Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Inhalt

Schon wieder ist ein Jahr vergangen, und was die Ereignisse im Bereich IT-Sicherheit betrifft, so sollte es in die Geschichtsbücher eingehen. Dramen, Intrigen und Exploits haben das Jahr 2016 geprägt. Während wir die wichtigsten Ereignisse und Stories noch einmal Revue passieren lassen, werfen wir gleichzeitig einen Blick in die Zukunft, um die Umrisse der Bedrohungslandschaft des Jahres 2017 vorzuzeichnen. Anstatt schlecht verhüllte Eigenwerbung zu betreiben, wollen wir unsere Vorhersagen basierend auf Trends treffen, die wir im Laufe unserer Forschungsarbeit beobachtet haben und damit Forschern und Besuchern des Threat-Intelligence-Universums gleichermaßen Stoff zum Nachdenken liefern.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Unsere Bilanz

Unsere Prognosen aus dem letzten Jahr haben sich keinesfalls als falsch herausgestellt, wobei einige Punkte noch früher als erwartet Realität geworden sind. Sollten Sie sie gerade nicht mehr parat haben, hier noch einmal unsere wichtigsten Vorhersagen für das Jahr 2016:

APTs: Wir sagten einen verminderten Fokus auf Nachhaltigkeit voraus. Gleichzeitig vermuteten wir, dass die Bemühungen der Angreifer, sich unsichtbar zu machen, zunehmen würden, indem sie Allerwelts-Malware in zielgerichteten Attacken einsetzen. Diese Vermutungen haben sich doppelt bestätigt: a) durch eine Zunahme von im Speicher aktiver Malware und dateiloser Schädlinge; b) durch die Unmenge bekannter zielgerichteter Attacken auf Aktivisten und Unternehmen, die auf Remote-Access-Trojanern basieren, wie zum Beispiel NJRat und Alienspy/Adwind.

Ransomware: 2016 kann als Jahr der Ransomware bezeichnet werden. Die Welt der Finanz-Malware, die darauf abzielt, Nutzer in die Irre zu führen und zu betrügen, hat sich praktisch vollständig in ein reines Ransomware-Universum verwandelt. Dabei werden Ressourcen für die Malware-Entwicklung zugunsten der effizienteren Erpressungsschemata von den weniger profitablen Versuchen abgezogen, die Nutzer zu betrügen.

Mehr Bankraube: Als wir uns den sich abzeichnenden Höhepunkt der Finanzkriminalität vorstellten, erstreckten sich unsere hypothetischen Überlegungen auf Angriffe auf Institutionen wie beispielsweise die Börse. Doch dann waren es die Attacken auf das SWIFT-Netzwerk, die diese Vorhersagen real werden ließen. Dank kluger, wohl platzierter Malware spazierten Millionenbeträge zur Tür hinaus.

Internet-Attacken: Vor kurzem drang die häufig missachtete Welt der Dinge mit Internetanschluss in Form eines IoT-Botnetzes in unser aller Leben vor. Das Botnetz war der Grund für Ausfälle bei großen Internet-Services, was besonders denjenigen Anbietern Bauchschmerzen bereitete, die von einem speziellen DNS-Provider abhängen.

Bloßstellung: Bloßstellungen und Erpressungen setzen sich im großen Stil fort, da strategische und wahllose Datenoffenlegungen links und rechts für Rufschädigungen sowie für persönliche und politische Probleme gesorgt haben. Wir müssen zugeben, dass wir vom Ausmaß und den Opfern einiger dieser Datenlecks ernsthaft überrascht waren.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Was hält das Jahr 2017 bereit?

