Entwicklung der IT-Bedrohungen im dritten Quartal 2016

Inhalt

Statistik

Überblick

Zielgerichtete Attacken und Malware-Kampagnen

Dropping Elephant

>Zielgerichtete Attacken müssen nicht technisch ausgefeilt sein, um Erfolg zu haben. Im Juli 2016 berichteten die Experten von Kaspersky Lab über eine Gruppe mit dem Namen Dropping Elephant (auch bekannt als „Chinastrats“ und „Patchwork“). Mit Hilfe einer Kombination aus Social Engineering, altem Exploit-Code und PowerShell-basierter Malware gelang es dieser Gruppe, ihren Opfern sensible Daten zu stehlen.

Diese Gruppe, die seit November 2015 aktiv ist, greift hochgestellte diplomatische Einrichtungen und Wirtschaftsorganisationen an, die mit den auswärtigen Beziehungen Chinas in Verbindung stehen – ein Thema, das die Angreifer offensichtlich nutzen, um ihre Opfer in die Falle zu locken.

Die Angreifer setzen eine Kombination aus Spear-Phishing-Mails und Wasserloch-Attacken ein. Erstgenannte enthalten ein Dokument mit entfernt gespeichertem Inhalt. Öffnet der Empfänger dieses Dokument, wird eine Ping-Anfrage an den Command-und-Control-Server (C2) der Angreifer gesendet. Das Opfer erhält dann eine zweite Spear-Phishing-Mail, die entweder ein Word-Dokument oder eine PowerPoint-Datei enthält (diese nutzen alte Sicherheitslücken aus, nämlich CVE-2012-0158 und CVE-2014-6352). Sobald die Payload ausgeführt wurde, wird eine UPX-gepackte ausführbare AutoIt-Datei auf das System geladen, bei deren Ausführung weitere Komponenten vom C2-Server nachgeschoben werden. Und dann kann der Datenklau vom Computer des Opfers beginnen.

Die Angreifer haben zudem eine Wasserloch-Webseite erstellt, die echte Nachrichtenartikel von seriösen Webseiten herunterlädt. Will ein Besucher den gesamten Artikel lesen, wird er aufgefordert, eine PowerPoint-Datei herunterzuladen: Diese gibt den Rest des Dokuments preis, bittet das Opfer allerdings auch darum, ein schädliches Objekt herunterzuladen. Manchmal verschicken die Betrüger ihre Wasserloch-Webseite auch per E-Mail. Zudem unterhalten sie Accounts bei Google+, Facebook und Twitter, um eine passende Suchmaschinenoptimierung (SEO) zu entwickeln und mehr Ziele erreichen zu können.

Der Erfolg der Gruppe Dropping Elephant ist verblüffend, bedenkt man, dass keine Zero-Day-Exploits oder raffinierten Techniken verwendet wurden, um prominente Opfer anzugreifen – es liegt auf der Hand, dass bei Anwendung von Sicherheitsupdates und einer Schärfung des Sicherheitsbewusstseins der Mitarbeiterschaft der Erfolg solcher Angriffe gering wäre. Zu Beginn des Jahres sagten wir voraus, dass APT-Gruppen weniger Energie in die Entwicklung von raffinierten Tools investieren und stattdessen verstärkt Malware von der Stange einsetzen würden. Dropping Elephant ist ein weiteres Beispiel dafür, wie effektiv geringe Investitionen sowie die Nutzung gebrauchsfertiger Toolsets sein können, wenn sie mit qualitativ hochwertigem Social Engineering kombiniert werden.

ProjectSauron

Im September registrierte unsere Anti-ATP-Plattform eine Anomalie im Netzwerk der Organisation eines unserer Kunden. Unsere weiteren Ermittlungen führten zu der Aufdeckung von ProjectSauron, einer Gruppe, die seit Juni 2011 vertrauliche Daten von Organisationen in Russland, Iran, Ruanda – und vermutlich auch in anderen Ländern – stiehlt. Wir konnten mehr als 30 Opfer identifizieren: Die angegriffenen Organisationen spielen alle eine Schlüsselrolle bei der Bereitstellung von Dienstleistungen für staatliche Stellen und gehören zu den Bereichen Regierung, Militär, wissenschaftliche Forschung, Telekommunikation und Finanzen.

