Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon

Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Læs nu
Du har ingen artikler på din læseliste
Artiklen er føjet til din læseliste Du har ulæste artikler på din læseliste

Illustration: Kristoffer Løve Østerbye

Illustration: Kristoffer Løve Østerbye

Global økonomi
Læs artiklen senere Gemt (klik for at fjerne) Læst

Banden bag verdens måske største cyberkup er ved at udvide forretningen

Ingen ved, hvem de er, men efterforskerne har døbt dem Carbanak-gruppen.

Global økonomi
Læs artiklen senere Gemt (klik for at fjerne) Læst

Ingen ved, hvem de er.

Faktisk ved vi ikke engang, hvem deres ofre er, eller præcis hvor meget det lykkedes dem at stjæle.

Meget mystik omgiver historien om verdens muligvis største online-bankkup, hvor det tilsyneladende er lykkes en gruppe kriminelle hackere at lænse op mod 100 banker for helt op mod 6,7 milliarder kroner.

Indtil videre er identiteten på de berørte banker ikke kendt i offentligheden, både af hensyn til deres kunder og af hensyn til den fortsatte efterforskning – gruppen er nemlig stadig på fri fod og er ved at udvide forretningen.

Efterforskerne har døbt gruppen Carbanak, baseret på nogle fil-navne i de programmer, de har brugt undervejs.

Men hvordan er det lykkes dem at infiltrere banker i næsten 30 lande i to år, uden nogen opdagede noget?

Ny æra inden for cyberkriminalitet

Hvor der er mange penge, vil der som regel være forbrydere, og bankrøverier har været et kendt fænomen i over et århundrede. Da bankforretningerne gradvist flyttede over på internettet omkring årtusindskiftet, flyttede de kriminelle med.

Men hvor hackere traditionelt set har rettet deres angreb mod bankernes kunder, og har kunnet hente millioner af kroner ved at aflure kodeord til netbanker, var Carbanak-gruppen langt mere sofistikeret. Ved at bruge komplekse metoder kaldet Advanced Persistent Threats – avancerede og vedholdende trusler eller bare APT – der normalt bruges af statslige efterretningstjenester til spionage, kunne gruppen gå direkte mod hjertet af bankerne, nemlig deres interne betalingssystemer.

Fremgangsmåden fik det russiske it-sikkerhedsfirma Kaspersky, som var med til at efterforske og afsløre gruppen, til at kalde Carbanak-kampagnen for »en klar indikator på en ny æra inden for cyberkriminalitet, hvor kriminelle bruger APT-teknikker direkte mod den finansielle industri i stedet for gennem dens kunder«. Det lader til, at spionteknikkerne ikke kun er til at stjæle information med længere.

Hæveautomat spyttede penge ud

For efterforskerne hos Kaspersky startede det hele i foråret 2014, da en bank i Ukraine bad dem om hjælp til at efterforske nogle hæveautomater, som automatisk spyttede kontanter ud, når nogle bestemte mennesker nærmede sig. De analyserede automaterne og fandt spor af et spionprogram, som gav hackerne kontrol med maskinerne.

Det var der som sådan ikke noget usædvanligt i – mindre hackerangreb som det var set før, og isoleret set var det »blot endnu et malware-angreb«. Men få måneder senere blev en af efterforskerne ringet op midt om natten af en sikkerhedschef i en russisk bank. Han kunne se, at systemet sendte store mængder data fra banken til en server et sted i Kina.

Efterforskerne fandt og slettede de programmer, som hackerne havde installeret på bankens computere, men inden da gemte de nogle prøver, som de kunne analysere. Og derfra tog det fart. Ud fra hvordan hackerprogrammerne opførte sig, kunne de finde frem til, hvordan det i første omgang var lykkedes hackerne at få adgang til bankens computere.

Som det normalt er tilfældet ved store elektroniske indbrud, startede hackerne med at sende emails til bankens medarbejdere. Beskederne var forfalskede, så det lignede, at de kom fra en troværdig kilde – enten en af bankens kunder eller fra en anden ansat.

Annonce

Artiklen fortsætter efter annoncen

Annonce

I vedhæftede Word-filer havde de skjult en skadelig kode, som automatisk og usynligt installerede spionprogrammet, så snart filen blev åbnet. Da først hackerne var inde i systemet på den måde, kunne de bevæge sig på tværs af netværket fra computer til computer, indtil de fandt frem til de af bankens ansatte, der styrede de store pengeoverførsler.

Tålmodige og kreative tyve

Hvad ved vi så egentlig om gruppen bag det måske største cyberbankkup nogensinde?

Først og fremmest er de tålmodige, og hvert angreb tog mellem to og fire måneder at gennemføre. Efter at have skaffet sig adgang til bankens systemer, overvågede de deres ofre i månedsvis for at kunne imitere deres bevægelser. På den måde kunne de lave nye pengeoverførsler, som ikke rejste nogen flag i bankens sikkerhedssystemer. Pengene overførte de til falske konti, som de havde oprettet i USA og Kina.

Vi ved også, at de er kreative. Udover at imitere de ansatte for at lave pengeoverførsler, brugte de også andre metoder til at stjæle pengene.

En anden metode var at gå direkte efter bankernes interne økonomisystemer. Her kunne de ændre på kontobeholdningerne, så en bankkonto, der før havde 5.000 kroner, nu havde 50.000 kroner. Med det samme overførte de differencen på 45.000 til sig selv, og med de oprindelige 5.000 kroner stadigt stående på kontoen, opdagede ejermanden aldrig, at der var noget galt.

Endeligt kunne gruppen fjernstyre hæveautomater til at spytte store bundter penge ud fra deres falske konti, når deres maskerede medsammensvorne nærmede sig. I et af tilfældene blev en bank frarøvet knap 50 millioner kroner på denne måde.

Artiklen fortsætter efter annoncen

Annonce

Udvider forretningen til resten af verden

Kaspersky har samarbejdet med en række regionale myndigheder samt nationale CERT-organisationer (Computer Emergency Response Team) i efterforskningen af Carbanak-gruppen. Ud fra deres analyser af de digitale spor, har de identificeret berørte banker i blandt andet Rusland, Kina, Japan, Ukraine, Tyskland, Spanien og Sverige.

Størrelsen på tyvenes udbytte vurderer Kaspersky at være op mod 6,7 milliarder kroner, baseret på informationer fra nogle af ofrene og fra de medvirkende politimyndigheder. Røverne er den dag i dag hverken identificeret eller fanget, og ifølge det russiske it-sikkerhedsfirma er de tværtimod ved at udvide forretningen.

»Eksisterende data indikerer, at Carbanak-gruppen forsøger at udvide operationerne til andre baltiske og centraleuropæiske lande, Mellemøsten, Asien og Afrika«, skriver de i rapporten om Carbanak.

Læs mere:

Annonce

For abonnenter

Annonce

Podcasts

Forsiden