Carbanak Cyberkriminalität mit russischer Sicherheitsfirma verbunden?

Ursprünglicher Autor: Brian Krebs
  • Übersetzung
Brian Krebs hat in seinem Blog ein umfangreiches Material verfasst, das einen interessanten Blick darauf zeigt, wer und wie mit der Carbanak-Gruppe verbunden ist. Es ist sensationell, in etwa 100 Finanzinstitute eingebrochen zu sein und etwa 1 Milliarde US-Dollar gestohlen zu haben.

Nachstehend finden Sie eine Übersetzung dieses Artikels (bitte schreiben Sie Kommentare in privaten Nachrichten).


Die bekannteste Cyberkriminellengruppe ist die Carbanak-Gruppe. Diesen Hackern aus Osteuropa wird vorgeworfen, mehr als eine Milliarde Dollar von Banken gestohlen zu haben. Wir werden uns heute einige überzeugende Beweise ansehen, die auf die Beziehung zwischen Carbanak und einem russischen Sicherheitsunternehmen hinweisen, das behauptet, mit einigen der größten Cybersicherheitsmarken zusammenzuarbeiten.

Die Carbanak-Gruppe hat ihren Namen von böswilliger Bankensoftware, die bei unzähligen Cyberdiebstählen zum Einsatz kommt. Diese Gruppe ist wahrscheinlich die bekannteste, wenn sie mit infizierten Microsoft Office-Dateien in Banknetzwerke eindringt und dann über diesen Zugriff Bargeld an Geldautomaten ausgibt. Nach Schätzungen von Kaspersky Lab hat Carbanak wahrscheinlich mehr als 1 Milliarde US-Dollar gestohlen, vor allem aber von russischen Banken.

Bild


Ich habe kürzlich vom Informationssicherheitsforscher Ron Guilmette erfahren, dass er einige interessante Ähnlichkeiten in den Website-Protokollen gefunden hat, die zuvor für die Malware-Verteilung der Carbanak-Gruppe verantwortlich waren.

Beispielsweise wurden die Domänen weekend-service [dot] com, coral-trevel [dot] com und freemsk-dns [dot] com von mehreren Sicherheitsfirmen als Carbanak-Betrugsverteilungszentren identifiziert. Die WHOIS-Verlaufsaufzeichnungen für alle drei Domänen enthalten dieselbe Telefon- und Faxnummer, die Xicheng Co. besitzt. in China - 1066569215 und 1066549216, die jeweils mit +86 (chinesische Vorwahl) oder +01 (USA) beginnen. Jeder Eintrag enthält auch die gleiche E-Mail-Adresse: "williamdanielsen@yahoo.com".

Laut ThreatConnect wurden mindestens 484 Domains unter williamdanielsen@yahoo.com oder unter einer von 26 E-Mail-Adressen registriert, die denselben Telefonnummern und dem chinesischen Unternehmen zugeordnet sind. "Mindestens 304 dieser Domänen waren mit einem böswilligen Plug-In verknüpft, das zuvor Carbanak zugeschrieben wurde", berichtet ThreatConnect.

Kehren wir zu diesen beiden Telefonnummern 1066569215 und 1066549216 zurück. Auf den ersten Blick scheinen sie konsistent zu sein, doch ein genauerer Blick zeigt, dass sie sich in der Mitte geringfügig unterscheiden. Unter den wenigen mit diesen chinesischen Nummern registrierten Domains, die beim Start der Malware nicht aufgetaucht sind, gibt es eine Website namens „cubehost [dot] biz“, die im September 2013 mit einem 28-Jährigen registriert wurdeArtyom Tveritinov aus Perm, Russland.

Cubehost [dot] biz ist jetzt eine inaktive Site, die anscheinend zur russischen Firma Infocube gehört. Die InfoCube-Website - infokube.ru - ist auch bei Artyom Tveritinov registriert. Es gibt Dutzende von Einträgen in der WHOIS-Historie für infokube.ru, aber nur der älteste Originaldatensatz von 2011 enthält die E-Mail-Adresse atveritinov@gmail.com. Dieselbe
E-Mail-Adresse wurde verwendet, um das Profil von Artyom Tveritinov aus Perm auf VKontakte zu registrieren .

Herr Tveritinov wird in einer Pressemitteilung als „InfoKub-CEO“ aufgeführtvon der Moskauer Sicherheitsorganisation FalconGaze, einem Unternehmen, das mit InfoKube zusammengearbeitet hat, um "Datenschutz und Personalüberwachung" in einem russischen kommerziellen Forschungsinstitut umzusetzen.

Übrigens, Falcongaze gab gestern bekannt, dass es die Technologie zum Abfangen von Telegrammnachrichten hat, auf die Pavel Durov geantwortet hat, dass es sich bei ihrem Programm um einen Trojaner handelt .

In eigenen Pressemitteilungen von InfoKube heißt es, das Unternehmen entwickle derzeit ein "System zum Schutz von Informationen vor unbefugtem Zugriff" für Perm und das Gebiet Perm und beteilige sich an einer Reihe von Beratungsprojekten zum Thema "Informationssicherheit", die gemeinsam mit dem russischen Innenministerium durchgeführt wurden.

Auf der Website des Unternehmens wird behauptet, InfoKube arbeite mit verschiedenen Sicherheitsfirmen zusammen, darunter Symantec und Kaspersky. Letzteres bestätigt, dass InfoKube ein "sehr unbedeutender Partner" von Kaspersky Lab war und hauptsächlich an der Integration von Systemen beteiligt war. Zyxel berichtet, dass es keine Partner mit dem Namen InfoKube gab. Laut ESET „war und ist Infokube kein Partner von ESET in Russland.“

Im Zusammenhang mit den Ergebnissen von Guilmette wollte ich Herrn Tveritinov wirklich fragen, wie die Telefon- und Faxnummern für das chinesische Objekt, dessen Telefonnummer zum Synonym für Internetkriminalität wurde, genau auf das WHOIS der Cubehost-Website kopiert wurden. Ich schickte Anfragen per E-Mail und über seine VK-Seite an Herrn Tveritinov.

