Kaspersky Security Bulletin 2014. Entwicklung der IT-Bedrohungen

Die wichtigsten Ereignisse, die die Bedrohungslandschaft im Jahr 2014 geprägt haben

Inhalt

    Das Jahresende ist traditionell eine Zeit der Reflektion – wir ziehen Bilanz, bevor wir uns dem zuwenden, was vor uns liegt. Auch Kaspersky Lab präsentiert wie gewohnt einen Rückblick auf die Ereignisse, die die Bedrohungslandschaft im Jahr 2014 geprägt haben.

    1. Zielgerichtete Attacken und Malware-Kampagnen

    Zielgerichtete Attacken sind mittlerweile ein fester Bestandteil der Bedrohungslandschaft, daher ist es keine Überraschung, dass sie auch in unserem Jahresrückblick eine wichtige Rolle spielen.

    Die komplexe Cyberspionage-Kampagne mit der Bezeichnung „Careto“ oder „The Mask“ (Careto ist ein spanischer Slangausdruck für „hässliches Gesicht“ oder „Maske“) dient dazu, bei bestimmten Organisationen Daten zu stehlen. Zu den Opfern dieser Attacke gehören Regierungsagenturen, Botschaften, Energieunternehmen, Forschungsinstitutionen, private Immobilienfirmen und Aktivisten aus 31 Ländern rund um den Globus. Careto umfasst eine raffinierte trojanische Backdoor, die in der Lage ist, alle Kommunikationskanäle abzufangen und Daten aller Art von infizierten Computern abzuernten. Dazu gehören Chiffrierungsschlüssel, VPN-Konfigurationen, SSH-Schlüssel, RDP-Dateien und einige unbekannte Dateitypen, die mit maßgeschneiderten Verschlüsselungstools des Militärs und der Regierung in Verbindung stehen könnten. Der Code von Careto war hochgradig modular, was es den Angreifern ermöglichte, nach Belieben neue Funktionalitäten hinzuzufügen. Es gibt Versionen der Backdoor für Windows und Mac OS X. Das Kaspersky-Team hat zudem Indizien in einigen Modulen gefunden, die darauf hinweisen, dass es auch Versionen für Linux, iOS und Android geben könnte. Wie bei jeder ausgeklügelten Kampagne dieser Art ist es auch in diesem Fall sehr schwer, sie zuzuordnen. Die Tatsache, dass im Code die spanische Sprache benutzt wird, hilft da nicht weiter, da in vielen Teilen der Welt spanisch gesprochen wird. Möglicherweise soll der Gebrauch des Spanischen sogar bewusst in die Irre führen. Das hohe Maß an Professionalität der Gruppe hinter dieser Attacke ist indessen ungewöhnlich für cyberkriminelle Banden – ein Indikator dafür, dass Careto eine staatlich gesponserte Kampagne sein könnte. Ebenso wie bei früheren zielgerichteten Angriffskampagnen reichen auch die Wurzeln von Careto weit vor die Zeit zurück, zu der diese Kampagne ans Licht kam: Wir glauben, dass die Angreifer bereits seit 2007 aktiv sind.

    Anfang März wurde eine Cyberspionage Kampagne mit dem Namen „Epic Turla“ unter Sicherheitsexperten heiß diskutiert. Die Spezialisten von G-DATA waren der Meinung, die Malware könnte von russischen Fachdiensten entwickelt worden sein. Eine von BAE Systems durchgeführte Studie hingegen brachte die Kampagne mit einem Schadprogramm in Verbindung, das als „Agent.btz“ identifiziert wurde. Es war auf das Jahr 2007 zurückdatiert und wurde im Jahr 2008 benutzt, um die lokalen Netzwerke der USA zu infizieren, die sie für ihre Militäroperationen im Mittleren Osten verwendeten. Unsere Erstanalyse von Epic Turla konzentrierte sich auf die Benutzung von USB-Massenspeichern durch die Malware, die gestohlene Daten darauf ablegte, die nicht direkt über das Internet zum Command-and-Control-Server (C2) der Angreifer geschickt werden konnten. Der Wurm schreibt eine Datei namens „thumb.dll“ auf alle USB-Sticks, die mit einem infizierten Computer verbunden sind. Wird der USB-Stick daraufhin mit einen anderen Computer verbunden, wird die Datei „thumb.dll“ auf diesen kopiert. Es handelt sich dabei um eine der Dateien aus dem „USB Stealer-Modul“ von Roter Oktober. Schaut man noch weiter zurück, so hatten auch Gauss und miniFlame die Datei „thumb.dll“ im Visier und suchten auf USB-Sticks nach ihr. Eine Grafik mit den Verbindungen der Schädlinge zueinander finden Sie hier. Wir halten es durchaus für möglich, dass es weltweit zehntausende von USB-Massenspeichern gibt, die „thumb.dll“-Dateien enthalten, die von dieser Malware erstellt wurden.

    In unserer nächsten Analyse der Epic-Turla-Kampagne erklärten wir, wie die Angreifer Social Engineering einsetzen, um die Malware zu verbreiten, und haben gleichzeitig die Gesamtstruktur der Kampagne dargestellt. Die Angreifer benutzen Spear-Phishing-Mails, um ihre Opfer dazu zu bringen, eine Backdoor auf ihrem Computer zu installieren. Einige davon enthalten Zero-Day-Exploits – eins davon betrifft den Adobe Acrobat Reader und das andere eine Privilegien-Eskalation in Windows XP und Windows Server 2003. Die Verbrecher hinter der Kampagne setzen zudem Wasserloch-Attacken ein, die entweder ein Java-Exploit sowie Exploits für den Adobe Flash Player und den Internet Explorer installieren. Oder sie bringen ihre Opfer dazu, einen gefälschten „Flash Player“ auszuführen, der Malware installiert. In Abhängigkeit von der IP-Adresse des Opfers liefern die Angreifer Java- oder Browser-Exploits, signierte gefälschte Adobe-Flash-Player-Software oder eine gefälschte Version von Microsoft Security Essentials. Es überrascht nicht, dass die Auswahl der Webseiten die spezifischen Interessen der Angreifer widerspiegelt (wie auch die Interessen der Opfer). Die Analyse von Kaspersky Lab hat allerdings gezeigt, dass die Epic-Turla-Backdoor nur die erste Stufe der Infektion ist. Sie wird benutzt, um eine noch raffiniertere Backdoor einzuschleusen, die unter dem Namen „Cobra/Carbon system“ bekannt ist (einige Anti-Malware-Produkte nennen sie auch „Pfinet“). Das spezifische Wissen, das zum betreiben dieser beiden Backdoors erforderlich ist, weist auf eine eindeutige und direkte Verbindung zwischen ihnen hin: Eine wird benutzt, um einen Fuß in die Tür zu bekommen und um das jeweils im Fokus stehende Opfer zu bewerten. Erweist es sich als interessant für die Angreifer, erhält der infizierte Computer ein Update auf das vollständige Carbon-System. Folgende Grafik zeigt die Epic-Turla-Kampagne im Überblick:

    Im Juni berichteten wir über unsere Untersuchung eines Angriffs auf die Kunden einer großen europäischen Bank, die im Diebstahl einer halben Million Euro innerhalb nur einer Woche mündete. Wir tauften den Angriff „Luuuk„, nach dem Pfad, den die Administratorkonsole im C2-Server verwendet. Obwohl wir nicht in der Lage waren, an den Schadcode zu gelangen, der gegen die Opfer eingesetzt wurde, sind wir überzeugt davon, dass die Kriminellen einen Bank-Trojaner verwendeten, der Man-in-the-Browser-Operationen durchführte, um über eine schädliche Webeinschleusung an deren Anmeldedaten zu gelangen. Den Informationen aus einigen Logdateien zufolge stahl die Malware in Echtzeit Benutzernamen, Passwörter und Einmalkennwörter (OTP). Die Angreifer verwendeten die gestohlenen Anmeldedaten, um den Kontostand der Opfer zu überprüfen und automatisch verschiedene bösartige Transaktionen durchzuführen, vermutlich indem sie im Hintergrund einer legitimen Online-Banking-Sitzung operierten. Das gestohlene Geld wurde dann automatisch auf vordefinierte Geldesel-Konten transferiert. Die von den Anwendern verwendete Klassifikation der Geldkuriere war überaus interessant. Es gab vier verschiedene Geldkurier-Gruppen, wobei jede über die Geldmenge definiert wurde, die die Kuriere aus dieser Gruppe akzeptieren durften – vermutlich ein Indikator für den Grad des Vertrauens untereinander. Das Kaspersky-Team hat insgesamt 190 Opfer identifiziert, von denen sich die meisten in Italien und der Türkei befinden. Die von jedem Opfer gestohlenen Summen lagen zwischen 1.700 Euro und 39.000 Euro; die Gesamtsumme betrug 500.000 Euro.