mw_q3_de_1

Das ProjectSauron konzentriert sich in erster Linie darauf, Zugriff auf verschlüsselte Kommunikation zu erhalten. Zu diesem Zweck verwendet die Gruppe eine fortschrittliche, modulare Cyberspionage-Plattform, die eine Auswahl an einzigartigen Tools und Techniken beinhaltet. Der Aufwand und die Kosten, die Nachhaltigkeit und das Endziel der Operation (das heißt der Datendiebstahl bei staatsbezogenen Organisationen) legen den Schluss nahe, dass das ProjectSauron eine von einem Nationalstaat unterstützte Kampagne ist. ProjectSauron vermittelt einen Eindruck von einer erfahrenen ATP-Gruppe, die einen nicht unerheblichen Aufwand betrieben hat, um von den Angriffen anderer hoch entwickelter ATP-Gruppen zu lernen, unter anderem von Duqu, Flame, Equation und Regin, indem sie einige ihrer innovativsten Techniken übernahm und ihre Taktiken verbesserte, um nicht entdeckt zu werden.

mw_q3_de_2

Eines der bemerkenswertesten Merkmale von ProjectSauron ist das bewusste Vermeiden von Mustern: Die von der Gruppe verwendeten Implantate sind auf jedes Opfer individuell zugeschnitten und werden niemals ein zweites Mal verwendet. Das macht die Verwendung von traditionellen Kompromittierungsindikatoren (Indicators of Compromise, IoC) nahezu sinnlos. In Kombination mit der Nutzung verschiedener Wege zum Abtransport der gestohlenen Daten (wie etwa legitime E-Mail-Kanäle oder DNS) macht es dieser Ansatz möglich, gut verborgene, langfristige Kampagnen in den angegriffenen Netzwerken durchzuführen.

Schlüsselmerkmale von ProjectSauron:

  • auf jedes Opfer individuell zugeschnittene Implantate
  • Verwendung von legitimen Softwareupdate-Skripten
  • Verwendung von Backdoors, die neue Module herunterladen oder Befehle ausschließlich im Speicher ausführen
  • Fokus auf Informationen, die mit der Verschlüsselungssoftware des Kunden-Netzwerks zu tun haben
  • Verwendung von Tools auf niedrigem Niveau, begleitet von LUA-Skripts auf hohem Niveau (die Verwendung von LUA ist sehr selten und wurde zuvor nur bei Attacken von Flame und Animal Farm beobachtet)
  • Verwendung von speziell präparierten USB-Sticks, um Air-Gaps in Netzwerken zu überwinden, mit verborgenen Abteilungen für die gestohlenen Daten
  • Einsatz von zahlreichen Mechanismen zum Ausschleusen der Daten, um den Datentransfer im tagesaktuellen Traffic zu verbergen

Wie die Opfer ursprünglich infiziert werden, ist nach wie vor unbekannt.

Der einmalige Einsatz von einzigartigen Methoden wie zum Beispiel Steuerungsserver und Chiffrierungsschlüssel in Kombination mit der Übernahme von innovativsten Techniken von anderen bedeutenden APT-Gruppen ist neu. Derartige Bedrohungen können nur dann effektiv abgewehrt werden, wenn multiple Schutzebenen bereitgestellt werden, die Sensoren zum Aufspüren der allergeringsten Anomalie im organisatorischen Arbeitsablauf beinhalten, kombiniert mit Threat Intelligence und forensischer Analyse. Weitere Beschreibungen der verfügbaren Methoden zur Abwehr solcher Bedrohungen finden Sie hier.

ShadowBrokers

Im August behauptete eine Person oder Gruppe mit dem Namen „ShadowBrokers“, Dateien zu besitzen, die dem Bedrohungsakteur Equation Group gehören. ShadowBrokers lieferte Links auf zwei PGP-verschlüsselte Archive und stellte das Passwort für das erste Archiv kostenlos bereit. Das zweite „versteigerte“ die Gruppe, wobei sie den Preis auf eine Million BTC festsetzte (1/15 der in Umlauf befindlichen Bitcoins).