Diese vermaledeiten APTs

Der Aufstieg maßgeschneiderter und passiver Implantate

Auch wenn es sehr schwierig sein mag, Unternehmen dazu zu bringen, Schutzmaßnahmen einzuführen, müssen wir doch zugeben können, wenn sich diese Maßnahmen langsam abnutzen oder gar wirkungslos werden. Indicators of Compromise (IoCs) sind eine großartige Methode, um Charakteristika bereits bekannter Malware, wie etwa Hashes, Domains oder Ausführungsmerkmale, zu teilen. Sie ermöglichen es Sicherheitsexperten, eine aktive Infektion zu erkennen. Doch die Cyberspionage-Elite, die in dieser kriminellen Branche die Trends setzt, hat Wege gefunden, diese allgemeinen Maßnahmen außer Kraft zu setzen. Dies ist auch mit der kürzlich bekannt gewordenen ProjectSauron APT nur allzu deutlich geworden. Es handelt sich bei dieser APT um eine wahrhaft maßgeschneiderte Malware-Plattform, deren einzelne Funktionen geändert und an jedes Opfer neu angepasst wurden. Dieses Vorgehen hilft den Sicherheitsexperten nicht gerade dabei, andere Infektionen zu detektieren. Das bedeutet nicht, dass die Security-Spezialisten jetzt vollkommen machtlos sind. Doch es ist nunmehr an der Zeit, eine weiter reichende Adaption guter Yara-Regeln voranzutreiben. Sie erlauben es uns, sowohl im gesamten Unternehmen zu scannen, zu inspizieren und ruhende Merkmale in Binärdateien zu identifizieren, als auch den Speicher nach Fragmenten bereits bekannter Attacken zu durchsuchen.

ProjectSauron hat noch eine weitere Tendenz bestätigt, von der wir angenommen hatten, dass sie bald auf dem Vormarsch sein würde, und zwar den Einsatz „passiver Implantate“. Dabei handelt es sich um eine Netzwerk-gesteuerte Backdoor, die im Speicher sitzt oder als ein Hintertür-Treiber in einem Internet-Gateway oder einem Internet-zugewandten Server läuft und still darauf wartet, dass magische Bytes ihre Funktionalität zum Leben erwecken. Bis sie von ihren Herren aufgeweckt werden, zeigen passive Implantate wenige oder gar keine Anzeichen einer aktiven Infektion. Daher ist es äußerst unwahrscheinlich, dass sie von irgendjemandem gefunden werden, außer vielleicht von den paranoidesten unter den Sicherheitsforschern oder im Rahmen eines Incident-Response-Szenarios. Man darf nicht vergessen, dass diese Malware mit keiner vordefinierten Command-and-Control-Infrastruktur interagiert und daher eine weitaus anonymere Ausgangsposition bietet. Daher ist es das Tool der Wahl für die meisten vorsichtigen Angreifer, die von jetzt auf gleich einen Weg in ein Ziel-Netzwerk bereitstellen müssen.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Kurzfristige Infektionen

PowerShell hat sich zum Traum-Tool für Windows-Administratoren entwickelt. Allerdings bietet es auch dem ganzen Spektrum an Malware-Autoren fruchtbaren Boden, die auf heimliche Bereitstellung, Seitwärtsbewegung und Ausspähungsressourcen aus sind, die vermutlich nicht von Standardkonfigurationen aufgezeichnet werden. Winzige PowerShell-Malware, die im Speicher oder der Registry untergebracht ist, hat alle Chancen, auf modernen Windows-Systemen ihren großen Tag zu feiern. Spinnt man die Sache weiter, so sind vorübergehende Infektionen zu erwarten: speicherresidente Malware, die für allgemeines Auskundschaften und den Diebstahl von Anmeldedaten jeglicher Art geschaffen wurde, aber keinen Anspruch auf Langlebigkeit und Nachhaltigkeit erhebt. In hoch sensiblen Umgebungen könnten verborgene Angreifer absolut glücklich damit sein, so lange operieren zu können, bis ein Neustart ihre Infektion aus dem Speicher löscht – wenn das bedeutet, dass damit jeglicher Verdacht abgelenkt oder potenzielle Verluste durch das Entdecken ihrer Malware durch Sicherheitsexperten und Forscher vermieden werden können. Kurzfristige Infektionen werden die Notwendigkeit proaktiver und fortschrittlicher heuristischer Erkennungsmethoden in modernen Anti-Malware-Lösungen einmal mehr unterstreichen (siehe: Kaspersky System Watcher).