    Auch wenn die Angreifer kurz nach dem Beginn unserer Untersuchungen alle sensitiven Daten entfernt haben, glauben wir, dass es sich hierbei eher um einen Umbau der Infrastruktur als um einen generellen Abbruch der Operation handelt. Die Cyberkriminellen, die hinter dieser Kampagne stecken, sind höchst professionell und sehr aktiv. Sie haben außerdem eine proaktive operative Sicherheitsaktivität an den Tag gelegt, wobei sie ihre Taktik ändern und ihre Spuren verwischen, sobald sie entdeckt werden. Die Untersuchungen dieser Kampagne, über die wir die betroffene Bank und die zuständigen Strafverfolgungsbehörden informiert haben, dauern an.

    Der Juni brachte die Reaktivierung der zielgerichteten Angriffskampagne „MiniDuke“ aus dem frühen Jahr 2013 mit sich. Die ursprüngliche Kampagne hob sich aus verschiedenen Gründen von anderen ab. Sie beinhaltete eine maßgeschneiderte Backdoor, die nach alter Schule in der Programmiersprache Assembler geschrieben war. Die Attacke wurde mit Hilfe einer ungewöhnlichen Command-and-Control-Infrastruktur (C2) verwaltet: Sie machte sich zahlreiche redundante Pfade zunutze, unter anderem auch Twitter-Accounts. Die Entwickler transportierten ihre aktualisierten ausführbaren Dateien versteckt in GIF-Dateien.

    Die Ziele der neuen Operation, bekannt unter dem Namen „CosmicDuke“ oder „TinyBaron“, umfassen die Bereiche Regierung, Diplomatie, Energie, Militär und Telekommunikation. Ungewöhnlich ist aber, dass die Liste der Opfer auch Personen enthält, die mit Schwarzhandel und dem Verkauf illegaler Substanzen wie Steroide und Hormone in Verbindung gebracht werden. Es ist nicht klar, warum. Vielleicht wurde die anpassbare Backdoor als so genannte „legale Spyware“ verfügbar gemacht, oder sie war auf dem Schwarzmarkt verfügbar und wurde von verschiedenen Konkurrenten aus der Pharmazie-Branche erworben, die sich gegenseitig ausspionieren wollten.

    Geografische Verteilung der Opfer von Miniduke und CosmicDuke

    Die Malware imitiert populäre Anwendungen, die im Hintergrund laufen, Dateiinformationen, Icons und sogar Dateigröße eingeschlossen. Die Backdoor selbst wurde mit Hilfe von „BotGenStudio“ kompiliert, einem flexiblen Framework, das es dem Angreifer ermöglicht, Komponenten zu aktivieren und zu deaktivieren, wenn der Bot eingerichtet wird. Die Malware stiehlt nicht nur Dateien, die bestimmte Erweiterungen besitzen, sondern greift auch Passwörter ab, sowie den Verlauf, Netzwerkinformationen, Adressbücher, auf dem Bildschirm dargestellte Informationen (alle fünf Minuten werden Screenshots erstellt) und andere sensitive Daten. Jedes der Opfer erhält eine eindeutige ID und kann so individuell und gezielt mit Updates versorgt werden.

    Die Malware wird von einem maßgeschneiderten obfuskierten Ladeprogramm geschützt, das drei bis fünf Minuten, bevor es die Payload ausführt, sehr viele CPU-Ressourcen verbraucht. Dadurch ist das Schadprogramm schwer zu analysieren. Doch es zehrt auch die Ressourcen auf, die die Sicherheitssoftware benötigt, um die Ausführung der Malware zu emulieren. Neben dieser Verschleierungstaktik macht die Malware auch regen Gebrauch von Verschlüsselung und Kompression, basierend auf den Algorithmen RC4 und LZRW. Ihre Umsetzung unterscheidet sich leicht von den Standardversionen. Wir sind der Meinung, dass Absicht dahinter steckt und so die Sicherheitsforscher in die Irre geführt werden sollen. Die interne Konfiguration des Schädlings ist verschlüsselt, komprimiert und angeordnet als eine komplizierte Registry-artige Struktur, die verschiedene Eintragstypen hat, unter anderem Zeichenketten (Strings), ganze Zahlen (Integer) und interne Referenzen. Die gestohlenen Daten zerteilt der Schädling in kleine Stückchen (von etwa 3 KB), komprimiert und verschlüsselt sie und lädt sie anschließend in einem Container verpackt auf den C2-Server hoch. Handelt es sich um eine große Datei, kann sie auf mehrere hundert Container verteilt sein, die alle unabhängig voneinander hochgeladen werden. Es ist wahrscheinlich, dass diese Daten-Häppchen auf Angreifer-Seite geparst, entschlüsselt, entpackt, extrahiert und wieder zusammengesetzt werden. Auch wenn diese Methode einen Mehraufwand beinhaltet, so gewährleisten die Schichten zusätzlicher Verarbeitung doch, dass nur sehr wenige Forscher an die Originaldaten gelangen. Diese Methode bietet zudem eine höhere Ausfallsicherheit gegenüber Netzwerk-Fehlern.

    Im Juli veröffentlichte Kaspersky Lab eine Tiefenanalyse einer zielgerichteten Attacke, die wir auf den Namen „Crouching Yeti“ tauften – auch bekannt als „Energetic Bear“, da die Experten von CrowdStrike annahmen, die Angreifer stammten aus Russland: Wir glauben nicht, dass es ausreichend Beweise gibt, um diese Annahme zu bestätigen oder zu widerlegen. Die Kampagne ist seit dem Spätjahr 2010 aktiv und hat bisher die folgenden Branchen ins Visier genommen: Industrie und Industrieanlagen, Produktion, Pharmazie, Bau, Bildung und Informationstechnologie. Bis jetzt wissen wir von über 2.800 Opfern weltweit und wir konnten 101 verschiedene Organisationen identifizieren, die sich größtenteils in den USA, in Spanien, Japan, Deutschland, Frankreich, Italien, der Türkei, Irland, Polen und China befinden.

    Die Hacker hinter Crouching Yeti verwenden verschiedene Arten von Malware (zur Infektion von Windows-Systemen), um in Rechner einzubrechen, weiter in die angegriffenen Organisationen einzudringen und vertrauliche Daten zu stehlen – inklusive intellektuellem Eigentum und anderen strategischen Informationen. Die verwendete Malware umfasst spezielle Module zum Sammeln von Daten von bestimmten industriellen IT-Umgebungen. Infizierte Computer verbinden sich mit einem großen Netzwerk von gehackten Webseiten, die Malware-Module beherbergen, Informationen über Opfer speichern und Befehle an die infizierten Systeme senden. Die Angreifer infizieren die Computer auf drei verschiedene Arten: Sie nutzen einen legitimen Software-Installer, der neu gepackt wird, um eine schädliche DLL-Datei zu integrieren; daneben kommen Spear-Phishing-Mails und Wasserloch-Attacken zum Einsatz.

