersky ist eine Zuschreibung der Angriffe praktisch unmöglich, da es keine Spuren gebe, die auf die Täter hindeuten würden. In der Vergangenheit hätten Angriffe von GCMAN und der Carbanak Gang die größte Ähnlichkeit mit den aktuellen Attacken gehabt. Die Carbanak Gang wurden beispielsweise dafür bekannt, dass Sie 2015 rund eine Milliarden US-Dollar von amerikanischen Banken erbeuten konnte.