Nachdem wir die Vergehen der Equation Group im Februar 2015 aufgedeckt hatten, waren wir sehr daran interessiert, das erste Archiv genauer zu untersuchen. Es enthielt fast 300 MB an Firewall-Exploits, Tools und Skripten mit Codenamen wie BANANAUSURPER, BLATSTING und BUZZDIRECTION. Die meisten Dateien waren mindestens drei Jahre alt, mit Änderungseinträgen, die auf den August 2013 verweisen; der jüngste Zeitstempel datiert auf den Oktober 2013.

mw_q3_de_3

Die Equation Group macht regen Gebrauch von den Verschlüsselungsverfahren RC5 und RC6 (diese Algorithmen wurden in den Jahren 1994 und 1998 von Ronald Rivest entwickelt). Der von ShadowBrokers kostenlos zur Verfügung gestellte Fund beinhaltet 347 verschiedene Beispiele für RC5- und RC6-Implementationen. Die Implementation ist funktional identisch mit der, die in der Equation-Malware gefunden und bisher nirgendwo anders beobachtet wurde.

mw_q3_de_4

Aufgrund der Codeähnlichkeit sind die Experten von Kaspersky Lab der Meinung, dass die Tools aus dem ShadowBrokers-Leak mit an Sicherheit grenzender Wahrscheinlichkeit mit der Malware der Equation Group in Verbindung stehen.

Operation Ghoul

Im Juni registrierten wir eine Welle von Spear-Phishing-Mails, die schädliche Anhänge enthielt. Diese Nachrichten, die in erster Linie an Manager aus der obersten oder mittleren Führungsebene vieler Unternehmen gesendet wurden, sahen so aus, als kämen sie von einer Bank in den Vereinigten Arabischen Emiraten. Die Mitteilungen enthielten angeblich eine Zahlungsankündigung der Bank und beinhalteten ein angehängtes SWIFT-Dokument. Doch das Archiv enthielt in Wahrheit Malware. Weitere Untersuchungen ergaben, dass es sich bei den Juni-Attacken um die jüngste Operation einer Gruppe handelte, die schon seit über einem Jahr von Malware-Forschern beobachtet wird, und die Kaspersky Lab auf den Namen Operation Ghoul getauft hat.

Die Gruppe hat erfolgreich mehr als 130 Organisationen in 30 Ländern angegriffen, unter anderem in Spanien, Pakistan, den Vereinigten Arabischen Emiraten, Indien, Ägypten, Großbritannien, Deutschland und Saudi Arabien. Den Informationen zufolge, die von auf Sinkehole-Server umgeleiteten C2-Servern erhalten wurden, sind die meisten angegriffenen Organisationen in der Industrie und im Ingenieurswesen angesiedelt. Aber auch Unternehmen aus den Bereichen Transport, Pharmazie, Fertigung, Handel und Bildung wurden angegriffen.

ghoul_de

Die von der Gruppe Operation Ghoul verwendete Malware basiert auf dem kommerziellen Spyware-Kit Hawkeye, das offen im Dark Web verkauft wird. Ist diese Malware installiert, so sammelt sie interessante Daten vom Computer des Opfers, unter anderem die Tastatureingaben, Daten aus der Zwischenablage, Zugangsdaten für FTP-Server, Kontodaten aus den Browsern, Messaging-Apps und E-Mailprogrammen sowie Informationen über die installierten Programme. Diese Daten werden an die C2-Server der Gruppe geschickt.

Das Ziel dieser Kampagne scheint finanzieller Profit zu sein, denn alle angegriffenen Organisationen verfügen über wertvolle Daten, die auf dem Schwarzmarkt Abnehmer finden.

Der andauernde Erfolg von Social Engineering als Methode, einen Fuß in die Tür von Organisationen zu bekommen, zeigt, wie wichtig es ist, dass Unternehmen das Sicherheitsbewusstsein ihrer Mitarbeiter schärfen und die Mitarbeiterschulung zu einer zentralen Komponente ihrer Sicherheitsstrategie machen.

Malware-Stories

Lurk

Im Juni 2016 berichteten wir über den Bank-Trojaner Lurk, der eingesetzt wurde, um systematisch Geld von den Konten kommerzieller Organisationen in Russland abzuziehen. Darunter befand sich auch eine Reihe von Banken. Die Polizei schätzt die durch diesen Trojaner verursachten Verluste auf etwa 45 Millionen US-Dollar.

