Der Hacker Phineas Phisher behauptet, Hunderttausende von Pfund Sterling in einem Hack der Cayman National Isle of Man Bank im Jahr 2016 erzielt zu haben.
„Ein Bankraub ist einfacher, als Sie vielleicht denken, vor allem,
wenn es Ihnen egal ist, welche Bank Sie ausrauben.“ Das könnte das Motto
des scheinbar selbstsüchtigen Hackers Phineas Phisher zu sein.Ein
Vorfallsbericht, den Phineas Phisher durchsickern ließ, bestätigt diese
Behauptung. Er beschreibt das Eindringen in das Management der
ausgeraubten Bank Cayman National Bank (Isle of Man) Limited (CNBIOM)
und ihrer Schwestergesellschaft Cayman National Trust Company (Isle of
Man) Limited (CNTIOM).
Die Überprüfung der von Phineas Phisher verwendeten Methoden gibt Aufschluss darüber, wie anfällig unsere Finanzinfrastruktur für Angreifer ist, und gibt einen Einblick, wie eine bescheiden qualifizierte Person oder Gruppe von Personen mit einem Bankraub davonkommen konnte.
Wer ist Phineas Phisher?
Phineas Phisher, der bereits früher die Verantwortung für das Hacken diverser Cyber-Söldnergruppen übernahm, behauptet, eine Privatperson zu sein, deren erklärte Ziele antikapitalistisch, antiimperialistisch und antiüberwachend seien. Einige vermuten, dass Phineas Phisher eine vom Staat gesponserte Hackergruppe ist.
Die Hacking-Tools, die im Bankraub 2016 verwendet wurden, waren handelsübliche Penetrationstests wie PowerShell und Mimikatz. Das bedeutet, dass, wenn Phineas Phisher das schafft, auch eine beliebige Anzahl von mäßig erfahrenen Angreifern dies tun könnte. Dies macht den Cayman National Angriff zu einer Fallstudie darüber, wie man seine Netzwerke nicht sichern sollte.
Wie ist der Überfall ausgegangen?
Fakt ist: Die Bank wurde gephisht. Laut Bericht hat der Bankräuber im August 2015 eine Phishing-E-Mail mit dem Betreff „Price Changes“ vom gefälschten E-Mail-Konto „[email protected]“ an einen Bankmitarbeiter der typografischen Domain „cncim.com“ geschickt. Die Registrierung dieser Domain erfolgte am 27. Juli 2015. Es besteht eine hohe Wahrscheinlichkeit, dass diese Domain speziell für diesen Angriff registriert wurde.
Die angehängte Nutzlast hieß „1_Price_Updates_098123876_docs.jar“, und als der CNBT-Mitarbeiter auf den Anhang klickte, infizierte er den Arbeitsplatz des Mitarbeiters und gab dem Möchtegern-Bankräuber Halt im Netzwerk der Bank.
Sobald Phineas Phisher im Netzwerk der Bank Fuß fassen konnte, ließ er eine Reverse-Shell fallen, um die Persistenz aufrechtzuerhalten, und benutzte dann eine Vielzahl von Penetrationstests, um zu beobachten, wie Bankmitarbeiter SWIFT-Zahlungen durchführten. Er nahm sich auch die Zeit, die Bankunterlagen darüber zu lesen, wie die Bank mit ausgehenden SWIFT-Transaktionen umgeht.
Fünf Monate unentdeckt
Phineas Phisher war fünf Monate lang in den Netzwerken der Bank, ohne entdeckt zu werden, bevor er die erste von zehn versuchten SWIFT-Transaktionen einleitete, die mehrere hunderttausend Pfund Sterling einbrachten – weitaus weniger, als die 81 Millionen Dollar, die nordkoreanische Hacker Anfang 2016 einer Bank in Bangladesch entwendeten. Nach den ersten erfolgreichen Transaktionen am 5. Januar 2016 geriet er am nächsten Tag in Schwierigkeiten und vermasselte mehrere Transaktionen, die den falschen SWIFT-Code zur Adressierung einer Zwischenbank verwendeten, schrieb Phineas Phisher.
Warum war diese Bank ein Angriffsziel? Phineas Phisher scannte das Internet nach all den anfälligen VPN-Geräten, für die er einen Exploit hatte, begutachtete die Reverse-DNS-Ergebnisse für Banken und entschied, dass „Cayman“ nach Spaß klang. „Ich hatte nicht vor, eine bestimmte Bank zu hacken“, so der Hacker. „Ich wollte nur jede Bank hacken, die ich hacken konnte, was sich als viel einfacher herausstellte, als ich dachte.“