Plötzlich ging alles ganz schnell: In nur 14 Minuten schwankte der Rubelkurs um 15 Prozent. Für so manchen Beobachter schien klar, dass die Russland-Krise für die Kurskapriolen zum Dollar im Februar vergangenen Jahres verantwortlich war. Anders sah es die Zentralbank des Landes. Sie veranlasste Ermittlungen wegen möglicher Marktmanipulation.
Der Ergebnisbericht der Sicherheitsfirma Group-IB schildert den Vorfall wie aus einem Spionagethriller: Demnach infiltrierten Kriminelle eine Bank im russischen Kasan und verursachten die massiven Kursschwankungen. Durch ihren Trojaner mit dem Namen Corkow hätten die Hacker die Handelsterminals der Bank übernommen und in wenigen Minuten Transaktion von über 400 Millionen Dollar getätigt.
Die Energobank erlitt dabei einen Schaden von mehreren Millionen Dollar. Ans Licht gekommen ist die Attacke erst jetzt, die Ergebnisse der mit der Nachforschung betrauten Group-IB sind besorgniserregend. Group-IB ist eine Sicherheitsfirma in Moskau, die sich auf Cyberkriminalität spezialisiert hat. Sie arbeitet mit russischen und westlichen Firmen und Organisationen zusammen, so etwa Citibank, Microsoft und Europol und gilt als Kapazität für russische Cyberkriminalität.
Hunderttausende Computer betroffen
Weltweit sind wohl 250'000 Computer und mehr als 100 Finanzinstitute mit dem Trojaner infiziert. Zur Verbreitung von Corkow dienten vor allem russische Webseiten mit einem durchschnittlichen Traffic von über 800'000 Nutzern pro Tag. Die Spezialisten von Group-IB nennen unter anderem Newsseiten, E-Mail-Programme, E-Bücher und Kochseiten als Vektoren der Infektion.
Obwohl Corkow vor allem auf Nutzer in Russland und anderen Staaten der ehemaligen Sowjetunion zugeschnitten ist, dürften auch viele westliche Computer betroffen sein. Im ersten Quartal 2015 registrierte die Group-IB 159 «Corkow-Vorfälle» in den USA – und 26 in Deutschland. Zum Vergleich: In Russland gab es im gleichen Zeitraum 4719 «Vorfälle». Die Schweiz kommt in der Statistik der Sicherheitsfirma nicht vor. Doch weil das Vorgehen von Internetkriminellen selten an Landesgrenzen gebunden ist, bedeutet das keine Entwarnung.
Schweizer Börse wird «täglich von überall» bedroht
«Generelle Angriffe auf unsere Infrastruktur erfolgen täglich von überall (global) und werden von unseren Überwachungssystem erkannt», schreibt der Schweizer Börsenbetreiber Six auf Anfrage. Im Zusammenhang mit dem Trojaner habe man indes «bisher keine Indizien, dass wir Ziel der Attacken oder Angriffe waren».
Auch der zweite Angriff mit Corkow im August 2015 war gegen russische User gerichtet. Dieses Mal wurden mit gestohlenen Daten von infizierten Computern Hunderte Millionen Rubel aus Geldautomaten gezogen. Der Trojaner existiert seit 2011. Doch das Programm wird offenbar immer besser und konnte im letzten Jahr erstmals wirklich genutzt werden.
Nutzer merken nichts
Kein einziges Virenprogramm habe die Version Corkow v.7.118.1.1 erkannt, die bei der Attacke im Februar eingesetzt wurde, schreibt Group-IB. Und ist das Schadprogramm erstmals installiert, gehört der Computer quasi den Hackern. So lassen sich die entscheidenden Funktionen im Hintergrund fernsteuern. Und sämtliche Tastatureingaben sowie alles was auf dem Bildschirm geschieht, wird aufgezeichnet.
Ein infizierter Computer in einem Firmennetzwerk reiche, um auch die bestgeschützten Banking-Systeme zu infiltrieren, schreibt Group-IB. Und wenn die Attacke durch ist, deinstalliert sich das Programm gleich selber.