    Technologie ist heute ein wesentlicher Bestandteil unseres Lebens. Daher ist es alles andere als überraschend, dass Konflikte rund um den Erdball nun auch eine Cyberdimension erhalten. Dies gilt insbesondere für den Mittleren Osten, wo sich die geopolitischen Konflikte in den letzten Jahren immer weiter zugespitzt haben. Im August berichteten wir über eine Zunahme der Malware-Aktivität in Syrien seit Anfang des Jahres 2013. Die Opfer dieser Attacken befinden sich nicht nur in Syrien. Derartige Angriffe wurden ebenfalls in der Türkei, in Saudi-Arabien, im Libanon, in Palästina, den Vereinigten Arabischen Emiraten, Israel, Marokko, Frankreich und den USA beobachtet. Wir konnten die C2-Server der Angreifer zu IP-Adressen in Syrien, Russland, dem Libanon, den USA und Brasilien zurückverfolgen. Insgesamt fanden wir 110 Dateien, 20 Domains und 47 IP-Adressen, die mit den Attacken in Verbindung stehen.

    Es ist klar, dass die Gruppen, die hinter diesen Attacken stehen, äußerst gut organisiert sind. Bisher haben die Angreifer bewährte Malware-Tools benutzt und keine eigenen Werkzeuge entwickelt (obwohl sie ein breites Spektrum von Obfuskationsmethoden einsetzen, um die simple Signatur-basierte Erkennung zu verhindern). Wir sind der Meinung, dass die in dieser Region eingesetzte Schadsoftware sowohl an Quantität als auch an Qualität zunehmen wird.

    Im November veröffentlichten wir unsere Analyse der „Darkhotel„-APT, eine Kampagne, die seit fast einem Jahrzehnt aktiv ist und Opfer rund um den Globus angreift. Etwa 90 Prozent der Infektionen erfolgten in Japan, Taiwan, China, Russland und Hong Kong, doch es gab sie ebenfalls in Deutschland, den USA, Indonesien, Indien und Irland.

    Im Rahmen der Kampagne werden wechselnde Angriffsschemata verwendet. Erstens setzen die Online-Verbrecher Spear-Phishing-Mails und Zero-Day-Exploits ein, um in Organisationen aus unterschiedlichen Bereichen einzudringen, unter anderem Rüstungsindustrie, Regierung und Nicht-Regierungsorganisationen (NGOs). Zweitens verbreiten sie völlig willkürlich Malware über japanische P2P-Filesharing-Sites. Drittens greifen sie gezielt Führungskräfte an, die nach Übersee reisen und in Hotels in verschiedenen Ländern absteigen: In einem zweistufigen Infektionsprozess identifizieren die Angreifer zunächst ihre Opfer und laden dann weitere Malware, die entwickelt wurde, um vertrauliche Daten von befallenen Rechnern zu stehlen, auf die Computer von bedeutungsvolleren Zielen.

    2. Unser Heim und andere Schwachstellen

    Die Ausnutzung von Sicherheitslücken ist und bleibt einer der wichtigsten Mechanismen zur Installation von Schadcode auf den Computern von Opfern Cyberkrimineller. Dieser Mechanismus funktioniert also nur, wenn Sicherheitslücken in weit verbreiteter Software vorhanden sind, und wenn einzelne Anwender und Unternehmen es versäumen, die entsprechenden Patches zu installieren.

    In diesem Jahr wurden in zwei stark genutzten Open-Source-Protokollen Sicherheitslücken gefunden, die als „Heartbleed“ und „Shellshock“ bekannt wurden. Heartbleed, ein Fehler im Verschlüsselungsprotokoll OpenSSL, ermöglicht es einem Angreifer, die Speicherinhalte zu lesen und persönliche Daten auf Systemen abzufangen, die angreifbare Versionen des Protokolls benutzen. OpenSSL wird häufig benutzt, um Internet-basierte Kommunikation abzusichern, wie etwa den Webtraffic, E-Mail, Instant Messaging und Virtual Private Networks (VPN), so dass die potenziellen Auswirkungen dieser Schwachstelle sehr groß waren. Wie es häufig der Fall ist, wenn persönliche Daten abgeflossen sein könnten, gab es eindringliche Aufrufe, die Passwörter zu ändern. Das ergibt selbstverständlich nur dann einen Sinn, wenn die Online-Anbieter vorher die notwendigen Schritte unternommen haben, um OpenSSL zu patchen und dadurch ihre Systeme zu sichern – andernfalls wäre jedes neue Passwort ebenso in Gefahr, Angreifern in die Hände zu fallen, die versuchen, die Schwachstelle auszunutzen. Zwei Monate nach ihrer Entdeckung haben wir diese Schwachstelle aus verschiedenen Blickwinkeln beleuchtet.

    Im September läuteten in der IT-Sicherheitsbranche alle Alarmglocken, nachdem die Shellshock-Sicherheitslücke (auch bekannt als „Bash“) entdeckt worden war. Der Fehler ermöglicht es Angreifern aus der Ferne, eine schädliche Datei an eine Variable anzuhängen, die ausgeführt wird, wenn der Bash-Kommandointerpreter aufgerufen wird. (Bash ist die Standard-Shell in Linux und Mac OS X). Die extremen Auswirkungen dieser Sicherheitslücke in Kombination mit der unproblematischen Ausnutzung gaben Anlass zu beträchtlichen Sorgen. Von einigen wird diese Schwachstelle mit der „Heartbleed“-Sicherheitslücke verglichen. Doch Bash ist viel einfacher auszunutzen als Heartbleed, und während Heartbleed es einem Angreifer nur ermöglichte, Daten aus dem Speicher eines angreifbaren Computers zu stehlen, kann Shellshock die Kontrolle über das gesamte System bereitstellen. Die Angreifer brauchten nicht lange, um die Sicherheitslücke zu testen und ihren Nutzen daraus zu ziehen – bereits kurz nach ihrem Erscheinen haben wir einige frühe Beispiele besprochen. In den meisten Fällen griffen Hacker entfernt Webserver an, die CGI-Skripte (Common Gateway Interface) beherbergen, die in Bash geschrieben wurden oder Werte an Shell-Skripte weitergeben. Wie auch immer – es ist möglich, dass die Sicherheitslücke Auswirkungen auf eine Windows-basierte Infrastruktur hat. Das Problem beschränkt sich leider auch nicht allein auf Webserver. Bash ist auch in der Firmware von Geräten verbreitet, die heute Teil unseres alltäglichen Lebens sind. Dazu gehören Router, Haushaltsgeräte und drahtlose Zugriffspunkte. Einige dieser Geräte sind nur schwer oder gar unmöglich zu patchen.

    Das Internet durchdringt unser alltägliches Leben immer stärker, und zwar wortwörtlich, da immer mehr Alltagsgeräte mit dem World Wide Web verbunden werden können. Diese Tendenz, bekannt als das „Internet der Dinge“, zieht immer mehr Aufmerksamkeit auf sich. Es mag vielleicht futuristisch erscheinen, aber das Internet der Dinge ist in Wahrheit näher als man denkt. In einem modernen Heim können sich heute eine Handvoll Geräte befinden, die mit dem lokalen Netzwerk verbunden sind, und bei denen es sich nicht um klassische Computer handelt – Geräte wie Smart-TV, Drucker, Spielkonsolen, Netzwerkspeichergeräte oder irgendeine Art von Media Player oder Satellitenreceiver.