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Spionage goes mobile

Zahlreiche Bedrohungsakteure haben in der Vergangenheit mobile Malware-Implantate bereitgestellt, unter anderem Sofacy, Roter Oktober und CloudAtlas sowie auch die Kunden von HackingTeam und die mutmaßliche iOS-Malware-Suite Pegasus der NSO Group. Doch sie haben auch Kampagnen gefahren, die hauptsächlich auf Desktop-Toolkits basieren. Da Desktop-Betriebssysteme aber immer weniger nachgefragt werden und immer mehr Durchschnittsnutzer ihr digitales Leben in ihre Hosen- und Handtaschen verlagern, gehen wir davon aus, dass die hauptsächlich mobilen Spionage-Kampagnen auf dem Vormarsch sind. Diese werden ganz sicher von verringerter Aufmerksamkeit und der Schwierigkeit profitieren, an forensische Tools für die neuesten mobilen Betriebssysteme zu kommen. Vertrauen in das Signieren von Code und Integritätsprüfungen haben die Sichtbarkeit für Sicherheitsforscher in der mobilen Arena vermindert, aber das wird entschlossene und gut ausgestattete Angreifer nicht davon abhalten, ihre Ziele auch hier zu verfolgen.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Die Zukunft von Finanzattacken

Wie wir hören, möchten Sie eine Bank überfallen…

Als dieses Jahr die Nachricht von den Angriffen auf das Bezahlsystem SWIFT die Runde machte, versetzte allein die Kühnheit dieses Unterfangens die gesamte Finanzbranche in Aufruhr. Die Schadenssumme wurde mit jeder Menge Nullen und Punkten geschrieben und erreichte eine Größenordnung von vielen Millionen US-Dollar. Es handelte sich dabei um eine Art von natürlichem Entwicklungsschritt von Cybercrime-Playern wie der Carbanak-Gang und vielleicht auch einigen anderen interessanten Bedrohungsakteuren. Doch diese Fälle bleiben das Werk von APT-artigen Akteuren mit einer gewissen Verve und bewährtem Potenzial. Sicher sind sie aber nicht die einzigen, die eine Bank gerne um eine stattliche Summe erleichtern würden.

Mit zunehmendem Interesse der Cyberkriminellen wird unserer Vermutung nach eine Zunahme der Zwischenhändler bei SWIFT-Angriffen einhergehen, die sich in die bewährte Untergrundstruktur von gestaffelten kriminellen Unternehmen einfügen. Um einen derartigen Bankraub durchzuführen, benötigt man der Reihe nach Erstzugriff, spezialisierte Software, Geduld und schließlich ein Geldwäscheschema. Jeder dieser Schritte wird von bereits etablierten Kriminellen ausgeführt, die ihre Dienstleistungen gegen ein Honorar liefern, wobei der fehlende Teil die spezialisierte Malware zur Durchführung von SWIFT-Attacken ist. Wir erwarten die Kommerzialisierung dieser Angriffe durch spezialisierte Ressourcen, die in Untergrundforen zum Verkauf oder nach dem Schema As-a-Service angeboten werden.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Robuste Bezahlsysteme

Da Bezahlsysteme immer populärer und immer besser angenommen werden, hatten wir ein größeres kriminelles Interesse an diesen Diensten erwartet. Doch es scheint, als seien diese Implementationen besonders widerstandsfähig. Und bis zum gegenwärtigen Zeitpunkt wurde von keinen umfassenden Attacken auf Systeme dieser Art berichtet. Doch was für die Kunden eine Erleichterung sein mag, könnte den Anbietern von Bezahlsystemen selbst Kopfschmerzen bereiten. Cyberkriminelle sind es gewohnt, die Letztgenannten durch direkte Attacken auf die Bezahlsystem-Infrastruktur anzugreifen. Ob diese Attacken nun in direkten finanziellen Verlusten resultieren oder einfach in Systemausfällen und -zusammenbrüchen – wir erwarten, dass sich Cyberverbrecher zunehmend mit diesen Systemen befassen werden, um mehr schändliche Aufmerksamkeit auf sich zu ziehen.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Dreckige, verlogene Ransomware

