Kaspersky Security Bulletin 2014/2015. Ein Blick in die APT-Kristallkugel

Inhalt

    In den letzten Jahren hat das Global Research and Analysis Team (GReAT) von Kaspersky Lab Licht ins Dunkel einiger der größten APT-Kampagnen gebracht, unter anderem bei RedOctober, Flame, NetTraveler, Miniduke, Epic Turla, Careto/Mask und anderen. Bei den Untersuchungen dieser Kampagnen identifizierten wir auch einige Zero-Day-Exploits, unter anderem die erst vor kurzem entdeckte Schwachstelle CVE-2014-0546. Wir gehörten außerdem zu den Ersten, die über die aufkommenden Tendenzen in der APT-Welt berichteten, wie zum Beispiel über Cyber-Söldner, die Blitzangriffe durchführen, oder – erst kürzlich – über ungewöhnliche Angriffsziele wie WLAN-Netze in Hotels. Im Laufe der letzten Jahre hat das GReAT von Kaspersky Lab über 60 Bedrohungsakteure beobachtet, die weltweit für Cyberangriffe verantwortlich sind. Das sind Organisationen, die anscheinend viele Sprachen fließend beherrschen, wie etwa Russisch, Chinesisch, Deutsch, Spanisch, Arabisch, Persisch und andere.

    Durch eine genaue Beobachtung dieser Akteure konnten wir eine Liste der Bedrohungen erstellen, die unserer Meinung nach zu den künftigen Trends in der APT-Welt gehören. Wir meinen, diese Bedrohungen werden im Jahr 2015 eine wichtige Rolle spielen und unsere besondere Aufmerksamkeit verdienen – nicht nur von einem geheimdienstlichen Standpunkt aus betrachtet, sondern auch bezüglich der Technologien, die dazu dienen, diese Bedrohungen aufzuhalten.

    Fusion von Cyberkriminalität und APT

    Viele Jahre lang waren cyberkriminelle Gangs ausschließlich darauf fokussiert, den Endnutzern Geld zu stehlen. Eine Explosion bei den Kreditkartendiebstählen, unzählige Fälle von „Entführungen“ elektronischer Bezahlkonten oder das Abfangen von Online-Banking-Verbindungen haben zu Verlusten der Verbraucher in Höhe vieler hundert Millionen US-Dollar geführt. Vielleicht ist dieser Markt nicht mehr so lukrativ oder einfach gesättigt. In jedem Fall sieht es nun so aus, als gäbe es einen „Überlebenskampf“, und dieser Kampf führt wie immer zu einer Evolution.

    Was zu erwarten ist: In einem Fall, den wir kürzlich untersucht haben, kompromittierten die Angreifer den Computer eines Buchhalters und benutzten ihn, um eine große Überweisung bei ihrer Bank zu tätigen. Obwohl es so scheinen mag, als wäre das nicht sehr ungewöhnlich, sehen wir hierin vielmehr einen interessanten Trend: Zielgerichtete Attacken direkt gegen Banken und nicht gegen deren Kunden.

    In verschiedenen Fällen, die die Experten aus dem Global Research and Analysis Team von Kaspersky Lab untersucht haben, wurden mehrere Banken unter Verwendung von Methoden attackiert, die direkt aus dem APT-Lehrbuch stammen. Waren die Angreifer erst einmal in die Netzwerke einer Bank eingedrungen, konnten sie ausreichend Informationen sammeln, die es ihnen ermöglichten, auf verschiedene Arten das Geld direkt von der Bank zu stehlen:

    • Entfernte Steuerung von Geldautomaten, die dann auf Befehl Bargeld ausgeben.
    • Durchführung von SWIFT-Überweisungen von verschiedenen Kundenkonten.
    • Manipulation von Online-Banking-Systemen zur Durchführung von Überweisungen im Hintergrund.

    Diese Angriffe sind Anzeichen für einen neuen Trend, der die APT-artigen Attacken in der Cybercrime-Welt erfasst. Wie immer machen es sich die Online-Verbrecher so einfach wie möglich: Sie greifen nun die Banken direkt an, weil dort das Geld ist. Wir sind der Meinung, dass wir es mit einem Trend zu tun haben, der unsere Aufmerksamkeit verdient und sich im Jahr 2015 noch weiter ausbreiten wird.