Während unserer Untersuchungen dieses Trojaners stellte sich heraus, dass die Opfer von Lurk auch eine entfernte Administrationssoftware installiert hatten, und zwar Ammyy Admin. Zunächst schenkten wir dieser Tatsache keine besondere Beachtung, doch dann wurde bekannt, dass die offizielle Webseite von Ammyy Admin kompromittiert worden war und von der Lurk-Bande als Teil einer Wasserloch-Attacke missbraucht wurde: Der Trojaner wurde zusammen mit der legitimen Software auf den Computer des Opfers geladen.

mw_q3_de_6

Der Dropper auf der Webseite von Ammyy Admin begann am 1. Juni 2016, einen anderen Trojaner auszuliefern, und zwar „Trojan-PSW.Win32.Fareit“: An diesem Tag wurden alle mutmaßlichen Entwickler des Trojaners Lurk verhaftet. Es scheint, als wären die für das Leck auf der Webseite von Ammyy Admin Verantwortlichen froh gewesen, ihren Dropper an irgendwen verkaufen zu können, der seine Malware von der kompromittierten Webseite aus unter die Leute bringen wollte.

Doch der Bank-Trojaner ist nicht alles – die Lurk-Bande war auch noch in andere cyberkriminelle Aktivität verwickelt. Die Gruppe hat auch das Exploit-Kit Angler entwickelt – eine Auswahl an Schadprogrammen, die alle der Ausnutzung von Sicherheitslücken in gängiger Software zum Zweck der weiteren Malware-Installation dienen. Dieses Exploit-Pack wurde ursprünglich entwickelt, um einen verlässlichen und effektiven Lieferkanal für die Malware der Gruppe bereitzustellen. Doch im Jahr 2013 begann die Gruppe, das Kit an alle zu vermieten, die bereit waren, dafür zu bezahlen. Vermutlich leistete das seinen Beitrag zur Finanzierung der umfassenden Netzwerkinfrastuktur und Bezahlung des großen „Mitarbeiterstabes“. Das Exploit-Pack Angler wurde zu einem der mächtigsten Tools, die im cyberkriminellen Untergrund zu haben waren. Anders als der Bank-Trojaner Lurk, der sich auf Opfer in Russland beschränkte, wurde Angler von Angreifern rund um den Globus verwendet, unter anderem auch von den Hintermännern der Ransomware CryptXXX und TeslaCrypt sowie des Bank-Trojaners Neverquest (letztgenannter griff fast 100 Banken an). Die Angler-Operationen kamen nach der Verhaftung der mutmaßlichen Mitglieder der Lurk-Bande zum Erliegen.

Die Gruppe war auch in andere Aktivitäten involviert. Im Laufe von mehr als fünf Jahren verlegte sich die Gruppe vom Entwickeln äußerst leistungsstarker Malware zum automatisierten Geldraub mit Online-Banking-Software auf ausgeklügelten Diebstahl mit Hilfe von SIM-Karten-Betrug, um dann zu Hacker-Experten zu werden, die mit der internen Infrastruktur von Banken vertraut sind.

Kaspersky Lab unterstützte die russische Polizei bei ihrer Ermittlung, die die Gruppe hinter dem Lurk-Trojaner betraf. Die Festnahmen markierten den krönenden Abschluss einer sechs Jahre andauernden Ermittlung unseres Teams vom Computer Incidents Investigation Department (CIID) bei Kaspersky Lab. Lesen Sie hier mehr über diese Ermittlung.

Ransomware

Es vergeht kaum ein Monat, ohne dass neue Berichte über Attacken von Erpressersoftware in den Medien erscheinen: So wird in einem jüngst veröffentlichten Bericht beispielsweise die Behauptung aufgestellt, dass in den letzten 12 Monaten 28 NHS-Trusts, Organisationen des britischen Gesundheitsystems, zum Opfer von Ransomware geworden sind. Die meisten Ransomware-Attacken richten sich gegen Individuen, doch ein nicht unbedeutender Teil der Angriffe hat Unternehmen im Visier (etwa 13 Prozent in den Jahren 2015 bis 2016). Im Kaspersky Lab IT Security Risks Survey 2016 wird darauf hingewiesen, dass etwa 42 Prozent der kleinen und mittelständischen Unternehmen in den zwölf Monaten bis August 2016 Opfer von Ransomware waren.

