Kaspersky Security Bulletin 2014/2015. Vorschau auf 2015

Inhalt

    Cyberkriminelle entdecken APTs

    Im Jahr 2015 erwartet Kaspersky Lab eine neue Stufe in der Evolution cyberkrimineller Aktivitäten. Vor allem gehen wir davon aus, dass APT-Taktiken (Advanced Persistent Threats) und -Techniken stärker in finanziell motivierten, kriminellen Aktivitäten genutzt werden.

    Während einer aktuellen Untersuchung haben wir eine Attacke entdeckt, bei der der Computer eines Buchhalters kompromittiert und dazu missbraucht worden war, eine große finanzielle Transaktion über eine Bank zu starten. Das zeigt das Aufkommen eines interessanten Trends: zielgerichtete Angriffe direkt auf Banken.

    Wir registrieren immer mehr Vorfälle mit Schadprogrammen, die in Banken eindringen und dabei Methoden nutzen, die aus einem APT-Lehrbuch stammen könnten. Sind die Angreifer einmal im Netzwerk der Bank, ziehen sie genug Informationen ab, um Geld auf mehrere Arten direkt von der Bank stehlen zu können:

    • sie befehlen Geldautomaten per Fernbedienung, Geld auszuspucken
    • sie führen SWIFT-Überweisungen von verschiedenen Kundenkonten aus durch
    • sie manipulieren Online-Banking-Systeme, um im Hintergrund Überweisungen durchführen zu können

    Solche Angriffe sind ein Zeichen für den neuen Trend, dass Cyberkriminelle jetzt auch APT-ähnliche Attacken durchführen.

    APT-Gruppen spalten sich auf und streuen Angriffe

    Die Aufdeckung von APT-Gruppen im Jahr 2014 führte zur Anklage einer Hackergruppe, die Cyberspionage-Aktionen gegen US-Firmen durchgeführt haben soll.

    Da Sicherheitsforscher weiterhin die Aktivitäten regierungsgestützter APT-Gruppen aufdecken, erwarten wir im Jahr 2015 eine Aufspaltung größerer APT-Gruppen in kleinere Einheiten, die unabhängig voneinander operieren. Das wird wiederum eine breiter gestreute Angriffsbasis nach sich ziehen, was bedeutet, dass mehr Firmen betroffen sein werden, da die kleineren Gruppen ihre Angriffe variieren und streuen werden. Gleichzeitig bedeutet das, dass größere Unternehmen, die bisher von zwei oder drei großen APT-Gruppen (zum Beispiel Comment Crew und Webky) angegriffen worden sind, unterschiedlicheren Angriffen ausgesetzt sein werden, die aus verschiedenen Quellen kommen.

    Alter Code, neue (gefährliche) Sicherheitslücken

    Wegen mutwillig oder unabsichtlich implementierten Fehlern in Verschlüsselungsalgorithmen („goto fail”) oder kritischen Sicherheitslücken in Programmen (Shellshock, Heartbleed, OpenSSL) kommt nicht auditierte Software vielen Anwendern mittlerweile verdächtig vor. Als Reaktion darauf wurden entweder unabhängige Prüfungen bei wichtigen Programmen durchgeführt oder Sicherheitsforscher engagiert, um kritische Sicherheitslücken zu suchen (was so viel wie ein inoffizielles Audit ist). Das bedeutet, dass im Jahr 2015 erneut neue, gefährliche Sicherheitslücken in altem Code auftauchen und Internetnutzer gefährlichen Angriffen ausgesetzt sein werden.

    Eskalation der Angriffe auf Geldautomaten und Kassen-Systeme

    Angriffe auf Geldautomaten scheinen im vergangenen Jahr explosionsartig angestiegen zu sein: Es gab einige große Vorfälle, und die Strafverfolgungsbehörden beeilten sich, auf diese Krise zu reagieren. Eine Konsequenz ist die Erkenntnis, dass Geldautomaten reif sind, angegriffen zu werden, und Cyberkriminelle werden diese Schwäche sicher bemerken. Da die meisten dieser Systeme unter Windows XP laufen und physikalisch schlecht gesichert sind, macht sie das automatisch sehr angreifbar und zum begehrenswerten Ziel für Cyberkriminelle.

    Im Jahr 2015 erwartet Kaspersky Lab eine Weiterentwicklung der APT-Angriffe auf Geldautomaten. Mit diesen verfeinerten Techniken wollen die Cyberkriminellen besser an das „Gehirn“ der Automaten herankommen. In der folgenden Phase werden die Angreifer dann die Netzwerke der Banken kompromittieren und diesen Zugriff nutzen, um Geldautomaten in Echtzeit zu manipulieren.