    Aufspaltung größerer APT-Gruppen

    Im Jahr 2014 waren verschiedene Quellen dafür verantwortlich, dass APT-Gruppen an das Licht der Öffentlichkeit gezerrt wurden. Der vermutlich bekannteste Fall dieser Art ist die FBI-Anklage von fünf Hackern wegen unterschiedlicher Computerdelikte:

    apt-predictions_1

    Aufgrund dieses öffentlichen „an-den-Pranger-Stellens“ ist zu erwarten, dass einige der größeren und auffälligeren APT-Banden auseinanderbrechen und in kleinere Gruppen zerfallen werden, die unabhängig voneinander agieren.

    Was zu erwarten ist: Die Folge wird eine breiter gestreute Angriffsbasis sein, was wiederum bedeutet, dass mehr Unternehmen betroffen sein werden, da kleinere Gruppen enger spezialisierte Attacken durchführen werden. Gleichzeitig bedeutet es, dass größere Unternehmen, die vorher von zwei oder drei der großen APT-Gruppen kompromittiert wurden (zum Beispiel von Comments Crew und Wekby), mannigfaltigeren Angriffen von einer größeren Auswahl an Quellen ausgesetzt sein werden.

    Sich entwickelnde Malware-Techniken

    Während Computer immer leistungsstärker und komplexer werden, stehen ihnen diesbezüglich auch die Betriebssysteme in nichts nach. Sowohl Apple als auch Microsoft haben eine Menge Zeit investiert, um die Sicherheitsvorkehrungen ihrer jeweiligen Betriebssysteme zu verbessern. Zusätzlich sind nun spezielle Tools wie etwa Microsofts EMET verfügbar, die helfen können, zielgerichtete Attacken auf Sicherheitslücken zu verhindern.

    Da Windows x64 und Apple Yosemite immer populärer werden, erwarten wir, dass die APT-Banden ihre Toolsets mit leistungsstärkeren Backdoors und fortschrittlicheren Technologien zur Umgehung von Sicherheitslösungen ausstatten werden.

    Was zu erwarten ist: Schon jetzt stellen APT-Banden laufend Schadprogramme für 64-Bit-Systeme bereit, Rookits eingeschlossen. Für das Jahr 2015 erwarten wir raffiniertere Malware-Implantate, verbesserte Umgehungstechniken und den Einsatz von Dateisystemen (wie auch bei Turla und Regin), um wertvolle Tools und gestohlene Daten zu verstecken.

    Zwar beobachten wir einerseits diese Zunahme fortschrittlicher Techniken, doch andererseits schlagen einige Angreifer genau den entgegengesetzten Weg ein. Während sie die Zahl der Exploits und den Umfang von kompiliertem Code minimieren, die sie insgesamt in kompromittierte Netzwerke einschleusen, verlangt ihre Arbeit weiterhin, dass raffinierter Code oder Exploits über einen dauerhaften Zugang ins Unternehmen eingeschleust werden. Diese Tätigkeit macht Skript-Tools und Privilegien-Eskalationen aller Art erforderlich sowie gestohlene Zugangsdaten zu den Opferorganisationen.

    Wie wir es bei BlackEnergy 2 (BE2) beobachten konnten, verteidigen Angreifer ihre eigene Präsenz und Identität innerhalb der Netzwerke ihrer Opfer, nachdem sie entdeckt wurden. Die Techniken zur Verlängerung der Lebensdauer ihrer Machwerke in Netzwerken werden immer fortschrittlicher und breiten sich immer weiter aus. Dieselben Gruppen werden den Umfang und die Aggressivität der zerstörerischen Komponenten steigern, die verwendet werden, um ihre Spuren zu verwischen, und sie werden weiteren *nix-Support, Netzwerkequipment und eingebetteten Betriebssystemsupport integrieren. Wir konnten bereits eine gewisse Expansion von BE2-, Yeti- und Winnti-Akteuren beobachten.

    Neue Methoden des Datendiebstahls

    Die Zeiten, in denen Angreifer einfach eine Backdoor in einem Unternehmensnetzwerk aktiviert und dann Terabytes von Daten auf FTP-Server rund um den Erdball abgeleitet haben, sind schon lange vorbei. Raffiniertere Gruppen verwenden heutzutage neben maßgeschneiderten Kommunikationsprotokollen regelmäßig SSL.

