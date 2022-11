Der französische Security-Dienstleister Group-IB hat einen detaillierten Bericht über das Vorgehen der Hacker-Gruppierung "Opera1er" veröffentlicht. Opera1er, auch bekannt als Desktop-Group, Common Raven oder NXSMS, hat demnach in den letzten rund 4 Jahren mehr als 30 Cyberangriffe auf Banken und Telcos in mindestens 15 Ländern durchgeführt. Dabei hat die anscheinend aus französischsprachigen Mitgliedern bestehende Bande mindestens 11 Millionen Dollar erbeutet. Laut Group-IB dürfte sie aber insgesamt über 30 Millionen Dollar gestohlen haben. Zwischen 2018 und 2022 gehörten Banken und andere Finanzinstitute in Argentinien, Paraguay, Bangladesch, Benin, Burkina Faso, der Elfenbeinküste, Gabun, Kamerun, Mali, Niger, Nigeria, Senegal, Sierra Leone, Uganda und Togo zu den Opfern.

Die Aktivitäten von Opera1er wurden zuerst im Jahr 2019 vom CERT-Team von Orange bemerkt. Zu den Experten, die die Aktivitäten beobachteten, gehörte auch Tom Ueltschi vom CERT der schweizerischen Post, der von Group-IB mehrmals erwähnt wird. Ueltschi gab der Gruppe den Namen Desktop-Group.

Lange Spionagephase vor dem Raub

Laut dem aktuellen Bericht von Group-IB verwendet Opera1er keine fortschrittliche selbst entwickelte Software für ihre Angriffe, sondern Open-Source und andere Gratistools aus dem Darknet wie Cobalt Strike oder Metasploit.

Die Angriffe der Hacker beginnen mit sehr gezielten E-Mails an bestimmte Teams der Opfer. Wenn es gelingt, jemanden zum Anklicken von Attachments zu bewegen, werden Passwort-Stehler, Keylogger und Hintertüren installiert, die es den Angreifern erlauben, permanenten Zugang zu einem System zu erhalten.

Danach beginnt eine durchschnittlich 3- bis 12-monatige Beobachtungsphase. Diese dient den Angreifern dazu, die vorhandenen Sicherheitsmechanismen in den Prozessen eines Opfers zu identifizieren und alle nötigen Login-Daten zu sammeln, um diese zu umgehen. Normalerweise müssen Transaktionen in einem Bankensystem von verschiedenen Personen mit unterschiedlichen Berechtigungen bewilligt werden.

Wenn Opera1er Credentials mit allen notwendigen Berechtigungen gesammelt hat, beginnt der eigentliche Raubzug, der meist an einem Wochenende erfolgt. Dabei verschieben die Hacker Gelder von Kundenkonten via eigene Konten in neu angelegte Konten für eigens zu diesem Zweck angeheuerte Helfershelfer. Diese heben das gestohlene Geld schlussendlich von einer Vielzahl von Bankomaten vor Ort ab.