    Einer unserer Sicherheitsexperten untersuchte sein eigenes Zuhause, um festzustellen, ob es wirklich cybersicher ist. Er nahm verschiedene Geräte unter die Lupe, unter anderem Netzwerkspeichergeräte (NAS), einen Smart-TV, einen Router und einen Satellitenreceiver, um zu sehen, ob sie angreifbar sind. Das Ergebnis war erschreckend. Er fand 14 Sicherheitslücken in den Netzwerkspeichergeräten, eine in dem Smart-TV und mehrere potenziell verborgene Funktionen zur entfernten Kontrolle in seinem Router. Den vollständigen Bericht lesen Sie hier. Es ist sehr wichtig, dass wir uns alle der möglichen Sicherheitsrisiken bewusst sind, die mit dem Gebrauch von Netzwerkgeräten einhergehen – das gilt für Heimanwender und Unternehmen gleichermaßen. Wir müssen zudem einsehen, dass unsere Informationen nicht sicher sind, nur weil wir starke Passwörter verwenden und eine Software zum Schutz vor Schadcode laufen lassen. Es gibt so viele Dinge, über die wir keine Kontrolle haben, und wir befinden uns bis zu einem gewissen Grad in den Händen von Software- und Hardware-Anbietern. So sind beispielsweise automatisierte Update-Checks nicht in alle Geräte integriert – manchmal sind die Verbraucher selbst aufgefordert, eine neue Firmware herunterzuladen und zu installieren. Das ist nicht immer ganz einfach. Schlimmer noch: Es ist gar nicht immer möglich, ein Gerät zu aktualisieren (die meisten im Rahmen dieser Analyse untersuchten Geräte waren schon über ein Jahr lang Auslaufmodelle).

    3. Das fortgesetzte exponentielle Wachstum mobiler Malware

    In den letzten Jahren hat die Zahl der mobilen Schadprogramme dramatisch zugenommen. In der Zeit von 2004 bis 2013 haben die Kaspersky-Experten fast 200.000 mobile Schadcode-Samples analysiert. Allein im Jahr 2014 analysierten wir weitere 295.539 Samples. Doch diese Zahlen spiegeln noch nicht das gesamte Bild wider. Die Code-Samples werden recycelt und neu verpackt: Im Jahr 2014 stießen wir auf 4.643.582 Installationspakete für mobile Malware (zusätzlich zu den 10.000.000 Installationspaketen aus den Jahren 2004 bis 2013). Die Zahl der Attacken durch mobile Malware ist um das Zehnfache gestiegen – von 69.000 pro Monat im August 2013 auf 644.000 im März 2014 (siehe Mobile Cyber Threats, Kaspersky Lab and INTERPOL Joint Report, Oktober 2014).

    Bei 53 Prozent aller Detektionen von mobiler Malware handelt es sich jetzt um Schadprogramme, die in der Lage sind, Geld zu stehlen. Eines der auffallendsten Beispiele ist Svpeng, der entwickelt wurde, um das Geld der Kunden der drei größten russischen Banken zu rauben. Der Trojaner wartet, bis ein Kunde eine Online-Banking-App öffnet, ersetzt sie dann durch seine eigene und versucht so an die Anmeldedaten des Kunden zu gelangen. Er versucht zudem, die Kreditkartendaten seiner Opfer zu stehlen, indem er sein eigenes Fenster über der Google-Play-App anzeigt und nach den Kreditkartendetails fragt. Ein weiterer Schädling ist Waller, der sich nicht nur wie ein typischer SMS-Trojaner benimmt, sondern auf infizierten Geräten obendrein auch Geld aus QIWI-Wallets stiehlt.

    Online-Verbrecher haben ihre Bemühungen, Geld aus ihren Opfern zu pressen, nun breiter gestreut und verwenden auch Methoden, die sich auf Desktop-Rechnern und Laptops bereits bewährt haben. Das schließt unter anderem Erpresser-Trojaner ein, so genannte Ransomware. Gefälschte Antiviren-Apps sind ein weiteres Beispiel für einen bewährten Ansatz, der nun auch auf mobile Geräte angewandt wird. Schließlich erschien dieses Jahr auch erstmals ein Trojaner, der über einen C2-Server verwaltet wird, welcher im Netzwerk Tor beherbergt ist. Die Torec-Backdoor ist eine Modifikation des gebräuchlichen Tor-Clients Orbot. Der Vorteil liegt selbstverständlich darin, dass der C2-Server nicht offline genommen werden kann.

    Bis vor kurzem war jegliche iOS-Malware auf die Ausnutzung von „Jailbreak“-Geräten ausgerichtet.

    Doch das Erscheinen von „WireLurker“ hat gezeigt, dass iOS nicht gegen Angriffe immun ist.

    Mobile Geräte sind heute etwas alltägliches, und es ist daher nicht überraschend, dass der Entwicklung mobiler Malware ein cyberkriminelles Geschäftskonstrukt zugrunde liegt, zu dem Schadprogramm-Autoren, Tester, App-Designer, Web-Entwickler und Botnet-Manager gehören.

    4. Geld oder Datei(en)!

    Die Zahl der Erpresser-Programme (Ransomware) ist in den letzten Jahren gestiegen. Einige blockieren einfach den Zugriff auf den infizierten Computer und fordern vom Nutzer ein Lösegeld für die Entsperrung. Doch viele Ransomware-Programme gehen noch weiter, indem sie die Daten auf dem Computer verschlüsseln. Ein jüngeres Beispiel hierfür ist „ZeroLocker„. Diese Ransomware verschlüsselt nahezu alle Dateien auf dem infizierten Rechner und fügt den chiffrierten Dateien die Erweiterung „encrypt“ („verschlüsselt“) an (obwohl sie keine Dateien in Verzeichnissen verschlüsselt, die die Wörter „Windows“, „WINDOWS“, „Program Files“, „ZeroLocker“ oder „Destroy“ enthalten, und auch keine Dateien, die größer als 20 MB sind). Der Trojaner verwendet zur Chiffrierung der Dateien einen AES-Schlüssel mit einer Länge von 160 Bit. Nachdem er die Dateien verschlüsselt hat, führt der Schädling das Tool „cipher.exe“ aus, um alle ungenutzten Daten von dem Laufwerk zu entfernen. Durch diese beiden Faktoren wird die Dateiwiederherstellung wesentlich erschwert. Die Cyberkriminellen hinter ZeroLocker verlangen zunächst eine Zahlung von 300 US-Dollar in Bitcoins für die Entschlüsselung der Dateien. Zahlt das Opfer nicht umgehend, so erhöht sich die Gebühr zunächst auf 500 und mit der Zeit dann auf 1.000 US-Dollar.

    Ein weiteres Ransomware-Programm, das wir dieses Jahr analysiert haben, ist Onion. Dieser Trojaner nutzt nicht nur das Netzwerk Tor, um seine C2 Server zu verbergen, sondern unterstützt auch die vollständige Interaktion mit Tor, ohne jeglichen Input durch das Opfer. Andere Programme dieser Art kommunizieren mit dem Tor-Netzwerk, indem sie die legitime Datei „tor.exe“ starten (manchmal durch die Einschleusung von Code in andere Prozesse). Onion hingegen setzt diese Kommunikation als Teil des Malware-Codes selbst um. Onion verwendet zudem einen unorthodoxen kryptographischen Algorithmus, der die Dateientschlüsselung unmöglich macht, selbst wenn der Datenverkehr zwischen dem Trojaner und dem C2-Server abgefangen wird. Dieser Trojaner setzt nicht nur asymmetrische Verschlüsselung ein, sondern er verwendet auch ein als ECDH (Elliptic Curve Diffie-Hellman) bekanntes kryptografisches Protokoll. Dadurch wird eine Entschlüsselung ohne den privaten Master-Key unmöglich, der wiederum niemals den von den Cyberkriminellen kontrollierten Server verlässt.