    Einige wegweisende Gruppen verlegen sich darauf, Netzwerkgeräte mit Backdoors auszustatten und den Traffic direkt für Befehle abzufangen. Andere Techniken, die wir beobachten konnten, beinhalten das Umleiten gestohlener Daten in Cloud-Services, beispielsweise über das Protokoll WebDAV (erleichtert die Zusammenarbeit zwischen Nutzern beim Bearbeiten und Verwalten von auf Webservern gespeicherten Dokumenten und Dateien).

    Das wiederum hatte zur Folge, dass viele Unternehmen öffentliche Cloud-Services wie Dropbox aus ihren Netzwerken verbannt haben. Doch es ist und bleibt eine effektive Methode, die Intrusion-Detection-Systeme und DNS-Blacklists zu umgehen.

    Was zu erwarten ist: Im Jahr 2015 werden mehr cyberkriminelle Gruppen Cloud-Services nutzen, um den Datendiebstahl noch besser zu verheimlichen und ihn schwerer durchschaubar zu machen.

    Neue APTs von ungewöhnlichen Quellen, da sich immer mehr Länder am Cyber-Wettrüsten beteiligen

    Im Februar 2014 veröffentlichten wir eine Studie über Careto/Mask, einen extrem hochentwickelten Bedrohungsakteur, der anscheinend fehlerfrei Spanisch beherrscht, eine Sprache, die im Rahmen zielgerichteter Attacken nur selten anzutreffen ist. Im August brachten wir außerdem einen Bericht über Machete heraus – ein weiterer Schädling, der sich der spanischen Sprache bedient.

    Bis dahin hatten wir es in erster Linie mit APT-Akteuren zu tun, die nur einige wenige Sprachen fließend beherrschten. Hinzu kommt, dass viele Profis nicht ihre Muttersprache verwenden, sondern es vorziehen, perfektes Englisch zu schreiben.

    Im Jahr 2014 konnten wir beobachten, dass viele Nationen rund um den Globus öffentlich ihr Interesse bekundet haben, APT-Kapazitäten zu entwickeln:

    Kaspersky Security Bulletin 2014/2015. Ein Blick in die APT-Kristallkugel

    Was zu erwarten ist: Obwohl wir bisher noch keine APT-Attacke beobachten konnten, die sich der schwedischen Sprache bedient, sagen wir voraus, dass sich immer mehr Länder am Cyber-Wettrüsten beteiligen und ihre Cyberspionage-Ressourcen ausbauen werden.

    Attacken unter falscher Flagge

    Angreifer machen Fehler. In der überwiegenden Mehrheit der Fälle, die wir analysieren, finden wir Artefakte, die Aufschluss über die von den Angreifern gesprochene Sprache geben. Beispielsweise schlussfolgerten wir im Fall von Roter Oktober und Epic Turla, dass die Angreifer vermutlich fließend Russisch sprechen. Im Fall von NetTraveler kamen wir zu dem Schluss, dass die Cyberverbrecher die chinesische Sprache perfekt beherrschen.

    In einigen Fällen beobachten Experten andere Metamerkmale, die auf die Angreifer hinweisen könnten. Eine Analyse der Zeitstempel der in der Attacke verwendeten Dateien kann etwa Rückschlüsse darauf zulassen, in welchem Teil der Welt die meisten Samples kompiliert wurden.

    Doch die Angreifer beginnen, auf diese Situation zu reagieren. Im Jahr 2014 hatten wir es mehrfach mit Operationen „unter falscher Flagge“ zu tun, bei denen Angreifer „inaktive“ Malware aufboten, die normalerweise von anderen APT-Gruppen verwendet wird. So kann man sich beispielsweise einen Akteur westlicher Herkunft vorstellen, der ein Schadprogramm in Umlauf bringt, das normalerweise von der „Comment Crew”, einem bekannten chinesischen Akteur, verwendet wird. Während jeder die von „Comment Crew” eingeschleuste Malware kennt, waren nur wenige Opfer in der Lage, die hochentwickelten neuen Einschleusungen zu analysieren. Das könnte leicht zu der falschen Schlussfolgerung führen, dass der chinesische Bedrohungsakteur hinter dieser Attacke steckt.

