Kaspersky Security Bulletin 2015/2016. Die Top Security Stories

Inhalt
  1. Die Top Security Stories
  2. Statistik für das Jahr 2015
  3. Entwicklung der IT-Bedrohungen im Unternehmensbereich
  4. Prognose 2016

Zielgerichtete Attacken und Malware-Kampagnen

Zielgerichtete Attacken sind mittlerweile ein fester Bestandteil der Bedrohungslandschaft. Daher ist es keine Überraschung, dass sie auch in unserem Jahresrückblick eine wichtige Rolle spielen. Letztes Jahr haben wir in unserer APT-Prognose die unserer Meinung nach kommenden APT-Entwicklungstrends umrissen:

  • Fusion von Cyberkriminalität und APT
  • Aufspaltung größerer APT-Gruppen
  • Sich entwickelnde Malware-Techniken
  • Neue Methoden des Datendiebstahls
  • Cyber-Wettrüsten

Hier die wichtigsten APT-Kampagnen, über die wir im Jahr 2015 berichtet haben.

Carbanak kombinierte Cyberkriminalität – in diesem Fall war es der Gelddiebstahl von Finanzinstituten – mit Techniken, die typisch sind für zielgerichtete Attacken. Die Kampagne wurde im Frühjahr 2015 aufgedeckt: Kaspersky Lab wurde gebeten, eine forensische Untersuchung eines Banksystems durchzuführen, nachdem einige Geldautomaten plötzlich „willkürlich“ Geld ausgaben. Es stellte sich heraus, dass Computer in der Bank infiziert waren. Carbanak ist eine Backdoor, die auf Spionage, Datendiebstahl und die entfernte Kontrolle von infizierten Computern spezialisiert ist. Die Angreifer nutzten APT-typische Methoden, um die angegriffenen Rechner zu infizieren. So schickten sie beispielsweise Spear-Phishing-Mails an die Bankmitarbeiter. Sobald es den Angreifern gelungen war, sich erfolgreich im Netzwerk einzunisten, begannen sie es auszuspionieren. So konnten sie die Systeme identifizieren, die mit der Sachbearbeitung, der Buchhaltung und mit Geldautomaten zu tun haben und imitierten dann einfach die Aktivitäten der echten Mitarbeiter. Carbanak hatte drei Methoden, Geld zu stehlen:

  1. Abheben von Bargeld von einem Automaten
  2. Überweisungen an die Cyberkriminellen über das SWIFT-Netzwerk
  3. Eröffnung von gefälschten Konten und Nutzung von Kurierdiensten, um das Geld einzusammeln

Die Angreifer attackierten rund 100 Finanzinstitute und waren für Verluste von fast einer Milliarde US-Dollar verantwortlich.

Kaspersky Security Bulletin 2015/2016. Die Top Security Stories

Eine der am ausführlichsten diskutierten Nachrichten des ersten Quartals 2015 drehte sich um die Cyberspionage-Gruppe Equation. Die Angreifer hinter Equation infizierten erfolgreich tausende von Computern im Iran, in Russland, Syrien, Afghanistan, den USA und in anderen Ländern. Unter den Opfern waren Regierungsorganisationen und diplomatische Einrichtungen sowie Unternehmen aus den Bereichen Telekommunikation und Energiewirtschaft. Es handelt sich um eine der raffiniertesten APT-Kampagnen, die uns je untergekommen ist: Eines der vielen von der Gruppe entwickelten Module modifiziert die Firmware von Festplatten. Dadurch erzielten die Angreifer ein bisher noch nicht dagewesenes Niveau an Heimlichkeit und Nachhaltigkeit, das jede andere zielgerichtete Attacke in den Schatten stellt. Sicher ist, dass die Entwicklung des Codes in das Jahr 2001 oder früher zurückreicht. Es gibt auch Verbindungen zu den berüchtigten Attacken Stuxnet und Flame – beispielsweise befinden sich im Equation-Arsenal zwei Zero-Day-Schwachstellen, die später in Stuxnet verwendet wurden.