Zunächst erhielt ich eine freundliche Antwort per E-Mail, in der ich meine Neugier auf meine Anfrage und die Frage, wie ich seine E-Mail gefunden habe, zum Ausdruck brachte. Während ich eine detailliertere Frage zusammenstellte, bemerkte ich, dass das Profil von VKontakte, das Tveritinov seit April 2012 regelmäßig gepflegt hatte, nun endgültig gelöscht wurde. Artems Profilseite und seine Fotos verschwanden tatsächlich auf meinem einen Monitor vom Bildschirm, während ich gerade einen Brief an ihn auf einen anderen schrieb.

Kurz nachdem Tveritinovs VK-Seite gelöscht wurde, erhielt ich eine E-Mail von ihm. Tveritinov ignorierte meine Frage nach dem plötzlichen Verschwinden eines sozialen Profils und sagte, dass er cubehost.biz nicht registriert habe und dass seine persönlichen Daten gestohlen und in Registrierungsaufzeichnungen für cubehost.biz verwendet wurden.

"Unsere Firma hat noch nie etwas Illegales getan und führt alle Aktivitäten in Übereinstimmung mit den Gesetzen der Russischen Föderation durch", sagte er per E-Mail. "Darüber hinaus ist es ziemlich dumm, unsere persönlichen Daten für die Registrierung von Domains zu verwenden, die für Straftaten verwendet werden, da [wir] Experten auf dem Gebiet der Informationssicherheit sind."

Es stellt sich heraus, dass InfoKube / Cubehost auch eine große Anzahl von IP-Adressen verwendet, die von St. Petersburg Internet Network LLC („PIN“), einem Internetdienstanbieter in St. Petersburg, verwaltet werden.

Beispielsweise werden viele der oben genannten Domainnamen, die Cybersicherheitsunternehmen mit der Carbanak-Distribution in Verbindung bringen (z. B. freemsk-dns [dot] .com), auf den Internetadressen von Cubehost gehostet. Eine Registrierungssuche nach Block 146.185.239.0/24 zeigt eine physische Adresse in der Region Ras al Khaimah, Vereinigte Arabische Emirate. Diese Region möchte sich einen Ruf als Steueroase erarbeiten und einen Ort, an dem Sie auf einfache Weise völlig anonyme Offshore-Unternehmen gründen können. Die gleiche RIPE-Liste besagt, dass Beschwerden über Internetadressen in diesem Block an "info@cubehost.biz" gerichtet werden sollten.

Dieser Hosting-Anbieter in St. Petersburg, PIN, hat ein hohes Maß an Bekanntheit erlangt und ist aufgrund seines Rufs als Zufluchtsort für alle Arten von Online-Bösewichten wahrscheinlich einer weiteren Untersuchung wert.

Tatsächlich nannte Doug Madory, Direktor für Internetanalyse bei Dyn , die Firma St. Petersburg Internet Network LLC als "... vielleicht den führenden Bieter für den Namen" Mos Eisley Internet "(in Bezug auf einen Raumhafen voller außerirdischer Krimineller). im Film "Star Wars" im Jahr 1977).

Madory erklärt, dass der sehr schlechte Ruf von St. Petersburg Internet Network LLC auf die Veranlagung des Anbieters zurückzuführen ist, große Teile von Internet-Adressblöcken zu verbergen, die ihm eigentlich nicht gehören. Anschließend wird dieser gestohlene Adressraum an Spammer und andere Internet-Eindringlinge weitergegeben.

Guilmette weist seinerseits auf die zehnjährige Bedeutung anderer widerlicher Aktivitäten im Internet-Adressraum hin, die offenbar Tveritinov und seiner Firma gehören. Beispielsweise hat Microsoft im Jahr 2013 viele dort geparkte Domains beschlagnahmt, die als Kontrollknoten für Citadel Anti-Online-Banking-Malware verwendet wurden, und alle diese Domains hatten dieselben „Xicheng Co.“ -Daten in ihren WHOIS-Datensätzen. Im September 2011 ein Bericht im Sicherheits Blog dynamoo.com stellt fest , mehrere Domains mit dem Xicheng Co. WHOIS-Informationen, die auf die Verwendung des Sinowal-Trojaners bei Diebstahl durch Online-Banking hinweisen, wurden bereits 2006 entdeckt.

„Wenn Herr Tveritinov auch nur einen kleinen Teil des Verbrechens in seinem Adressraum kannte oder direkt daran beteiligt war, dann die Wahrscheinlichkeit, dass er auch in anderen weiteren kriminellen Unternehmen eine Rolle spielt, einschließlich vielleicht sogar bei den Raubüberfällen der Carbanak Cyberbank ... wird glaubwürdiger und glaubwürdiger “, sagt Guilmette.

Inwieweit die Carbanak-Gruppe noch aktiv ist, bleibt unklar. Im vergangenen Monat nahmen russische Behörden 50 Personen fest, die angeblich einer organisierten Cyberkriminellengruppe angehören, deren Mitglieder aus Russland, China, der Ukraine und anderen Teilen Europas stammen. Die Aktion wurde als die größte Inhaftierung von Finanzhackern in Russland angekündigt.



Lassen Sie mich daran erinnern, dass dies eine Übersetzung des Artikels ist. Kommentare, bitte schreiben Sie in privaten Nachrichten.

Jetzt auch beliebt: