Ende letzten Jahres wurde der Angriff auf die amerikanische Discounter-Kette Target bekannt. Kriminelle hatten sich über die Kassensysteme der US-Kaufhauskette Datensätze von etwa 40 Millionen Kredit- und Debitkarten sowie etwa 70 Millionen Kundenkonten beschafft. Das Einfallstor für diesen ausgeklügelten Angriff dürfte ein Netzwerkzugang für einen technischen Dienstleister gewesen sein. Die Firma installiert Kühlgeräte und kümmert sich um Heizungs- und Lüftungssysteme. Allerdings besaßen die Dienstleister einen Fernzugang zum internen Netzwerk Targets. Die Angreifer erbeuteten anscheinend diese Zugangsdaten und nutzen Sie für den Datenklau.

 

Die Datenverbindung zwischen Dienstleister bestand ausschließlich für elektronische Rechnungslegung, die Übermittlung von Verträgen und für das Projektmanagement. Es scheint also, dass die Warenhauskette kein getrenntes Netzwerk für Zahlungsabwicklungen hat. Der Datensicherheitsstandard der US-Bezahlkartenbranche verlangt eine solche Trennung auch nicht verlangt

 

Die Angreifer haben die erbeuteten Informationen anscheinend auch nicht direkt heruntergeladen. Sie wurden auf zuvor gehackte Computer in verschiedenen Ländern kopiert und erst von dort heruntergeladen. Nach Erkenntnissen der Sicherheitsexperten von FireEye konnte die Spur jetzt zu einem Individuum zurückverfolgt werden, das allem Anschein nach aus der Ukraine heraus operiert.

 

Die gestohlenen Kreditkarteninformationen werden in russischsprachigen Foren verkauft. Obwohl Cyber-Kriminalität natürlich nicht ausschließlich in Osteuropa stattfindet, war der Anstieg der Kriminalität in dieser Gegend sicher durch den Aufstieg und den Sturz der Sowjetunion beeinflusst. Ein weiterer Faktor ist die Menge an gut ausgebildetem, technischem Personal, gepaart mit dem Mangel an lukrativen Job-Angeboten. Dieser Zustand hat Netzwerke von talentierten Cyber-Kriminellen hervorgebracht. Da das Risiko einer Verfolgung sehr gering ist, blühen diese Netzwerke weiterhin auf.

 

Diese Netzwerke werden mithilfe von Partnermodellen organisiert, sogenannten “partnerkas”. Partnerkas beruhen auf einer Reihe von fragwürdigen Beziehungen, die es den Cyber-Kriminellen erlauben, von Aktivitäten wie Spam, Fake AntiVirus, Clickfraud oder Ransomware zu profitieren. Bei diesem Modell werden Entwicklung und Distribution unter mehreren Akteuren aufgeteilt. Partnerka liefert das Produkt – ob Malware Binaries oder Pharmazeutika – und die Mitglieder verteilen es. Um ihre Operationen durchzuführen verlassen sich Partnerkas auf Payment Processing Capabilities, bombensicheres Hosting und den Schwarzmarkt.

 

Die Fähigkeit, Kreditkartenzahlungen über Firmen wie Chronopay abzuwickeln, erlaubt es Cyber-Kriminellen, die Installation von falscher Antiviren Software in Rechnung zu stellen, Kreditbetrug zu begehen und pornografische Websites zu unterstützen. Interessanterweise gibt es viele Überschneidungen der Porno-Website Industrie in Russland mit Cyber-Kriminellen, etwa das Auftauchen sogenannter Porndialers.

 

Ihre Server vor Strafverfolgung zu schützen ist für Botnet Operateure essentiell – genannt wird diese Fähigkeit „Bulletproof Hosting“. Der bekannteste Bulletproof Hosting Server ist das nicht mehr bestehende Russian Business Network. Zusätzlich zu dem Hosting von Command und Control Servern betrieb die Gruppe auch Phishing Webseiten und Websites für Kindesmissbrauch. Während das RBN zwar nicht mehr existiert, erfüllen inzwischen mehrere kleine Akteure diese Rolle.

 

Es gibt unzählige Möglichkeiten für den Schwarzhandel, vor allem Foren, die den Entwicklern ein Cybercrime Ecosystem bieten, um sich mit Distributoren und Service-Anbietern zu verbinden. Diese Foren bieten außerdem denjenigen eine Plattform, die die Früchte ihrer Aktivitäten verkaufen möchten – beispielsweise gestohlene Kreditkarten, Kontoinformationen oder Zeugnisse.

 

Aber zurück zu dem Angriff auf Target: Auch hier ist das beschriebene System wieder im Einsatz. Während noch nicht alle Details der Attacke bekannt sind, wurde die eingesetzte Malware, bekannt als KAPTOXA oder BlackPOS, von „ree4“ entwickelt, der sich Vermutungen zufolge in Russland befindet. Die Malware wurde in Foren für 1.800 – 2.300 US Dollar verkauft. Rescator, ein weiterer Akteur in diesen Foren, verkauft höchstwahrscheinlich Daten von Target Kunden. In Texas gab es Berichte über Verhaftungen von zwei Individuen, die mit gefälschten Kreditkarten erwischt wurden – inklusive solcher, die bei dem Target Angriff gestohlen worden sein könnten.

 

Siehe auch:

http://www.sophos.com/medialibrary/PDFs/technical papers/samosseikovb2009paper.pdf

http://www.washingtonpost.com/wp-dyn/content/article/2007/10/12/AR2007101202461.html

http://intelcrawler.com/about/press08

http://krebsonsecurity.com/2013/12/whos-selling-credit-cards-from-target/

 

Zum Computer:Club² Audioarchiv:

http://www.cczwei.de/index.php?id=issuearchive