Im Laufe ihrer Ermittlungen zu einem Vorfall im Nahen Osten stießen die Experten von Kaspersky Lab auf die Aktivität einer bis dahin unbekannten Gruppe, die zielgerichtete Attacken durchführt. Die Gruppe erhielt den Namen Wüstenfalke, Desert Falcon. Sie ist die erste arabische Gruppierung, die vollwertige Cyberspionage-Operationen durchführt, die allem Anschein nach von der politischen Situation in der Region diktiert werden. Die ersten Anzeichen einer Aktivität von Desert Falcon lassen sich in das Jahr 2011 zurückverfolgen. Die ersten bekannten Infektionen datieren auf das Jahr 2013 und der Höhepunkt der Aktivität dieser Gruppe fällt auf den Zeitraum zwischen Ende 2014 und Anfang 2015. Die Gruppe hat über eine Million Dateien von mehr als 3.000 Opfern gestohlen. Darunter sind politische Aktivisten und politische Führer, Regierungen und Militärorganisationen, Massenmedien und Finanzinstitute, die hauptsächlich in Palästina, Ägypten, Israel und Jordanien ansässig sind. Die Mitglieder der Gruppe Desert Falcon sind definitiv keine Anfänger, da sie die Schadprogramme für Windows und Android von Grund auf selbst entwickelten. Zudem waren die Attacken sehr kunstvoll organisiert und arrangiert, wobei Phishing-Mails, gefälschte Webseiten und gefälschte Accounts in Sozialen Netzwerken zum Einsatz kamen.

Im März 2015 veröffentlichten wir unseren Bericht über die APT Animal Farm, wenngleich schon im vergangenen Jahr entsprechende Tools auf der Bildfläche erschienen waren. Im März 2014 veröffentlichte die französische Zeitung Le Monde einen Artikel über ein Cyberspionage-Toolset, das vom Communications Security Establishment Canada (CSEC) entdeckt wurde: Dieses Toolset wurde in der Operation „Snowglobe“ verwendet, die französischsprachige Medien in Kanada zum Ziel hatte, sowie in Griechenland, Frankreich, Norwegen und in einigen afrikanischen Ländern aktiv war. Das CSEC war der Meinung, die Operation sei möglicherweise von französischen Geheimdiensten initiiert worden. Ein Jahr später veröffentlichten Sicherheitsforscher Analysen (hier, hier und hier) von Schadprogrammen, die viel mit „Snowglobe“ gemein hatten: Insbesondere wurden auch einige Samples mit dem internen Namen „Babar“ untersucht – ein Programmname, der auch vom CSEC erwähnt wurde. Aufgrund der Analysen und der Verbindungen zwischen ihnen taufte Kaspersky Lab die Gruppe hinter diesen Attacken auf den Namen Animal Farm. Im Arsenal der Gruppe befanden sich auch zwei der drei Zero-Day-Sicherheitslücken, die wir im Jahr 2014 gefunden hatten und die von Cyberkriminellen benutzt wurden: Eine Attacke beispielsweise, die die Webseite des syrischen Justizministeriums unter Verwendung von Exploits zu CVE-2014-0515 kompromittierte, führte zum Download eines Tools von Animal Farm mit dem Namen „Casper“. Ein interessantes Merkmal dieser Kampagne ist, dass mit „NBOT“ eines seiner Programme darauf ausgerichtet ist, DDoS-Attacken (Distributed Denial of Service) durchzuführen. Das ist eher ungewöhnlich für APT-Gruppen. Eines der böswilligen „Tiere“ auf dieser Farm hat den seltsamen Namen „Tafacalou“ – möglicherweise ein Wort aus der okzitanischen Sprache, die unter anderem in Frankreich gesprochen wird.

Im April 2015 berichteten wir über das Erscheinen eines neuen Mitglieds der wachsenden „Duke“-Familie, zu der mittlerweile schon MiniDuke, CosmicDuke und OnionDuke gehören. Die CozyDuke APT, auch bekannt als „CozyBear“, „CozyCat“ und „Office Monkeys“, greift Regierungsorganisationen und Unternehmen in den USA, Deutschland, Südkorea und Usbekistan an. Bei den Attacken kommen einige raffinierte Techniken zum Einsatz, unter anderem Verschlüsselung, Anti-Erkennungsmaßnahmen und eine gut designte Auswahl von Komponenten, die strukturell früheren Bedrohungen innerhalb der „Duke“-Familie ähneln. Doch eines der bemerkenswertesten Merkmale ist der Einsatz von Social Engineering. Einige der Spear-Phishing-Mails der Angreifer enthalten einen Link auf gehackte Webseiten, darunter höchst prominente legitime Webseiten, die ein ZIP-Archiv hosten. Dieses Archiv enthält wiederum eine RAR-SFX-Datei, die die Malware installiert, während ein leeres PDF-Dokument als Tarnung angezeigt wird. Bei einem anderen Ansatz wird ein präpariertes Flash-Video als E-Mail-Anhang verschickt. Ein besonderes Beispiel für ein solches Video (dem die Malware auch einen ihrer Namen verdankt) ist „OfficeMonkeys LOL Video.zip“. Wird die Datei ausgeführt, transportiert sie eine ausführbare Datei von CozyDuke auf den Computer, während zur Ablenkung ein „witziges“ Video abgespielt wird, in dem Affen in einem Büro arbeiten. Das wiederum ermuntert die Opfer, das Video innerhalb des Büros weiterzuleiten, so dass immer mehr Computer infiziert werden. Der erfolgreiche Einsatz von Social-Engineering-Tricks – durch CozyDuke und so viele andere zielgerichtete Angreifer –, die Mitarbeiter dazu bringen, etwas zu tun, was die Unternehmenssicherheit gefährdet, unterstreicht einmal mehr, wie wichtig es ist, die Mitarbeiteraufklärung zu einer Kernkomponente jeder Sicherheitsstrategie eines Unternehmen zu machen.