So sehr wir alle Ransomware hassen (und zwar aus gutem Grund), funktionieren die meisten Erpresserprogramme doch nur aufgrund einer merkwürdigen Vertrauensbeziehung zwischen dem Opfer und den Angreifern. Dieses kriminelle Ökosystem fußt auf dem Grundsatz, dass sich der Angreifer an eine stillschweigende Übereinkunft mit dem Opfer halten wird, die besagt, dass das Opfer, nachdem die Lösegeldzahlung beim Erpresser eingegangen ist, seine gekaperten Dateien zurückerhält. Die Cyberkriminellen haben dabei ein erstaunliches Maß an Professionalität an den Tag gelegt, was die Erfüllung dieses Versprechens angeht, so dass dieses Ökosystem gedeihen kann. Doch mit der zunehmenden Popularität dieses Gewerbes wird auch das Niveau der Cyberverbrecher, die ein Stückchen vom Ransomware-Kuchen abhaben wollen, immer geringer. Wir befürchten daher, dass wir es mehr und mehr mit Ransomware zu tun bekommen, die diese Qualitätssicherung oder auch allgemeine Verschlüsselungsfähigkeiten vermissen lässt und daher dieses Versprechen auch nicht mehr einhalten kann.

Wir erwarten eine Art von „Skiddie“-Ransomware, die Dateien oder den Zugriff auf das System sperrt, Dateien einfach löscht oder das Opfer dazu bringt, das Lösegeld zu zahlen, ohne irgendeine Gegenleistung dafür zu erbringen. An diesem Punkt wird sich Ransomware in keiner Weise mehr von Attacken unterscheiden, bei denen Daten gelöscht werden. Wir gehen davon aus, dass das Ransomware-Ökosystem die Auswirkungen einer „Vertrauenskrise“ zu spüren bekommen wird. Das wird die größeren, professionelleren Banden nicht davon abhalten, ihre Erpresser-Kampagnen fortzusetzen. Doch es könnte dazu beitragen, dass in der aufkommenden Ransomware-Epidemie die Überzeugung vieler über Bord geworfen wird, dass der Vorschlag „Einfach das Lösegeld bezahlen“ ein akzeptabler Rat für die Opfer ist.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Der große rote Knopf

Die berüchtigte Stuxnet-Malware hat vielleicht die Büchse der Pandora geöffnet, indem sie aufzeigte, welches Potenzial in Angriffen auf industrielle Steuerungssysteme liegt. Doch die Stuxnet-Kampagne war sorgfältig konzipiert, mit einem wachsamen Auge auf langandauernde Sabotage und sehr eng definierte Ziele. Selbst als sich die Infektion global ausbreitete, haben Payload-Checks den Kollateralschaden in Grenzen gehalten und ein industrielles Armageddon blieb aus. Seither dient jedes Gerücht oder jeder Bericht über einen Industrieunfall oder eine unerklärte Explosion als Nahrung für eine Cybersabotage-Verschwörungstheorie.

Nichtsdestoweniger ist ein durch Cybersabotage verursachter Industrieunfall sicherlich nicht ins Reich der Mythen zu verweisen. Solange kritische Infrastrukturen und Fertigungssysteme mit dem Internet verbunden bleiben – meist wenig oder gar nicht geschützt –, sind diese verlockenden Ziele durchaus dazu geeignet, gut ausgestattete Angreifer auf den Geschmack zu bringen, die darauf aus sind, Chaos zu stiften. Doch bei aller Panik sollte man auch bedenken, dass solche Attacken bestimmte Fähigkeiten und Absichten erfordern. Ein Cybersabotage-Angriff wird wahrscheinlich Hand in Hand mit zunehmenden geopolitischen Spannungen gehen und mit fest etablierten Bedrohungsakteuren, die auf zielgerichtete Zerstörung oder den Zusammenbruch kritisch wichtiger Dienste aus sind.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Das übervölkerte Internet schlägt zurück

Schwache Sicherheit im Internet der Dinge

Schon seit Langem prophezeien wir, dass die schwache Sicherheit des Internets der Dinge uns eines Tages auf die Füße fallen wird. Und siehe da, nun ist dieser Tag gekommen. Wie das Mirai-Botnetz kürzlich deutlich gezeigt hat, wird Kriminellen durch die schwache Sicherheit Internet-fähiger Geräte unnötigerweise eine Möglichkeit eröffnet, Chaos zu stiften. Dabei ist die Wahrscheinlichkeit, zur Verantwortung gezogen zu werden, verschwindend gering. Für IT-Sicherheitsfanatiker ist das nicht wirklich eine Überraschung, aber der nächste Entwicklungsschritt könnte sich als besonders interessant erweisen. Denn wir sagen voraus, dass hackende Vigilanten die Dinge in die Hände nehmen werden.