    Dieses Jahr wurde der Einsatz von Ransomware-Programmen auf Geräte unter Android ausgeweitet. Beispielsweise blockiert die erste Version von Svpeng, die Anfang des Jahres 2014 entdeckt wurde, das Telefon unter dem Vorwand, sein Besitzer habe angeblich kinderpornografische Inhalte angesehen, und verlangt eine „Strafe“ von 500 US-Dollar, nach deren Zahlung das Mobiltelefon wieder entsperrt würde. Eine spätere Modifikation dieser Malware, die im Juni 2014 entdeckt wurde, blockiert das Gerät vollständig, so dass es nur noch ausgeschaltet werden kann, indem man den Power-Knopf lange gedrückt hält. Der Trojaner wird sofort wieder geladen, sobald das Gerät erneut eingeschaltet wird. Diese Version richtete sich in erster Linie gegen Nutzer in den USA, doch wir konnten auch Opfer in Großbritannien, der Schweiz, Deutschland, Indien und Russland identifizieren. Diese Version fordert eine Zahlung von 200 US-Dollar, um das Telefon zu entsperren, die mittels MoneyPak-Vouchers erfolgen soll. Auf dem Bildschirm mit der Lösegeldforderung ist ein Foto des Nutzers zu sehen, das mit der Webkamera aufgenommen wurde. Ein anderer Trojaner mit dem Namen „Koler„, der im Mai 2014 entdeckt wurde, verwendet denselben Ansatz: Er blockiert den Zugriff auf das Gerät und verlangt eine Lösegeldzahlung in Höhe von 100 bis 300 US-Dollar, damit das Telefon entsperrt wird. Wie Svpeng tut auch dieser Trojaner dabei so, als stamme diese Nachricht von der Polizei. Er greift Opfer in mehr als 30 Ländern rund um den Globus an und verwendet dabei lokalisierte „Polizei“-Mitteilungen.

    Verbreitungsinfrastruktur von Koler

    Der erste Trojaner, der Daten verschlüsselt und „Pletor“ genannt wird, erschien im Mai 2014. Dieser Schädling verwendet den AES-Verschlüsselungsalgorithmus, um die Inhalte auf der Speicherkarte des Telefons zu chiffrieren und zeigt dann eine Lösegeldforderung auf dem Bildschirm an, die mittels der QIWI Visa Wallet des Opfers, mittels MoneXy oder über eine Standardüberweisung an eine Telefonnummer beglichen werden soll. Dieser Trojaner greift in erster Linie Opfer in Russland und der Ukraine an (obwohl wir auch Betroffene in anderen Ländern der ehemaligen Sowjetunion identifiziert haben) und verlangt einen Betrag in Rubel oder in Griwna, der in etwa 300 US-Dollar entspricht.

    Die Einträglichkeit von Ransomware hängt davon ab, ob das Opfer zahlt oder nicht. Tun Sie es nicht! Machen Sie stattdessen regelmäßige Backups von Ihren Daten. Wenn Sie jemals Opfer eines Ransomware-Programms werden sollten (oder ein Hardwareproblem haben sollten, das den Zugriff auf Ihre Daten unmöglich macht), verlieren Sie auf diese Weise keine Ihrer Daten.

    5. Malware für Überfälle auf Bankautomaten

    Schadprogramme für Bankautomaten sind nichts Neues. Die erste Malware dieser Art, genannt „Skimer„, wurde im Jahr 2009 entdeckt. Sie griff Geldautomaten in Osteuropa an, auf denen ein Windows-basiertes Betriebssystem lief. Dieser Schädling nutzte nicht dokumentierte Funktionen, um Details der in einen infizierten Automaten eingeführten Kreditkarten zu drucken und Kassetten mittels eines Mastercard-Befehls zu öffnen. Im Jahr 2010 stieß das Kaspersky-Team in Brasilien auf weitere Geldautomaten-Malware („SPSniffer„): Dieses Schadprogramm sammelte PINs auf veralteten Bankautomaten unter Verwendung von PIN-Pads mit nur schwachem kryptografischen Schutz. Im letzten Jahr registrierten wir schließlich eine weitere Familie von ATM-Schädlingen („Atmer“), die entwickelt wurden, um Geld von Geldautomaten in Mexiko zu stehlen.

    In diesem Jahr führten wir nun auf Anfrage einer Finanzinstitution forensische Ermittlungen einer cyberkriminellen Attacke auf zahlreiche Geldautomaten in Asien, Europa und Lateinamerika durch. Der Angriff läuft in zwei Schritten ab. Die Cyberkriminellen verschaffen sich physischen Zugriff auf die Bankautomaten und verwenden eine bootfähige CD, um eine Malware mit dem Namen „Tyupkin“ darauf zu installieren. Daraufhin booten sie die Maschine neu, um die Malware zu laden und sich selbst die Kontrolle über den Geldautomaten zu verschaffen. Das Schadprogramm läuft dann in einer Endlosschleife und wartet auf Befehle.

    malware_evolution_10

    Damit der Betrug nicht auffliegt, nimmt die Malware nur sonntags und montags nachts zu bestimmten Uhrzeiten Befehle entgegen. Die Angreifer geben dann eine Ziffernkombination auf der Tastatur des Bankautomaten ein, rufen die Malwarebetreiber an, geben eine weitere Ziffernkombination ein und sammeln dann das von dem Automaten ausgespuckte Geld ein.

    Video-Material von Überwachungskameras bei den infizierten Geldautomaten gab Aufschluss über die Methode, mittels derer die Verbrecher an das Geld gelangten. Ein zufälliger Schlüssel wird für jede Sitzung neu generiert: So stellen die Gangster sicher, dass niemand aus Versehen von dem Betrug profitiert. Der Betreiber der Schadsoftware enthält dann via Telefon Instruktionen von einem anderen Bandenmitglied, das den Algorithmus kennt und in der Lage ist, aufgrund der angezeigten Zahlen einen Sitzungsschlüssel zu generieren: Dadurch wiederum wird sichergestellt, dass die Kuriere, die das Geld einsammeln, keine Alleingänge unternehmen. Nach Eingabe des korrekten Schlüssels zeigt der Automat an, wie viel Geld in jeder Kassette verfügbar ist, und fordert den Verbrecher auf, die Kassette auszuwählen, die geplündert werden soll. Daraufhin gibt sie aus der ausgewählten Kassette 40 Banknoten auf einmal aus.

    Die Zunahme von Angriffen auf Geldautomaten in den letzten Jahren ist eine natürliche Weiterentwicklung der bereits etablierten Methoden unter Verwendung von physischen Geräten, die dazu dienen, Daten von Karten abzugreifen, die in manipulierte Geldautomaten eingeführt werden. Leider laufen auf vielen Geldautomaten Betriebssysteme mit bekannten Sicherheitsschwachstellen. Dadurch wird physikalische Sicherheit noch wichtiger. Wir möchten deshalb alle Banken dringend dazu aufrufen, die physische Sicherheit ihrer Bankautomaten zu überprüfen.

    6. Windows XP: vergessen, aber nicht vergangen?

    Der Support für Windows XP lief am 8. April 2014 aus. Das bedeutet, es gibt keine neuen Sicherheitsupdates mehr, keine Sicherheits-Hotfixes, keine technischen Content-Updates online und auch keine kostenlosen oder bezahlpflichtigen Supportoptionen. Leider gibt es aber noch viele Nutzer, auf deren Rechnern Windows XP läuft. Unseren Daten zufolge entfallen etwa 18 Prozent aller Infektionen auf Windows XP. Das heißt, eine Menge Leute haben Angriffen Tür und Tor geöffnet, nachdem keine Sicherheitspatches mehr verfügbar sind. Denn effektiv ist jede Sicherheitslücke, die seit April entdeckt wurde, eine Zero-Day-Schwachstelle – also eine Schwachstelle, für die keine Chance auf einen Patch besteht. Dieses Problem wird sich noch verschärfen, wenn die Anbieter von Apps keine Updates mehr für Windows XP entwickeln. Jede ungepatchte Anwendung bietet dann eine weitere potenzielle Schwachstelle, was die Angriffsfläche wiederum vergrößert. Tatsächlich ist es schon jetzt so weit: Die neueste Java-Version unterstützt Windows XP nicht mehr.