Die Naikon-APT konzentrierte sich auf sensitive Ziele in Südostasien und rund um das Südchinesische Meer. Die Angreifer, die anscheinend chinesische Muttersprachler und seit mindestens fünf Jahren aktiv sind, attackieren Regierungsbehörden auf höchster Ebene sowie zivile und militärische Organisationen auf den Philippinen, in Malaysia, Kambodscha, Indonesien, Vietnam, Myanmar, Singapur, Nepal, Thailand, Laos und China. Wie so viele andere zielgerichtete Angriffskampagnen macht auch Naikon umfassenden Gebrauch von Social Engineering, um arglose Angestellte der angegriffenen Organisationen dazu zu bringen, die Malware zu installieren. Das Hauptmodul von Naikon ist ein Remote-Administration-Tool (RAT), also eine Fernwartungssoftware. Dieses Modul unterstützt 48 Befehle, um die Kontrolle über die infizierten Computer übernehmen zu können. Dazu gehören die Befehle, eine vollständige Inventur vorzunehmen, Daten herunter- und hochzuladen und Add-on-Module zu installieren. Obendrein setzt Naikon manchmal Keylogger ein, um an die Anmeldedaten der Mitarbeiter zu kommen. Jedem Zielland ist ein eigener Betreiber zugewiesen, der in der Lage ist, sich lokale kulturelle Gepflogenheiten zunutze zu machen – beispielsweise die „Sitte“, private E-Mail-Accounts für die Arbeit zu verwenden. Die Angreifer benutzten zudem einen speziellen Proxyserver innerhalb der Landesgrenzen, um die Verbindungen mit den infizierten Computern zu koordinieren und die Daten an die Command-and-Control-Server (C2-Server) der Angreifer zu übermitteln. Sie finden unseren Hauptbericht sowie den Nachfolgebericht auf unserer Webseite.

Im Rahmen unserer Untersuchungen der Naikon-Kampagne deckten wir auch die Aktivität der APT-Gruppe Hellsing auf. Hellsing konzentrierte sich in erster Linie auf Regierungsorganisationen und diplomatische Einrichtungen in Asien: Die meisten Opfer befinden sich in Malaysia und auf den Philippinen, obwohl wir auch Opfer in Indien, Indonesien und den USA identifizieren konnten. Für sich gesehen ist Hellsing eine kleine und technisch eher unspektakuläre Cyberspionage-Gruppe (etwa 20 Organisationen wurden von Hellsing angegriffen). Interessant an dieser Gruppe ist allerdings, dass sie selbst im Visier einer Spear-Phishing-Attacke der APT-Gruppe Naikon stand – und beschloss, zurückzuschlagen! Die Antwort von Hellsing stellte die Authentizität des Absenders in Frage. Daraufhin erhielt die Hellsing-Gruppe eine Antwort von den Angreifern, doch sie öffneten den mitgeschickten Anhang nicht. Stattdessen sendeten sie kurz darauf den Angreifern eine E-Mail, die ihre eigene Malware enthielt. Es liegt auf der Hand, dass die Hellsing-Gruppe – nachdem sie entdeckt hatte, dass sie attackiert wird – versuchte, die Angreifer zu identifizieren und Informationen über ihre Aktivitäten zu sammeln. In der Vergangenheit konnten wir schon häufiger beobachten, wie sich APT-Gruppen versehentlich gegenseitig auf die Füße treten, beispielsweise, indem sie Adressbücher stehlen und dann jedem Adressaten auf den Listen massenhaft E-Mails schicken. Doch eine Attacke APT vs. APT ist ungewöhnlich.