    Mac-Angriffe: OS-X-Botnetze

    Trotz aller Bemühungen von Apple, das Mac-Betriebssystem abzusichern, sehen wir laufend, dass schädliche Apple-Programme über Torrent-Netze und als Raubkopien verteilt werden. Die stetig wachsende Popularität von OS-X-Geräten lässt auch Cyberkriminelle aufhorchen, und es wird für sie immer attraktiver, Schadsoftware für diese Plattform zu entwickeln. Das standardmäßig geschlossene Mac-Ökosystem macht es zwar schwerer für Schadprogramme, Apple-Computer erfolgreich zu kompromittieren. Es gibt jedoch viele Nutzer, die nur zu gerne die Sicherheitsmaßnahmen von Mac OS X ausschalten – vor allem, wenn sie dort Raubkopien verwenden. Das bedeutet, dass Kriminelle, die aus verschiedensten Gründen OS-X-Systeme infizieren wollen, wissen, dass sie ihre schädlichen Machwerke nur mit beliebter Software verknüpfen müssen (wahrscheinlich in Form von Key-Generatoren), um die Schädlinge erfolgreich verbreiten zu können. Dank dem immer noch weit verbreiteten Glauben über die Sicherheit der OS-X-Plattform ist auf diesen Systeme oft auch keine Antivirus-Software installiert, die eine Infizierung verhindern könnte. Schädlinge bleiben auf den Macs damit sehr lange unentdeckt und können unbehelligt ihren Aktivitäten nachgehen.

    Angriffe auf Ticketautomaten

    Vorfälle wie der Hack des chilenischen öffentlichen Verkehrssystems zeigen ein Interesse am Missbrauch öffentlicher Ressourcen, etwa von Transportsystemen. Manche Hacker wollen daraus nicht einmal großen Gewinn schlagen. Sie freuen sich schon, wenn sie ein paarmal kostenlos mit der Bahn fahren und diese Möglichkeit mit anderen teilen können, um es den „Firmen so richtig zu zeigen“. Gerade Ticketsysteme sind anfällig (da viele unter Windows XP laufen), und verarbeiten Kreditkartendaten direkt. Wir erwarten daher mutigere Angriffe auf diese Systeme, um sie entweder zu kompromittieren oder um Kreditkartendaten zu stehlen.

    Angriffe auf virtuelle Zahlungssysteme

    Die Erfahrung zeigt uns, dass Cyberkriminelle versuchen, ihre Taten so einfach und effektiv wie möglich in Geld umzumünzen. Was wäre also ein besseres Ziel als virtuelle Zahlungssysteme, die noch in den Kinderschuhen stecken? Da die Beliebtheit virtueller Zahlungssysteme in Ländern wie Ecuador rasant steigt, erwarten wir, dass Cyberkriminelle sich darauf stürzen und sie missbrauchen werden. Egal ob sie die Anwender mit Social-Engineering-Tricks hereinlegen, die Endpunkte (meist Handys) angreifen oder die Banken direkt hacken – Cyberkriminelle werden sich auf direkt monetarisierbare Angriffe verlegen und virtuelle Zahlungssysteme werden die Hauptleidtragenden sein.

    Dies kann auch auf Apple Pay ausgeweitet werden, das NFC (Near Field Communication) für drahtlose Transaktionen nutzt. Dieser Bereich ist eine Fundgrube für Sicherheitsforscher. Wir erwarten die ersten Warnungen vor Sicherheitslücken in Apple Pay, Virtual Wallets und anderen virtuellen Zahlungssystemen.

    Apple Pay

    Bisherige Angriffe haben sich auf NFC-Zahlungssysteme konzentriert, doch da diese nur wenig genutzt werden, brachte das kaum illegale Gewinne für die Angreifer. Apple Pay könnte das ändern. Der Enthusiasmus für diese neue Zahlungsmöglichkeit wird deren Nutzung in die Höhe treiben und unvermeidlich auch viele Cyberkriminelle anziehen, die aus den über Apple Pay getätigten Zahlungen Gewinn schlagen wollen. Apple Pay ist sehr stark auf Sicherheit ausgelegt (zum Beispiel virtualisierte Transaktionsdaten), doch wir sind schon gespannt darauf, wie Hacker die Funktionen dieser Implementation ausnutzen werden.

    Missbrauch des Internet der Dinge

    Angriffe auf das Internet der Dinge beschränken sich bisher auf manchmal etwas zu reißerische Nachweise der Machbarkeit (Proof-of-Concept). Sie sollen davor warnen, dass Smart-TVs und Kühlschränke von Hackern angegriffen werden können, um Botnetze aufzubauen oder um Angriffe zu starten.

    Da es immer mehr solcher verbundenen Geräte gibt, erwarten wir vor allem bei Firmen aus diesem Bereich mehr Diskussionen über die Sicherheit der Produkte und über die Privatsphäre ihrer Anwender. Im Jahr 2015 wird es sicher echte (In-The-Wild-)Angriffe auf Netzwerkdrucker und andere verbundene Geräte geben, die den Angreifern helfen können, ihren Zugriff auf Firmennetzwerke zu gewährleisten. Wir erwarten, dass Geräte aus dem Internet der Dinge zum Ziel von APT-Angriffen werden, vor allem bei ‚attraktiven‘ Opfern, bei denen eine Konnektivität in Herstellungs- und industrielle Prozesse besteht.

    Auf Heimanwenderseite werden solche Angriffe auf die Demonstration von Sicherheitsmängeln in Protokoll-Implementierungen und die Möglichkeit eingebundener Werbung (Adware/Spyware) in das Smart-TV-Programm beschränkt bleiben.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.