»Lazarus« erbeutet erneut zweistelligen Millionenbetrag: Nordkoreanische Hacker kapern Bankensysteme

Security-Experten von Symantec gehen davon aus, dass die Angreifer bei den jüngsten Cyberattacken auf Geldautomaten auch Schadcode in die dahinter liegenden IT-Systeme der Banken eingeschleust haben.

(Foto: VRD - Fotolia)

Die Cyberattacken auf Geldautomaten in Asien und Afrika, bei denen im Oktober erneut zweistellige Millionensummen erbeutet wurden, waren offenbar nur die Spitze des Eisbergs. Das berichten jetzt Security-Experten von Symantec, die die Vorfälle eingehend untersucht haben. Ihnen zufolge betrafen die Manipulationen nicht nur die Geldautomaten selbst, sondern auch die zentralen Server, über die die Abbuchungen genehmigt und abgewickelt werden. Diese seien bereits im Vorfeld über Schwachstellen in den Netzwerken der Banken mit der speziellen Schadsoftware »Trojan.Fastcash« infiziert worden, die es den Angreifern erlaubte, die unrechtmäßigen Abbuchungen freizugeben und so die Automaten komplett zu entleeren (siehe Infografik auf Seite 2).

Aufgefallen waren die so genannten »FASTCash« Angriffe erst, nachdem die amerikanische IT-Sicherheitsbehörde CERT (Computer Emergency Readiness Team) gemeinsam mit dem Heimatschutzministerium, dem Finanzministerium und dem FBI Anfang Oktober weltweit eine dringende Warnung veröffentlicht hatte. Sie gehen davon aus, dass die Angriffe bereits seit mindestens 2016 laufen und vermuten dahinter die in Nordkorea verortete Hackergruppe »Lazarus«.

Diese war in der Vergangenheit unter anderem schon durch Großangriffe auf die Zentralbank von Bangladesch mit über 80 Millionen Dollar Beute sowie gegen das Filmstudio Sony Pictures aufgefallen. Auch die Verschlüsselungs-Ransomware WannaCry, die 2017 den bisher größten weltweiten Cyberangriff auslöste, soll zumindest in wesentlichen Teilen von den Lazarus-Hackern stammen.

Übersicht