Im Rahmen einer jüngeren Ransomware-Kampagne verlangten die Angreifer stolze zwei Bitcoin (etwa 1.300 US-Dollar) als Lösegeld. Das Erpresserprogramm mit dem Namen Ded Cryptor tauscht den Bildschirmhintergrund auf dem Rechner des Opfers gegen das Bild eines gruselig aussehenden Weihnachtsmannes aus.

mw_q3_de_7

Die Vorgehensweise dieses Programms ist nicht besonders originell (sprich: verschlüsselte Dateien, unheimliches Bild und Lösegeldforderung), doch die Vorgeschichte dieser Attacke ist interessant. Sie basiert auf dem Open-Source-Ransomwarecode EDA2, der von Utku Sen als Teil eines gescheiterten Experiments entwickelt wurde. Utku Sen, ein Sicherheitsexperte aus der Türkei, hat ein Erpresserprogramm entwickelt und den Code online gestellt. Ihm war klar, dass Cyberkriminelle den Code verwenden würden, um eigene Verschlüsselungsprogramme zu schaffen, doch er hoffte, dass dies Sicherheitsforschern dabei helfen würde, zu verstehen, wie Cyberkriminelle denken und wie sie verschlüsseln, um dann eigene Rückschlüsse zu ziehen und Ransomware schließlich effektiver blockieren zu können.

Ded Cryptor war nur eins von vielen Ransomware-Programmen, die aus EDA2 hervorgegangen sind. Ein weiteres Programm dieser Art, das wir kürzlich entdeckten, ist Fantom. Dieses Programm war nicht nur aufgrund seiner Verbindung zu EDA2 interessant, sondern auch, weil es einen echt aussehenden Windows-Update-Bildschirm simuliert.

mw_q3_de_8

Dieser Bildschirm wird angezeigt, während Fantom die Dateien des Opfers im Hintergrund verschlüsselt. Das gefälschte Update-Programm läuft im Vollbildmodus, blockiert damit visuell den Zugriff auf andere Programme und lenkt das Opfer von dem tatsächlichen Geschehen ab. Sobald die Verschlüsselung abgeschlossen ist, zeigt Fantom eine für Ransomware eher typische Nachricht an.

mw_q3_de_9

Zweifellos steigt das öffentliche Bewusstsein für das Problem, doch es ist auch klar, dass weder Heimanwender noch Organisationen genug unternehmen, um diese Bedrohung zu bekämpfen. Cyberkriminelle schlagen daraus ihr Kapital, das spiegelt sich deutlich in der steigenden Zahl von Ransomware-Angriffen wider.

Es ist sehr wichtig, dass man Ransomware eine möglichst geringe Angriffsfläche bietet (und wir haben hier und hier wichtige Maßnahmen aufgelistet, die Sie diesbezüglich ergreifen können). So etwas wie 100%ige Sicherheit gibt es allerdings nicht, daher ist es auch wichtig, das Risiko zu minimieren. Dabei ist es von entscheidender Bedeutung, ein Backup zu erstellen, um nicht in eine Situation zu geraten, in der man entweder nur die Wahl hat, Cyber-Erpressern ein Lösegeld zu zahlen oder seine Daten zu verlieren. Es ist nie ratsam, das Lösegeld zu zahlen.

Sollten Sie selbst einmal in eine Situation geraten, in der Ihre Dateien verschlüsselt sind, Sie aber kein Backup haben, dann fragen Sie Ihren Anti-Malware-Anbieter um Rat und schauen Sie auf der Webseite No More Ransom nach, ob dort bereits die Schlüssel zur Dechiffrierung Ihrer Daten verfügbar sind. Es handelt sich dabei um eine gemeinsame Initiative von Kaspersky Lab, der National High Tech Crime Unit der niederländischen Polizei, dem Europäischem Zentrum zur Bekämpfung der Cyberkriminalität und Intel Security. Sie soll Ransomware-Opfern dabei helfen, ihre verschlüsselten Daten wiederzuerhalten, ohne den Lösegeldforderungen der Cybergangster nachkommen zu müssen.

In einer Experten-Fragestunde lieferte Jornt van der Wiel, ein Experte aus dem Global Research and Analysis Team (GReAT) von Kaspersky Lab, äußerst nützliche Einblicke in die Welt der Ransomware.