Kaspersky Security Bulletin 2015/2016. Die Top Security Stories

Viele zielgerichtete Schadkampagnen richten sich gegen große Unternehmen, Regierungsbehörden oder andere Organisationen auf höchster Ebene. Daher könnte man leicht auf den Gedanken kommen, dass solche Organisationen die einzigen sind, die im Visier der Angreifer stehen. Doch eine der Kampagnen, über die wir letztes Quartal berichteten, hat eindeutig gezeigt, dass es nicht nur die „dicken Fische“ sind, an denen die Cyberkriminellen interessiert sind. Die Cyberspionage-Kampagne Grabit ist auf den Diebstahl von Daten aus kleinen und mittelgroßen Organisationen spezialisiert, die sich hauptsächlich in Thailand, Vietnam und Indien befinden, obwohl es nachweislich auch Opfer in den USA, den Vereinigten Arabischen Emiraten, der Türkei, Russland, China, Deutschland und anderswo gegeben hat. Zu den angegriffenen Branchen gehören die chemische Industrie, Nanotechnologie, Bildung, Landwirtschaft, Medien und Bauwirtschaft. Wir schätzen, dass die Gruppe hinter den Attacken in der Lage war, um die 10.000 Dateien zu stehlen. Zweifellos ist jedes Unternehmen ein potenzielles Ziel – aufgrund der eigenen Werte, die es zu stehlen gilt, oder als Einfallstor in eine andere Organisation.

Die Experten von Kaspersky Lab stießen im Frühjahr 2015 während eines Sicherheitschecks auf einen Cyberangriff, der mehrere unserer internen Systeme betraf. Die nun folgenden, umfassenden Ermittlungen führten wiederum zur Entdeckung der neuen Malware-Plattform einer der kompetentesten, geheimnisvollsten und mächtigsten Gruppen in der APT-Welt, und zwar zu Duqu, manchmal auch als Stiefbruder von Stuxnet bezeichnet. Wir tauften diese neue Plattform auf den Namen Duqu 2.0. Im Fall von Kaspersky Lab machten sich die Angreifer eine Zero-Day-Schwachstelle im Windows-Kernel (von Microsoft am 9. Juni 2015 gepatcht) zunutze und möglicherweise bis zu zwei andere, aktuell gepatchte Sicherheitslücken, die zu der Zeit ebenfalls Zero-Day-Lücken waren. Das Hauptziel der Angreifer bestand darin, die Technologien von Kaspersky Lab, die laufenden Untersuchungen und interne Prozesse des Unternehmens auszuspionieren. Doch Kaspersky Lab war nicht das einzige Ziel. Einige der Duqu-Infektionen werden mit den P5+1-Veranstaltungen und den Orten in Verbindung gebracht, an denen die Verhandlungen mit dem Iran über das Atomprogramm des Landes stattfanden: Der Bedrohungsakteur hinter Duqu scheint Angriffe auf die Veranstaltungsorte einiger dieser Gespräche auf höchster Ebene durchgeführt zu haben. Außerdem hat die Duqu-2.0-Gruppe auch ähnliche Angriffe auf die Veranstaltungen anlässlich des 70. Jahrestages der Befreiung von Auschwitz-Birkenau durchgeführt. Eines der hervorstechendsten Merkmale von Duqu 2.0 ist die kurze Lebensdauer und das Fehlen jeglicher Spuren im System. Die Malware nahm keine Veränderungen an der Festplatte oder den Systemeinstellungen vor: Die Malware-Plattform war so gestaltet worden, dass die Schadsoftware fast ausschließlich im Speicher infizierter Geräte überlebt. Das könnte darauf hinweisen, dass sich die Angreifer sicher waren, auch dann im System präsent zu bleiben, wenn ein individueller infizierter Computer neu gebootet und die Malware aus dem Speicher entfernt wurde. Die Technische Dokumentation und eine Analyse des Persistenz-Moduls finden Sie auf unserer Webseite.