    Was zu erwarten ist: Da immer mehr Regierungen geneigt sind, die Angreifer öffentlich an den Pranger zu stellen, sind wir der Meinung, dass die APT-Gruppen im Jahr 2015 größere Vorsicht walten lassen und häufiger unter falscher Flagge operieren werden.

    Bedrohungsakteure fügen ihrem Arsenal mobile Attacken hinzu

    Obwohl schon beobachtet wurde, dass APT-Gruppen Mobiltelefone infiziert haben, war das bisher noch kein wegweisender Trend. Vielleicht sind die Angreifer auf Daten aus, die normalerweise nicht auf Smartphones verfügbar sind, oder sie haben nicht alle Zugriff auf Technologien, die Geräte unter Android und iOS infizieren können.

    Im Jahr 2014 erschienen einige neue APT-Tools, die für die Infektion mobiler Geräte entwickelt wurden, so zum Beispiel das Remote Control System von Hacking Team.

    Kaspersky Security Bulletin 2014/2015. Ein Blick in die APT-Kristallkugel

    Außerdem wurden während der Hongkonger Proteste im Oktober 2014 Attacken auf Android- und iOS-Nutzer registriert. Die Angriffe stehen anscheinend mit APT-Operationen in Verbindung.

    Auch wenn auf Mobiltelefonen keine wertvollen Dokumente, Schaltbilder oder geopolitischen Expansionspläne für die nächsten zehn Jahre gespeichert sind, so können sie doch eine wertvolle Quelle für Kontakte und auch eine gute Abhörstation sein. Wir haben das bei der Gruppe hinter Roter Oktober beobachtet, die in der Lage war, Mobiltelefone zu infizieren und sie in mobile Wanzen zu verwandeln.

    Was zu erwarten ist: Für das Jahr 2015 erwarten wir mehr mobil-spezifische Malware, mit einem Fokus auf Android und iOS mit Jailbreak.

    APT + Botnetze = Präzise Attacken + massenhafte Überwachung

    Im Allgemeinen gehen APT-Gruppen bei ihren Operationen vorsichtig vor, um unnötiges Aufsehen zu vermeiden. Daher ist bei APT-Attacken verwendete Malware sehr viel weniger weit verbreitet als gewöhnliche Malware, wie etwa Zeus, SpyEye und Cryptolocker.

    Im Jahr 2014 beobachteten wir zwei APT-Gruppen (Animal Farm und Darkhotel), die zusätzlich zu ihren regulären zielgerichteten Operationen auch Botnetze einsetzten. Sicherlich können sich Botnetze im Cyberkrieg von schätzbarem Wert erweisen und sie können bei DDoS-Attacken auf feindliche Länder eingesetzt werden; das ist in der Vergangenheit bereits der Fall gewesen. Daherist es nachvollziehbar, warum einige APT-Banden zusätzlich zu ihren zielgerichteten Operationen auch bestrebt sind, Botnetze aufzubauen.

    Neben den DDoS-Attacken bieten Botnetze auch noch einen anderen Vorteil – sie können einem „armen Land“ als massenhaftes Abhör-Instrument dienen. Flame und Gauss beispielsweise, die Kaspersky Lab im Jahr 2012 entdeckte, wurden als Massenüberwachungs-Tools konzipiert, die automatisch Informationen von zehntausenden Opfern sammelten. Diese Informationen sollten dann von einem Supercomputer analysiert, indexiert und nach Schlüsselwörtern und Themen zusammengefasst werden; die meisten davon sind vermutlich nutzlos. Doch unter diesen hunderttausenden gestohlenen Dokumenten liefert vielleicht eines die entscheidenden geheimdienstlichen Informationen, die in bestimmten Situationen den Unterschied ausmachen.

    Was zu erwarten ist: im Jahr 2015 werden mehr APT-Gruppen diesem Trend folgen und zielgerichtete, lautlose Attacken durchführen und daneben lärmende Operationen initiieren, um ihre eigenen Zombie-Netzwerke zu errichten.

    Angriffe auf Hotel-Netzwerke

    Die Darkhotel-Bande ist ein APT-Akteur, von dem bekannt ist, dass er in gewissen Ländern bestimmte Besucher während ihrer Aufenthalte in Hotels angreift. Tatsächlich bieten Hotels hervorragende Möglichkeiten, eine bestimmte Kategorie von Menschen anzugreifen, wie etwa Führungskräfte. Angriffe auf Hotels sind überaus lukrativ, da sie Daten über die Bewegungen von wichtigen Individuen rund um den Erdball liefern.