    Es mag nun so erscheinen, als sei die leichteste und offensichtlichste Lösung dieses Problems ein Upgrade auf ein neueres Betriebssystem. Doch obwohl Microsoft immer wieder auf das Ende des Supports aufmerksam gemacht hat, lässt sich leicht erklären, aus welchen Gründen die Migration zu einem neuen Betriebssystem für einige Unternehmen schwierig sein könnte. Neben den Kosten, die durch die Umstellung entstehen, könnten auch Investitionen für neue Hardware fällig werden, oder es könnte sich als notwendig erweisen, eine eigens für das Unternehmen entwickelte Anwendung zu ersetzen, da diese nicht mehr auf einem neueren Betriebssystem läuft. Daher überrascht es nicht, dass einige Organisationen bereit sind, für einen verlängerten XP-Support zu zahlen.

    Sicherlich bietet ein Antiviren-Produkt Schutz. Doch das gilt nur, wenn wir unter „Antiviren-Produkt“ eine umfassende Internet-Security-Lösung verstehen, die proaktive Technologien zur Abwehr neuer, unbekannter Bedrohungen verwendet und über eine Funktionalität verfügt, die den Einsatz von Exploits verhindert. Ein Basis-AV-Produkt, das im Wesentlichen auf einer Signatur-basierten Suche nach bekannter Schadsoftware fußt, ist hier unzureichend. Man darf auch nicht vergessen, dass Anbieter von Sicherheitslösungen mit der Zeit ebenfalls neue Schutztechnologien auf den Markt bringen werden, die nicht mehr mit Windows XP kompatibel sind.

    Jeder, der jetzt noch Windows XP laufen hat, sollte das als eine Übergangslösung ansehen, für die Zeit, in der die Migrationsstrategie ausgearbeitet wird. Malware-Autoren werden ohne Zweifel Windows XP angreifen, solange eine nennenswerte Zahl von Menschen es weiterhin benutzt, da ein ungepatchtes Betriebssystem ihnen ein viel breiteres Spektrum an Möglichkeiten bietet. Jeder Windows-XP-Computer in einem Netzwerk bietet eine Schwachstelle, die im Rahmen von zielgerichteten Angriffen auf das Unternehmen ausgenutzt werden kann und die dann als Trittbrett in das weitere Netzwerk fungieren könnte.

    Keine Frage, dass die Umstellung auf ein neueres Betriebssystem unbequem und mit Kosten verbunden ist – sowohl für Heimanwender als auch für Unternehmen. Aber die Vermeidung des potenziellen Risikos, das die Verwendung eines zunehmend unsicheren Betriebssystems mit sich bringt, sollten die Mühen und Kosten auf jeden Fall wieder wettmachen.

    7. Unter der Zwiebelschale

    Tor (kurz für „The Onion Router“) ist eine Software, die es ermöglicht, sich im Internet anonym zu bewegen. Es gibt sie schon seit einiger Zeit, sie wurde jedoch hauptsächlich von Experten und Enthusiasten benutzt. Der Gebrauch des Tor-Netzwerks hat in diesem Jahr allerdings stark zugenommen, hauptsächlich wegen der zunehmenden Sorge um die Privatsphäre. Tor ist zu einer hilfreichen Lösung für all jene geworden, die – aus welchen Gründen auch immer – eine Überwachung und das Abfließen ihrer vertraulichen Daten fürchten. Doch von Kaspersky Lab durchgeführte Untersuchungen haben gezeigt, dass Tor auch für Cyberkriminelle attraktiv ist. Sie wissen die Anonymität, die diese Software bietet, ebenfalls zu schätzen.

    Im Jahr 2013 beobachteten wir erstmals, dass Cyberkriminelle aktiv Tor nutzen, um ihre schädliche Malware-Infrastruktur zu hosten. Die Experten von Kaspersky Lab haben verschiedene Schadprogramme gefunden, die gezielt Tor verwenden. Untersuchungen des Tor-Netzwerks offenbarten, dass viele Ressourcen mit Schadprogrammen in Verbindung stehen, inklusive C2-Servern, Administrationskonsolen und vielem mehr. Indem sie ihre Server im Tor-Netzwerk hosten, sorgen Cyberkriminelle dafür, dass diese schwerer zu identifizieren, zu klassifizieren und zu löschen sind. Es hat sich zudem ein Tor-basierter Untergrundmarkt etabliert, auf dem Malware und gestohlene persönliche Daten gehandelt werden, die meist mit der Krypto-Währung Bitcoin bezahlt werden, wodurch die Spuren der Cyberkriminellen nicht zurückverfolgt werden können. Tor bietet Online-Verbrechern die Möglichkeit, die Operationen der von ihnen benutzten Malware zu verbergen, bei Cybercrime-Services Handel zu treiben und ihre illegalen Einnahmen zu waschen.

    Im Juli veröffentlichten wir unsere Analyse eines Erpresser-Trojaners mit dem Namen „Onion“, der neue Wege in der Nutzung des Tor-Netzwerkes beschritt.

    Die Entwickler von Android-basierter Schadsoftware haben ebenfalls Tor für sich entdeckt. Der Trojaner Torec, eine schädliche Variante des populären Tor-Clients Orbot, verwendet eine Domain in der Pseudo-Zone „.onion“ als C2-Server. Einige Modifikationen des Erpresser-Trojaners Pletor nutzen ebenfalls das Netzwerk Tor um mit den Cyberkriminellen zu kommunizieren, die hinter dem Betrug stecken.

    Online-Verbrecher können nicht immer auf Straffreiheit hoffen, selbst wenn sie Tor für ihre Machenschaften verwenden, wie eine kürzlich durchgeführte weltweite Strafverfolgungsaktion gegen eine Reihe von Tor-basierten Cybercrime-Services („Operation Onymous„) gezeigt hat.

    Das wiederum wirft die Frage auf, wie die daran beteiligen Polizeibehörden in der Lage sein konnten, ein mutmaßlich „undurchdringbares“ Netzwerk zu kompromittieren. Denn zumindest in der Theorie gibt es keine Möglichkeit, den physischen Standort eines Webservers herauszufinden, der hinter einem verborgenen Service steckt, den jemand besucht. Doch es gibt Wege, einen verborgenen Service zu kompromittieren, ohne dabei die Tor-Architektur selbst anzugreifen, wie wir an dieser Stelle gezeigt haben. Ein Tor-basierter Service kann nur sicher bleiben, wenn er sorgfältig konfiguriert wurde, wenn er frei von Sicherheitslücken oder Konfigurationsfehlern ist und die Webanwendungen keinerlei Fehler aufweisen.