Im August berichteten die Kaspersky-Experten über die Blue-Termite-APT, eine zielgerichtete Attacke, die darauf spezialisiert ist, Informationen von Organisationen in Japan zu stehlen. Dazu gehören Regierungsbehörden, lokale Verwaltungsämter, öffentliche Interessengruppen, Universitäten, Banken, Finanzdienstleister sowie Unternehmen aus den Bereichen Energie, Kommunikation, Schwerindustrie, Chemie, Automobilindustrie, Elektronik, neue Medien, Informationsdienste, Gesundheitswesen, Immobilien, Lebensmittel, Halbleiter, Robotertechnik, Bauwesen, Versicherungen, Transport und andere. Zu den prominentesten Zielen gehörte die Japanische Pensionskasse. Die Malware wird auf das jeweilige Opfer zugeschnitten. Die Blue-Termite-Backdoor speichert Daten über sich selbst, unter anderen C2, API-Name, Anti-Analyse-Strings, Mutex-Werte sowie die MD5-Kontrollsummen der Backdoor-Befehle und die internen Proxy-Informationen. Die Daten werden in verschlüsselter Form gespeichert, wodurch die Analyse der Malware erschwert wird – für jedes einzelne Sample wird ein eigener Schlüssel benötigt. Die Hauptinfektionsmethode läuft wie bei so vielen zielgerichteten Angriffsattacken über Spear-Phishing-Mails. Doch wir haben auch andere Infektionsmethoden erkannt, unter anderen Drive-by-Downloads unter Ausnutzung eines Flash-Exploits (CVE-2015-5119) – eines der Exploits, das infolge des Hacking-Team-Leaks bekannt geworden war. Mehrere japanische Webseiten wurden auf diese Weise kompromittiert. Wir registrierten auch einige Wasserloch-Attacken, darunter eine auf einer Webseite, die einem prominenten Mitglied der japanischen Regierung gehört.

Die Gruppe hinter der Cyberspionage-Kampagne Turla ist seit mehr als acht Jahren aktiv (unseren Erstbericht, die darauf folgende Analyse und die Kampagnen-Übersicht finden Sie auf www.securelist.com) und hat hunderte Computer in mehr als 45 Ländern der Welt infiziert. Die Turla-Gruppe erstellt ein Profil ihrer Opfer und führt im Frühstadium Wasserloch-Attacken durch. Doch wie in unserem jüngsten Report beschrieben, macht sich die Gruppe für nachfolgende Operationen satellitengestützte Kommunikation zunutze, um ihren C2-Traffic (Command-and-Control) zu verwalten. Die von Turla verwendete Methode zum Abfangen der Downstream-Verbindungen erfordert kein gültiges Abonnement für einen satellitengestützten Internetzugang. Der wichtigste Vorteil besteht darin, dass die Verbindung anonym ist, und es damit sehr schwierig wird, die Angreifer zu identifizieren. Die Satellitenreceiver können sich überall in dem vom Satelliten abgedeckten Gebiet befinden (normalerweise ein großes Gebiet), und der tatsächliche Standort und die Hardware der C2-Server können nicht einfach identifiziert und physisch beschlagnahmt werden. Die Methode ist auch günstiger als das Mieten einer satellitengestützten Verbindung, und sie ist einfacher, als den Traffic zwischen dem Opfer und dem Satellitenbetreiber abzufangen und die Pakete auf dem Weg einzuschleusen. Die Turla-Gruppe nutzt bevorzugt Provider von Satelliten-Internetverbindungen mit Sitz im Mittleren Osten und Afrika, unter anderem im Kongo, Libanon, Libyen, Niger, Nigeria, Somalia und den Vereinigten Arabischen Emiraten. Satellitenübertragungen von diesen Ländern decken normalerweise keine europäischen und nordamerikanischen Gebiete ab, was es Sicherheitsforschern sehr schwer macht, solche Attacken zu untersuchen. Die Nutzung von satellitengestützten Internetverbindungen ist eine interessante Entwicklung. Das Kapern von Downstream-Bandbreite ist günstig (ungefähr 1.000 US-Dollar Erstinvestition und zirka 1.000 US-Dollar Unterhaltungskosten pro Jahr), einfach umzusetzen und es bietet ein hohes Maß an Anonymität. Andererseits ist es nicht immer so zuverlässig wie traditionellere Methoden, zum Beispiel das Bullet-Proof-Hosting, multiple Proxy-Levels oder gehackte Webseiten – Methoden übrigens, die Turla ebenfalls ausnahmslos einsetzt. Dadurch ist es eher unwahrscheinlich, dass diese Methode verwendet wird, um umfangreiche Botnetze zu unterstützen. Doch sollte sich diese Methode unter APT-Gruppen oder Cyberkriminellen ausbreiten, so wird das ein ernsthaftes Problem für die IT-Sicherheit und die Strafverfolgungsbehörden darstellen.