Das Konzept, bekannte Sicherheitslücken zu patchen, hat einen gewissen unantastbaren Status als Bestätigung für die harte (und häufig unbezahlte) Arbeit von Sicherheitsforschern. Da die Hersteller von IoT-Geräten weiterhin unsichere Geräte auf den Markt werfen, die weitreichende Probleme verursachen, könnten Internet-Vigilanten die Dinge in die eigenen Hände nehmen. Und was könnte in diesem Fall effektiver sein, als den Ball zu den Herstellern selbst zurückzuspielen, indem sie diese verwundbaren Geräte massenhaft zerstören? Da IoT-Botnetze durch DDoS-Angriffe und die Verbreitung von Spam weiterhin Kopfschmerzen verursachen, könnte die natürliche Abwehrreaktion des Ökosystems darin bestehen, diese Geräte alle miteinander außer Gefecht zu setzen – sehr zum Leidwesen der Verbraucher und der Hersteller gleichermaßen. Das Internet der (unsicheren) Dinge könnte sehr wohl über uns zusammenbrechen.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Die leise blinkenden Kästchen

Die schockierende Veröffentlichung der ShadowBrokers-Gruppe umfasste eine Fülle funktionierender Exploits für zahlreiche Firewalls von namhaften Herstellern. Kurze Zeit später wurde von Ausnutzungen in freier Wildbahn berichtet, während die Hersteller noch damit beschäftigt waren, die ausgenutzten Lücken zu verstehen und Patches herauszugeben. Doch das Ausmaß der Ausfälle muss erst noch vermessen werden. Was konnten die Angreifer mit diesen Exploits in der Hand erreichen? Welche Art von Implantaten mögen in den angreifbaren Geräten verborgen sein?

Schaut man über diese besonderen Exploits hinaus (und bedenkt man die Entdeckung einer Backdoor in Junipers ScreenOS Ende 2015), so ergibt sich ein größeres Problem der Geräteintegrität. Wenn es nämlich um Apparate gehen wird, die kritisch für Unternehmen sind, werden weitere Forschungen notwendig sein. Die entscheidende Frage bleibt: „Für wen arbeitet Ihre Firewall eigentlich?“

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Wer zum Teufel sind Sie?

Falsche Flaggen und psychologische Kriegsführung gehören zu unseren ausgesprochenen Lieblingsthemen. Daher überrascht es nicht, dass wir die Entwicklung verschiedener Trends in diesen Bereichen vorhersehen…

Der Informationskrieg

Bei der Erstellung gefälschter Shops, die dazu dienen, Datenspeicher abzugreifen und die Opfer zu erpressen, haben Bedrohungsakteure wie Lazarus und Sofacy Pionierarbeit geleistet. Nachdem in den letzten paar Monaten recht erfolgreich Operationen im Rahmen eines Informationskriegs durchgeführt wurden, erwarten wir, dass diese zunehmen werden. Auf diese Weise sollen Meinungen rund um wichtige Prozesse manipuliert und allgemeines Chaos verursacht werden. Bedrohungsakteure, die gehackte Daten verschleudern, haben kaum etwas zu verlieren, wenn sie eine Geschichte über eine etablierte oder fingierte Hacktivisten-Gruppe zusammenschustern und so die Aufmerksamkeit von der Attacke selbst ablenken und die Inhalte ihrer Enthüllungen ins Zentrum rücken.