    8. Gute Malware, schlechte Malware!?

    Leider ist Software nicht strikt in gute und in schlechte Programme unterteilt. Es besteht immer das Risiko, dass Software, die zu legitimen Zwecken entwickelt wurde, von Cyberkriminellen missbraucht wird. Auf dem Kaspersky Security Analyst Summit 2014 im Februar erläuterten wir, wie eine unsauber in die Firmware von gängigen Laptops und einigen Desktop-Computern implementierte Anti-Diebstahl-Technologie in den Händen von Cyberkriminellen zu einer mächtigen Waffe werden kann. Wir begannen unsere Nachforschungen, nachdem auf einem der privaten Laptops eines Kaspersky-Lab-Mitarbeiters wiederholt Systemprozesse abgestürzt waren, und zwar in Folge einer Instabilität in Modulen, die zu der Software Computrace des Unternehmens Absolute Software gehören. Unser Kollege hatte diese Software niemals installiert und wusste noch nicht einmal, dass sie auf seinem Laptop läuft. Das wiederum bereitete uns Sorgen, da die Installation laut einem Whitepaper von Absolute Software vom Besitzer des Computers oder der IT-Abteilung des Unternehmens durchgeführt werden müsse. Und während die meiste vorinstallierte Software vom Besitzer des Computers entfernt oder deaktiviert werden kann, kann Computrace sogar eine professionelle System-Reinigung und selbst den Austausch der Festplatte überleben. Wir konnten diesen Fall nicht einfach als einmalige Angelegenheit abtun, da wir Hinweise darauf fanden, dass die Computrace-Software auch auf den PCs einiger unserer Experten sowie auf einigen Unternehmensrechnern läuft. Das hatte zur Folge, dass wir eine Tiefenanalyse durchführten.

    Bei unserem ersten Blick auf Computrace hielten wir die Software irrtümlicherweise für schädlich, da das Programm mit so vielen Tricks arbeitet, die auch in aktueller Malware zum Einsatz kommen. Aus diesem Grunde wurde diese Software tatsächlich früher als Malware eingestuft, doch aktuell stehen die ausführbaren Dateien von Computrace bei den meisten Antiviren-Anbietern auf der Weißen Liste.

    Wir sind der Meinung, dass Computrace in guter Absicht entwickelt wurde. Unsere Untersuchungen zeigen allerdings, dass Sicherheitslücken in der Software Cyberkriminellen die Möglichkeit geben könnten, das Programm zu missbrauchen. Unserer Ansicht nach sollte eine starke Authentifizierung und Verschlüsselung in ein solch leistungsstarkes Tool integriert sein. Wir haben keine Beweise dafür gefunden, dass Computrace-Module heimlich auf den Computern, die wir analysiert haben, aktiviert wurden. Aber es liegt auf der Hand, dass es viele Computer mit aktivierten Computrace-Agents gibt. Wir sind der Meinung, dass es in der Verantwortung der Hersteller und bei Absolute Software liegt, die entsprechenden Nutzer zu identifizieren und ihnen zu erklären, wie sie die Software deaktivieren können, wenn sie sie nicht verwenden möchten. Andernfalls werden diese verwaisten Agents weiter unbemerkt laufen und Gelegenheit zur entfernten Ausnutzung bieten.

    Im Juni veröffentlichte Kaspersky Lab die Ergebnisse seiner jüngsten Untersuchung der „legalen“ Software Remote Control System (RCS), die von dem italienischen Unternehmen HackingTeam entwickelt wurde. Wir entdeckten ein Feature, mit dem die RCS-Kontrollserver mit einem Fingerabdruck ausgestattet werden können. Wir konnten diese Methode verwenden, um den gesamten IPv4-Raum zu scannen. Dadurch wurde es uns möglich, alle IP-Adressen der RCS-C2-Server auf der ganzen Welt zu finden. Insgesamt machten wir 326 Server ausfindig, von denen sich die meisten in den USA, Kasachstan und Ecuador befanden. Mehrere IP-Adressen wurden aufgrund ihrer WHOIS-Informationen als regierungszugehörig identifiziert. Natürlich können wir nicht sicher sein, dass die Server, die sich in einem bestimmten Land befinden, auch von den Strafverfolgungsbehörden dieses Landes verwendet werden. Allerdings würde es schon Sinn ergeben: Am Ende würde es grenzübergreifende rechtliche Probleme vermeiden sowie das Risiko minimieren, dass die Server von anderen beschlagnahmt werden. Wir entdeckten zudem eine Reihe von mobilen Schadmodulen für Android, iOS, Windows Mobile und BlackBerry, die von HackingTeam stammen. Sie werden alle unter Verwendung desselben Konfigurationstyps kontrolliert – ein zuverlässiges Zeichen dafür, dass sie miteinander in Verbindung stehen und zur selben Produktfamilie gehören. Da Android und iOS besonders populär sind, waren wir natürlich besonders an den Modulen für diese Plattformen interessiert.

    Auf Windows- oder Mac-OS-Rechnern werden die Module mit Hilfe von Infektoren installiert – speziellen ausführbaren Dateien, die auf bereits infizierten Computern laufen. Das iOS-Modul unterstützt ausschließlich Geräte mit Jailbreak. Dadurch werden seine Ausbreitungsmöglichkeiten eingeschränkt, doch die von RCS verwendete Infektionsmethode beinhaltet, dass ein Angreifer ein Jailbreaking-Tool (wie etwa Evasi0n) von einem infizierten Computer aus laufen lassen kann, mit dem das Telefon verbunden ist – solange das Gerät nicht gesperrt ist. Das iOS-Modul ermöglicht es einem Angreifer, die auf dem Gerät gespeicherten Daten einzusehen (inklusive E-Mails, Kontakte, Anruflisten und Webseiten im Cache), unbemerkt das Mikrophon zu aktivieren und in regelmäßigen Abständen Kameraaufnahmen zu machen. Dadurch erhält das Schadmodul die komplette Kontrolle über das Mobilgerät und kann die gesamte Umgebung überwachen.

    Das Android-Modul wird von dem Optimiser/Obfuskator DexGuard geschützt, daher war es schwer zu analysieren. Doch wir konnten trotzdem feststellen, dass es über dieselbe Funktionalität wie das iOS-Modul verfügt und zudem von den folgenden Apps Informationen stehlen kann: „com.tencent.mm“, „com.google.android.gm“, „android.calendar“, „com.facebook“, „jp.naver.line.android“ und „com.,google.android.talk“.

    Diese neuen Daten unterstreichen einmal mehr die Raffinesse solcher Überwachungstools. Die Haltung von Kaspersky Lab gegenüber solchen Tools ist absolut klar: Wir versuchen jegliche Malware aufzuspüren und unschädlich zu machen, ungeachtet ihres Ursprungs und ihrer Bestimmung. Für uns gibt es keine „richtigen“ oder „falschen“ Schadprogramme, und wir haben bereits in der Vergangenheit öffentlich vor den Risiken so genannter „legaler“ Spyware gewarnt. Es ist von zwingender Wichtigkeit, dass diese Überwachungstools nicht in die falschen Hände geraten. Daher kann die IT-Sicherheitsindustrie auch keine Ausnahmen machen, wenn es um die Detektion von Malware geht.

    9. Privatsphäre und Sicherheit

    Die anhaltenden Spannungen zwischen Privatsphäre und Sicherheit sorgten im Jahr 2014 weiterhin für Schlagzeilen.

    Es ist wenig überraschend, dass unter den üblichen Datenlecks in diesem Jahr derjenige Sicherheitsvorfall die größte Aufmerksamkeit auf sich gezogen hat, infolge dessen unzweideutige Fotos verschiedener Hollywood Sternchen gestohlen und daraufhin veröffentlicht wurden. Diese Geschichte unterstreicht die zweifache Verantwortung, die Provider und Individuen bei der Sicherung online gespeicherter Daten gleichermaßen tragen. Es sieht so aus, als wäre der Diebstahl durch ein Schlupfloch in der Sicherheit der iCloud möglich geworden: Der „Find My iPhone“-Oberfläche fehlte es an jeglicher Beschränkung bei der Anzahl der Passworteingabeversuche, so dass Angreifer in der Lage waren, die Kennwörter ihrer Opfer mit der Brute-Force-Methode zu knacken. Apple hat dieses Leck bald darauf gestopft. Trotzdem wäre dieser Angriff nicht durchführbar gewesen, wenn die Anwender keine so schwachen Passwörter verwendet hätten. Wir leben unsere Leben zunehmend online. Aber viele von uns bedenken nicht, welche Auswirkungen das Online-Speichern von persönlichen Daten haben kann. Die Sicherheit eines Cloud-Services liegt in den Händen des Providers. In dem Moment, in dem wir unsere Daten Dritten anvertrauen, verlieren wir einen Teil der Kontrolle darüber. Es ist wichtig, die Daten sorgfältig auszuwählen, die wir in der Cloud speichern, und gewissenhaft zu entscheiden, welche Daten automatisch von unseren Geräten in die Cloud verschoben werden sollen.