Datenlecks

Persönliche Informationen sind ein wertvolles Gut, daher ist es keine Überraschung, dass Cybergangster Online-Provider angreifen, um Daten en gros im Rahmen einer einzigen Attacke zu stehlen. Wir haben uns längst an den stetigen Strom von Sicherheitslecks gewöhnt, über die in den Massenmedien berichtet wird. Dieses Quartal war keine Ausnahme, mit Datenlecks des offiziellen DotA-2-Forums, Yahoo und anderen.

Einige dieser Attacken endeten mit dem Diebstahl großer Datenmengen und bewiesen damit einmal mehr, dass viele Unternehmen keine adäquaten Maßnahmen ergreifen, um sich selbst zu schützen. Jede Organisation, die persönliche Daten verwaltet, hat die Pflicht, effektiv für die Sicherheit dieser Daten zu sorgen. Dazu gehört auch das Hashen und Salten der Kundenpasswörter und das Verschlüsseln anderer sensibler Daten.

Nutzer können den potenziellen Schaden beschränken, der durch ein Sicherheitsleck bei einem Online-Provider entstehen kann, indem sie einmalige und komplexe Passwörter verwenden: Ein ideales Passwort ist mindestens 15 Zeichen lang und besteht aus einer Mischung aus Buchstaben, Zahlen und Symbolen von der gesamten Tastatur. Alternativ kann man eine Passwort-Manager-App verwenden, die alle Passwörter automatisch verwaltet.

Auch die Zwei-Faktoren-Authentifizierung ist eine gute Sache, wenn diese Möglichkeit denn von dem Online-Provider angeboten wird. Der Nutzer muss dabei einen Code eingeben, der von einem Hardware-Token generiert oder auf ein mobiles Gerät gesendet wird, um auf eine Seite zugreifen zu können oder um zumindest Änderungen an den Account-Einstellungen vorzunehmen.

Bedenkt man die möglichen Auswirkungen, die eine Sicherheitslücke haben kann, überrascht es kaum, dass die zuständigen Behörden diesem Problem nun größere Aufmerksamkeit widmen. Das britische Information Commissioner’s Office (ICO) erlegte dem Unternehmen Talk Talk im Zusammenhang mit einer Attacke auf die britische Telekommunikationsgruppe im Oktober 2015 kürzlich eine Strafe in Rekordhöhe von 400.000 britschen Pfund auf, da das Unternehmen es „versäumt hatte, die grundlegendsten Cybersicherheitsmaßnahmen zu ergreifen“. Nach dem Willen des ICO soll diese Rekordstrafe „anderen als Mahnung dienen, dass Cybersicherheit keine IT-Angelegenheit, sondern Chefsache ist“.

Die Datenschutz-Grundverordnung (General Data Protection Regulation, GDPR) der Europäischen Union, die im Mai 2018 in Kraft treten soll, verlangt von Unternehmen, den Behörden Datenlecks zu berichten und sieht empfindliche Strafen für das Versäumnis vor, persönliche Daten angemessen zu sichern. Eine Zusammenfassung der Verordnung finden Sie hier.

Wir haben ein Jahr nach der Attacke, die zum Diebstahl von Nutzerdaten führte, einen Blick auf die Auswirkungen des Ashley-Madison-Lecks geworfen, und jedem, der sich mit dem Gedanken trägt, online nach der großen Liebe zu suchen, einige gute Ratschläge mit auf den Weg gegeben (sowie nützliche Tipps zur Verwaltung jedes beliebigen Online-Accounts).

Ähnliche Beiträge

Es gibt 1 Kommentar
  1. Joachim Prigge

    Ich finde es großartig, mit welcher Akribi und welchem Aufwand Sie sich mit dem Thema „Datendiebstahl“ befassen und der Allgemeinheit damit definitiv helfen, sensibler mit Daten umzugehen. Auch Ihre Tipps sind sehr wichtig! Ich werde Ihre Arbeit dadurch honorieren, in dem ich zukünftig wieder das Programm von Kaspersky kaufe! Sie geben sich wirklich sehr viel Mühe Anwender zu schützen. Dafür ausdrücklich einmal vielen Dank!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.