Die eigentliche Gefahr liegt an diesem Punkt nicht im Hacken oder dem Eindringen in die Privatsphäre, sondern vielmehr darin, dass – während sich Journalisten und Bürger daran gewöhnen, gestohlene Datenbanken als nachrichtentaugliche Fakten zu akzeptieren – sie damit clevereren Bedrohungsakteuren Tür und Tor öffnen. Diese versuchen, die Auswirkungen zu manipulieren, entweder durch Datenmanipulation oder durch Unterlassung. Die Verwundbarkeit gegenüber solchen Informationskriegs-Operationen ist zu jeder Zeit hoch und wir hoffen, dass die Urteilsfähigkeit obsiegen wird, während die Technik von immer mehr Playern adaptiert wird (oder von denselben Playern mit anderen Wegwerfmasken).

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Das Abschreckungsversprechen

Da Cyberattacken in internationalen Beziehungen eine immer größere Rolle spielen, wird die Zuweisung (Attribution) zu einem zentralen Punkt werden, wenn es darum geht, geopolitische Kurse festzulegen. Regierungsorganisationen werden sich noch den Kopf darüber zerbrechen müssen, welcher Zuweisungsstandard sich als ausreichend für Einsprüche oder öffentliche Anklagen erweisen wird. Eine genaue Attribution ist bei der nur bruchstückhaften Sichtbarkeit verschiedener öffentlicher und privater Institutionen nahezu unmöglich. Es könnte sogar sein, dass eine „ungenaue Zuweisung“ für solche Organisationen als gut genug angesehen wird. Während es sehr wichtig ist, zu absoluter Vorsicht zu raten, müssen wir immer im Hinterkopf behalten, dass es einen realen Bedarf nach Konsequenzen für das Betreten des Cyberattacken-Universums gibt. Unsere große Aufgabe besteht darin, sicherzustellen, dass Vergeltung keine weiteren Probleme verursacht, wenn clevere Akteure versuchen, diejenigen zu übervorteilen, die Attribution an erster Stelle sehen möchten. Wir müssen auch bedenken, dass – wenn Vergeltung und Konsequenzen alltäglicher werden – der Missbrauch von Open-Source- und kommerzieller Malware extrem zunehmen wird, wobei Tools wie Cobalt Strike und Metasploit einen Mantel glaubhafter Bestreitbarkeit liefern, der bei proprietärer Malware nicht vorhanden ist.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Doppelung unter falschen Flaggen

Während die Beispiele aus dem Falsche-Flaggen-Report einige Fälle von APTs in freier Wildbahn umfassen, die Falsche-Flaggen-Elemente aufweisen, wurde zum gegenwärtigen Zeitpunkt nicht eine einzige echte Operation unter falschen Flaggen registriert. Darunter verstehen wir eine Operation von Bedrohungsakteur A, die sorgfältig und ausschließlich im Stil und mit den Ressourcen eines zweiten Bedrohungsakteurs B entwickelt wurde. Das geschieht in der Absicht, Vergeltungsgelüste bei dem Opfer gegenüber dem in diesem Fall unschuldigen Bedrohungsakteur B zu provozieren. Auch wenn es sein kann, dass so etwas bereits passiert, ohne dass die Sicherheitsforscher Kenntnis davon haben, ergibt diese Art von Operation gar keinen Sinn, solange Cyberattacken nicht de facto vergolten werden. Sobald Vergeltungsmaßnahmen (seien es Sanktionen, Vergeltungsschläge oder anderes) gängiger und impulsiver werden, gehen wir davon aus, dass echte Operationen unter falscher Flagge auf den Plan treten werden.

Wenn das der Fall sein wird, ist zu erwarten, dass Falsche-Flaggen-Angriffe größere Investitionen wert sein werden, vielleicht sogar dazu anstacheln, die Infrastruktur offenzulegen oder eifersüchtig bewachte proprietäre Toolkits zum Massengebrauch freizugeben. Auf diese Weise könnten schlaue Bedrohungsakteure kurzfristig überwältigende Verwirrung stiften, und zwar auch bei Forschern und Sicherheitsexperten, da dann Script-Kiddies, Hacktivisten und Cyberkriminelle plötzlich mit den proprietären Tools eines fortschrittlichen Bedrohungsakteurs hantieren. Das verleiht ihnen in der Menge der Attacken einen Mantel der Anonymität und kann damit die Zuweisungsmöglichkeiten einer vollstreckenden Behörde teilweise lähmen.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Welcher Datenschutz?