    Das Problem mit den Passwörtern verliert nicht an Aktualität. Wählen wir ein Passwort, das leicht zu erraten ist, öffnen wir dem Identitätsdiebstahl Tür und Tor. Das Problem wird potenziert, wenn wir dieses eine Passwort dann immer wieder für alle möglichen Online-Accounts benutzen – denn wird einer dieser Accounts kompromittiert, so sind alle anderen auch gefährdet! Daher bieten viele Provider, Apple, Google und Microsoft eingeschlossen, nun eine Zwei-Faktoren-Authentifizierung an. Das heißt, der Kunde muss einen von einem Hardware-Token generierten oder einen auf ein mobiles Gerät gesendeten Code eingeben, um auf eine Webseite zugreifen zu können, oder zumindest um die Einstellungen seines Accounts zu ändern. Die Zwei-Faktoren-Authentifizierung verstärkt die Sicherheit zweifellos, jedoch nur, wenn sie auch obligatorisch ist und nicht nur als Option angeboten wird.

    Zwischen Sicherheit und Benutzerfreundlichkeit muss immer ein Kompromiss gefunden werden. In einem Versuch, diesbezüglich ein Gleichgewicht herzustellen, startete Twitter kürzlich seinen Digits-Service. Die Kunden müssen nun nicht länger eine Kombination aus Nutzername und Passwort angeben, um sich bei der App zu registrieren. Stattdessen geben sie einfach ihre Telefonnummer ein. Sie erhalten dann ein Einmalpasswort zur Bestätigung jeder Transaktion – dieser Code wird dann automatisch von der App gelesen. Twitter macht sich hier im Grunde zum Mittelsmann, indem es die Identität des Kunden für den App-Provider überprüft. Das hat mehrere Vorteile. Die Nutzer müssen sich nicht länger mit dem Erstellen einer Kombination aus Nutzername und Passwort herumplagen, um einen Account bei einem App-Provider einzurichten; und sie müssen keine E-Mail-Adresse besitzen. App-Entwickler müssen wiederum kein eigenes Framework bereitstellen, um die Logins zu überprüfen, und sie verlieren keine potenziellen Kunden, die keine Mail-Adresse haben. Twitter bekommt eine bessere Sicht auf das, was die Kunden tatsächlich interessiert. Die Tatsache, dass keine Passwörter mehr auf dem Server des App-Providers gespeichert werden, ist ein zusätzliches Plus: Ein Leck in dessen Server führt also nicht zu dem Verlust von persönlichen Daten der Kunden. Doch wenn jemand sein Gerät verliert oder es gestohlen wird, funktioniert die Überprüfung der Telefonnummer noch immer, und jeder, der Zugriff auf das Gerät hat, kann ebenso wie der legitime Besitzer auf eine App zugreifen. Abgesehen davon ist dieser Ansatz aber kein Rückschritt in der Sicherheit verglichen mit der traditionellen Methode unter Verwendung von Nutzername und Passwort. Aktuell verlangen mobile Apps auch nicht jedes Mal ein Login, wenn sie ausgeführt werden. Wenn also jemand ein Gerät stiehlt und der Besitzer kein Passwort oder keine Fingerabdruck-Erkennung nutzt, so hat der Dieb Zugriff auf alles – E-Mail, Soziale Netzwerke und Apps. Mit anderen Worten: Die Sicherheit hängt ab von einem Single Point of Failure – der PIN, dem Passcode oder dem Fingerabdruck, der für den Zugriff auf das Gerät selbst verwendet wird.

    Als Reaktion auf die zunehmenden Sorgen um die Privatsphäre haben die Entwickler der Webseite „pwnedlist.com“ ein einfach zu bedienendes Interface entwickelt, auf dem die Nutzer überprüfen können, ob ihre E-Mail-Adressen und Passwörter gestohlen und online veröffentlicht wurden. Dieses Jahr wurde dieser Service kostenpflichtig.

    Apple und Google haben auf die wachsenden Ängste vor dem Verlust der Privatsphäre mit der Aktivierung der Standardverschlüsselung von Daten auf iOS- und Android-Geräten reagiert. Einige Strafverfolgungsbehörden sind der Meinung, das spiele Cyberkriminellen in die Hände, denn sie hätten es damit leichter, die Detektion von Schadprogrammen zu verhindern.

    10. Internationale Strafverfolgung: Zusammenarbeit zeigt Ergebnisse

    Cyberkriminalität ist ein Teil des Lebens geworden, im Kielwasser unserer immer weiter zunehmenden Online-Aktivitäten. Man könnte meinen, Cyberkriminelle können nach Belieben agieren und kommen ungestraft davon, doch Aktionen von Strafverfolgungsbehörden können einen starken Einfluss auf die Aktivitäten der Online-Gangster haben. Internationale Zusammenarbeit ist dabei aufgrund der globalen Natur von Cyberkriminalität von besonderer Bedeutung. In diesem Jahr hatte die Polizei einige bemerkenswerte Erfolge zu verbuchen.

    Im Juni 2014 gelang es den Strafverfolgungsbehörden verschiedener Länder, darunter der britischen NCA (National Crime Agency) und dem FBI, das weltumspannende Netz von Computern zu zerschlagen, die für das Funktionieren des Botnetzes „GameoverZeus“ verantwortlich waren. Die Polizeioperation („Operation Tovar“) unterbrach die Kommunikation, die dem Botnetz zugrunde lag, und entzog den Cyberkriminellen so die Kontrolle über das Zombie-Netzwerk. GameoverZeus war eines der größten aktiven Botnetze, das auf dem Code des Bank-Trojaners Zeus basierte. Das Botnetz infizierte die Computer nicht nur mit dem Trojaner Zeus und stahl Login-Daten für E-Mail-Accounts, Soziale Netzwerke, Online-Banking-Systeme und andere Finanzdienste, sondern das Botnetz verbreitete auch das Erpresser-Programm „Cryptolocker„. Durch die Polizeiaktion erhielten die Opfer eine Atempause, in der sie Gelegenheit hatten, ihre Computer zu säubern.

    Früher im laufenden Jahr war Kaspersky Lab Teil einer Allianz aus Strafverfolgungs- und Industrieorganisationen, die von der britischen National Crime Agency (NCA) koordiniert wurde und zu dem Zweck gegründet worden war, die Infrastruktur hinter dem Shylock-Trojaner zu zerschlagen. Der Bank-Trojaner Shylock, der seinen Namen erhielt, weil sein Code Auszüge aus Shakespeares „Der Kaufmann von Venedig“ enthält, wurde erstmals im Jahr 2011 entdeckt. Wie andere wohl bekannte Bank-Trojaner auch ist Shylock eine Man-in-the-Browser-Attacke, die darauf spezialisiert ist, die Login-Daten für Online-Banking-Systeme von den Computern der Bankkunden zu stehlen. Der Trojaner benutzt eine vorkonfigurierte Liste der Zielbanken, die sich in verschiedenen Ländern rund um den Globus befinden.

    Im November mündete die Operation Onymous in der Zerschlagung zweier grauer Märkte im Netzwerk Tor.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.