    [youtube https://www.youtube.com/watch?v=AGTOC7OADOY&w=560&h=315]

    Der Angriff auf ein Hotel-Reservierungssystem ist eine gute Methode, ein bestimmtes Ziel auszuspionieren. Die Cyberkriminellen erfahren so, in welchem Zimmer das Opfer abgestiegen ist, was wiederum sowohl physische als auch virtuelle Angriffe möglich macht.

    Es ist nicht immer einfach, ein Hotel anzugreifen. Das ist auch der Grund dafür, dass es in der Vergangenheit nur einige wenige Gruppen getan haben, sozusagen die Crème de la Crème der APT-Akteure, bei denen diese Attacken zum Angriffs-Repertoire gehören.

    Was zu erwarten ist: Einige wenige andere Gruppen werden diese Techniken im Jahr 2015 aufgreifen, aber sie werden für die meisten APT-Akteure außerhalb ihrer Reichweite bleiben.

    Kommerzialisierung von APT und die Privatwirtschaft

    In den letzten Jahren haben wir ausführliche Analysen über Schadprogramme veröffentlicht, die von Unternehmen wie HackingTeam oder Gamma International entwickelt wurden, zwei der bekanntesten Anbieter „legaler Spionagesoftware“. Obwohl die Unternehmen behaupten, ihre Programme nur an „vertrauenswürdige Regierungsinstitutionen“ zu verkaufen, haben öffentliche Berichte von verschiedenen Quellen, unter anderem Citizen Lab, wiederholt gezeigt, dass der Verkauf von Spyware nicht kontrolliert werden kann. Irgendwann landen diese gefährlichen Softwareprodukte in den Händen von weniger vertrauenswürdigen Individuen oder Nationen, die sie dann für die Cyberspionage gegen andere Länder oder gegen das eigene Volk einsetzen.

    Tatsache ist, dass solche Aktivitäten für Unternehmen, die Cyberspionage-Software entwickeln, höchst profitabel sind. Das Risiko ist für sie zudem gering, da uns nicht bekannt ist, dass eines dieser Unternehmen in einem Fall von Cyberspionage verurteilt wurde. Die Entwickler dieser Tools befinden sich normalerweise außerhalb der Reichweite des Gesetzes, da der Nutzer des Tools zur Verantwortung gezogen wird, und nicht das Unternehmen, das die Spionage überhaupt möglich macht.

    Was zu erwarten ist: Dieses einträgliche und risikoarme Geschäft wird zur vermehrten Gründung von Softwarefirmen führen, die auf dem Markt der „legalen Überwachungstools“ mitmischen. Das wiederum bedeutet, dass diese Tools in Spionageoperationen zwischen Nationen, zur internen Spionage und vielleicht sogar zur Sabotage eingesetzt werden.

    Fazit

    Die APT-Vorfälle im Jahr 2014 kann man unter dem Strich als raffiniert und mannigfaltig bezeichnen. Wir haben mehrere Zero-Day-Sicherheitslücken entdeckt, zum Beispiel CVE-2014-0515, die von einer Gruppe ausgenutzt wurde, die wir „Animal Farm” nennen. CVE-2014-0487, eine weitere von uns entdeckte Zero-Day-Sicherheitslücke, wurde von der DarkHotel-Bande missbraucht. Neben diesen Zero-Day-Sicherheitslücken konnten wir verschiedene neue Nachhaltigkeits- und Verbergungstechniken beobachten, die wiederum in der Entwicklung und Bereitstellung verschiedener Abwehrmechanismen für unsere Nutzer resultierten.

    Wenn wir das Jahr 2014 als „raffiniert“ bezeichnen, muss die Charakterisierung für das Jahr 2015 „schwer fassbar“ lauten. Wir meinen, dass sich mehr APT-Gruppen Sorgen um ihre Entdeckung machen und noch fortschrittlichere Maßnahmen ergreifen werden, um sich davor zu schützen.

    Schließlich werden einige von ihnen Operationen „unter falscher Flagge“ durchführen. Wir sagen diese Entwicklungen voraus und werden sie wie immer sorgfältig in unseren Berichten dokumentieren.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.