HOME

Cyber-Kriminelle: Fin7: Diese Hacker-Gang arbeitet wie eine Firma - und erbeutet Milliarden

Sie nehmen mehr als 50 Millionen Dollar im Monat ein - und benutzen dabei Methoden, die selbst erfahrene Ermittler beeindrucken. Die Hacker-Gruppe Fin7 hob Cybercrime auf eine neues Level. Nach drei Verhaftungen gibt es nun spannende Einblicke in ihren Arbeitsalltag.

Die Hacker-Gruppe Fin7 arbeitet eher wie ein Unternehmen als nach alten Hacker-Klischees (Symbolbild)

Die Hacker-Gruppe Fin7 arbeitet eher wie ein Unternehmen als nach alten Hacker-Klischees (Symbolbild)

Getty Images

Stellen Sie sich vor, sie betreiben ein Hotel. Sie erhalten eine Mail von einem Kunden, der nach einem sehr spezifischen Problem fragt. Etwa einem Koffer, den er im Hotel vergessen hat. Im Anhang sei ein Foto des Gepäckstücks. Würden sie es öffnen? Was, wenn der Kunde vorher bereits angerufen und nach dem Koffer gefragt hat? Und sich nachher wieder meldet, um zu erfahren, ob Sie die Mail bekamen? Spätestens jetzt hätte fast jeder den Anhang angeklickt. Und wäre in die Falle einer der smartesten Cyber-Banden der letzten Jahre getappt.

Wer von Organisierter Kriminalität spricht, hat meist keine Hacker im Sinn. Doch im Vergleich zur Hackergruppe Fin7 wirkte selbst die Mafia chaotisch. Mindestens 50 Millionen Dollar sollen die Gruppe mit Cyber-Angriffen auf Restaurantketten, Banken und viele weitere Unternehmen gescheffelt haben - monatlich. Die extreme Organisiertheit und die cleveren Angriffsmethoden beeindruckten sogar die Ermittler.

Hochkomplexe Angriffe

Fin7 hatte mehr drauf, als stumpf per Mail einzelne Bürger in die Falle zu locken. Das zeigen Erkenntnisse der Sicherheitsfirma "FireEye". Seit mindestens 2015 nahmen die Hacker Hunderte Firmen in Europa, den USA und zunehmend Asien ins Visier, verschaffen sich Zugang zum System - und nehmen die Unternehmen und ihre Kunden aus.

Dabei gehen sie enorm kreativ vor. Anders als bei klassischen Phishing-Attacken ist jeder Angriff genau auf den Kunden zugeschnitten, ein Ansatz, der als "Spear-Phishing" (Speer-Fischen) bezeichnet wird. Die Mails sind auf den Zweck maßgeschneidert, die Mitarbeiter zum Klicken auf manipulierte Anhänge zu bekommen. 

Dazu tarnen sich die Hacker als Kunden, Geschäftspartner oder auch staatliche Behörden. Mit perfekt kopierten Logos und Layouts und präzisen Anfragen sind die Mails kaum als Angriff zu erkennen, so Fireeye. Und wenn der erhoffte Klick nicht kommt, fragt man eben telefonisch nach. Teilweise wurde sogar der Erstkontakt mit einem Anruf hergestellt.

Hauptziel: Kreditkarten

Einmal im System, wurde langsam aber sicher das Netzwerk übernommen. Ließt man den Bericht von Fireeye, klingt dabei durchaus Bewunderung für die enorm kreativen Ansätze der Hacker durch. Immer waren sie den Forschern einen Schritt voraus, immer wieder schafften sie es, Entdeckungs-Mechanismen auszuhebeln. Anders als viele Hacker, die sich aus den Werkzeugen anderer bedienten, scheint Fin7 seine Angriffsprogramme  zudem selbst entwickelt zu haben. Spezialitäten waren etwa der Missbrauch von Makros in Microsoft Office und besonders geschickte Angriffe über die Windows Kommandozeile.

Die Beute bestand hauptsächlich aus Kreditkartendaten, die über die gehackten Kassensysteme abgegriffen wurden. Die Karten nutzten die Hacker entweder, um die Konten der Kunden leerzuräumen, oder sie verscherbelten sie im Darknet. Das scheint sich extrem gelohnt zu haben. Nach Schätzung eines Experten gegenüber "Wired" dürfte Fin7 so im Laufe der Zeit weit über eine Milliarde Dollar eingenommen haben. Die Beute wurde dann professionell von eigenen Leuten gewaschen.

Cyber-Gangster als Bürojob

Der Arbeitsalltag scheint dabei straff organisiert zu sein. Während Hacker dem Klischee nach spätnachts alleine ihre Befehle in die Tastatur hämmern, gingen die Angestellten von Fin7 einer geregelten Arbeitswoche nach, Feierabend und freie Wochenenden inklusive. 

Das Wort Angestellte ist hier nicht übertrieben: Über die Tarnfirma Combi Security suchte die Gruppe ganz offiziell weltweit nach qualifizierten Mitarbeitern. Da die Firma offiziell nach Sicherheitslücken in Firmensystemen sucht, könnten viele Angestellte nicht wissen, dass sie bei der Arbeit Straftaten begehen. Tatsächlich waren laut Fireeye viele Kunden von Combi Security auch Opfer der Hacker-Angriffe. 

Drei Drahtzieher verhaftet

Die Ermittler versuchen aktuell noch das Puzzle um die Gruppe zu knacken. Drei wichtige Teile haben wie bereits gefunden: Nach einem gerade vom US-Justizministerium veröffentlichten Bericht wurden drei ranghohe Mitglieder der Gruppe in Polen, Spanien und Dresden verhaftet. Den ukrainischen Staatsbürgern werden in den USA Verschwörung, Kreditkartenbetrug, Computer-Hacks, das Knacken von Bank- und Kreditkartenkonten sowie Identitäts-Diebstahl vorgeworfen, 26 Anklagepunkte liegen gegen jeden von ihnen vor.

Selbst eine Verurteilung der drei dürfte aber kaum zum Ende der Angriffe führen, vermutet FireEye. Die Experten sehen eher eine Aufteilung der Gruppe in einzelne Splittergruppen als wahrscheinlich an. Die Angriffe dürften also weitergehen.

Themen in diesem Artikel