Den Schleier lüften

Das Beseitigen der letzten Reste von Anonymität im Cyberspace birgt große Möglichkeiten in sich – sei es für Werbetreibende oder für Spione. Für die Erstgenannten hat sich das Verfolgen mit nachhaltigen Cookies als sinnvolle Technik erwiesen. Das wird sich wahrscheinlich weiter ausbreiten, und zwar in Kombination mit Widgets und anderen harmlosen Ergänzungen zu gängigen Webseiten, die es Unternehmen ermöglichen, individuelle Nutzer auf ihrem Weg über ihre Domains hinaus zu verfolgen und so ein zusammenhängendes Bild ihres Surfverhaltens zu erstellen (mehr dazu siehe unten).

In anderen Teilen der Welt werden Angriffe auf Aktivisten und das Verfolgen von Aktivitäten in Sozialen Medien, die „Instabilität provozieren“, weiterhin erstaunliche Raffinesse hervorbringen. Dicke Brieftaschen werden weiterhin gut aufgestellte, gänzlich unbekannte Unternehmen finanzieren, die über die letzten Neuheiten zum Verfolgen von Dissidenten und Aktivisten kreuz und quer durch die Weiten des Internets verfügen. Hinter diesen Aktivitäten steckt üblicherweise ein großes Interesse an den Tendenzen in Sozialen Netzwerken in ganzen geografischen Regionen und daran, wie sie von Dissidentenmeinungen beeinflusst werden. Möglicherweise werden wir sogar einen Akteur erleben, der es wagt, in ein Soziales Netzwerk einzubrechen, um dort eine Goldmine voller personenbezogener Daten und verfänglicher Informationen aufzutun.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Das Spionage-Werbenetz

Keine verbreitete Technologie ist so sehr dazu geeignet wie Werbenetzwerke, um wirklich zielgerichtete Attacken zu ermöglichen. Ihre Platzierung ist bereits absolut finanziell motiviert und es gibt wenig bis gar keine Regulierung, wie immer wiederkehrende Malvertising-Attacken auf bedeutende Webseiten bewiesen haben. Von Natur aus bieten Werbenetzwerke ein exzellentes Ziel-Profiling, mittels einer Kombination aus IPs, Browser-Fingerabdrücken, Surfinteressen und Login-Verhalten. Diese Art von Nutzerdaten ermöglicht es einem Angreifer, ein Opfer selektiv zu infizieren. Es kann auch auf seine Payload umgeleitet werden und so kollaterale Infektionen und eine nachhaltige Verfügbarkeit von Payloads vermieden werden, die dazu geeignet ist, das Interesse von Sicherheitsforschern zu wecken. Von daher erwarten wir, dass der Aufbau oder die Übernahme eines Werbenetzwerkes von fortgeschrittenen Cyberspionage-Akteuren – gemessen an den beträchtlichen Einnahmen – nur als kleine Investition angesehen wird, die bewirkt, dass die Ziele getroffen, die neuesten Toolkits aber geschützt werden.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Der Aufstieg des Selbstjustiz-Hackers

Nachdem der mysteriöse Phineas Fisher im Jahr 2015 willkürliche Firmendaten der italienischen Überwachungsfirma HackingTeam online gestellt hatte, veröffentlichte er seinen Leitfaden für aufstrebende Hacker, die ungerechte Organisationen und zwielichtige Unternehmen außer Gefecht setzen wollen. Er spricht damit das unterschwellige Empfinden an, dass die asymmetrische Macht des hackenden Vigilanten eine Kraft des Guten sei, ungeachtet der Tatsache, dass die Daten vom HackingTeam aktiven APT-Gruppen aktuelle Zero-Days lieferten und möglicherweise sogar eine neue und gierigere Klientel anlockte. Während die Verschwörungsrhetorik in diesem Wahlzyklus zunimmt, angefeuert von dem Glauben, Datenlecks und das Durchsickern von Daten könnten den Ausschlag für das Informations-Ungleichgewicht geben, werden sich immer mehr Angreifer auf Selbstjustiz verlegen, indem sie Daten angreifbarer Organisationen hacken und durchsickern lassen.

Kaspersky Security Bulletin. Prognosen für das Jahr 2017

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.