Kaspersky Security Bulletin 2015/2016. Die Top Security Stories

Im August 2015 veröffentlichten wir ein Update zu der Darkhotel-Kampagne. Diese Attacken waren ursprünglich gekennzeichnet durch den Missbrauch gestohlener Zertifikate und die Bereitstellung von HTA-Dateien. Dabei setzten die Akteure ein breites Spektrum von Methoden ein und drangen in WLAN-Netze von Hotels ein, um Backdoors auf den Computern des Ziels zu platzieren. Während die Angreifer hinter dieser APT weiterhin auch die oben aufgezählten Methoden einsetzen, haben sie ihr Arsenal noch erweitert. Sie konzentrieren sich nun verstärkt darauf, die auserwählten Opfer durch Spear-Phishing zu ködern. Neben den HTA-Dateien stellen die Angreifer nun auch infizierte RAR-Dateien bereit, wobei sie einen RTLO-Mechanismus verwenden, um die echte Erweiterung der Datei zu verschleiern. Die Angreifer setzen zudem Flash-Exploits ein, unter anderem ein Zero-Day-Exploit von Hacking Team.

Die Gruppe hat zudem ihre geografische Reichweite ausgedehnt und greift nun auch Opfer in Nordkorea, Russland, Südkorea, Japan, Bangladesch, Thailand, Indien, Mosambik und Deutschland an.

Datenlecks

Im Jahr 2015 wollte der Strom der Datenlecks kaum abreißen. Es überrascht kaum, dass derartige Vorfälle mittlerweile Routine sind: Persönliche Informationen sind ein wertvolles Gut, und zwar nicht nur für legitime Unternehmen, sondern auch für Cyberkriminelle. Zu den spektakulärsten Vorfällen in diesem Jahr gehören die Angriffe auf Anthem, LastPass, Hacking Team, das Amt für Personalverwaltung der Vereinigten Staaten, Ashley Madison, Carphone Warehouse, Experian und TalkTalk. Einige dieser Attacken endeten im Diebstahl eines großen Datenvolumens, was eindeutig zeigt, dass viele Unternehmen nicht in der Lage sind, adäquate Schritte zu unternehmen, um sich selbst zu schützen. Dabei geht es nicht nur einfach darum, die Unternehmensgrenzen zu schützen. Es gibt keine hundertprozentige Sicherheit oder eine Garantie dafür, dass das System nicht kompromittiert wird, insbesondere dann nicht, wenn jemand innerhalb des Unternehmens dazu gebracht wird, etwas zu tun, was die Unternehmenssicherheit gefährdet. Aber jede Organisation, die persönliche Daten verwahrt, hat die Pflicht dafür zu sorgen, dass sie effizient geschützt werden. Das beinhaltet den Schutz von Passwörtern mittels Hash-Algorithmus und Salt sowie auch die Verschlüsselung anderer sensitiver Daten.

Andererseits können auch Kunden eines Online-Providers potenzielle, durch ein Sicherheitsleck entstehende Schäden einschränken, indem sie Passwörter benutzen, die einzigartig und komplex sind: Ein ideales Passwort ist mindestens 15 Zeichen lang und besteht aus einer Mischung von Buchstaben, Zahlen und Sonderzeichen. Alternativ kann man eine Passwort-Manager-App benutzen, die alles automatisch regelt.

Problematisch sind schwache Passwörter. Wenn wir ein Passwort wählen, das leicht zu erraten ist, so geben wir uns selbst dem Identitätsdiebstahl preis. Das Problem wird noch größer, wenn wir dasselbe Passwort für alle möglichen Online-Accounts verwenden – wird einer kompromittiert, so sind alle in Gefahr! Aus diesem Grund bieten viele Provider, unter anderem Apple, Google und Microsoft, nun eine Zwei-Faktoren-Authentifizierung an. Dabei müssen die Kunden einen Code eingeben, der von einem Hardware-Token generiert oder an ein mobiles Gerät des Nutzers geschickt wird. Erst dann können sie auf eine Webseite zugreifen oder zumindest die Account-Einstellungen ändern. Die Zwei-Faktoren-Authentifizierung erhöht zweifellos die Sicherheit – aber nur, wenn sie vorgeschrieben wird, und eben nicht als Option zur Auswahl steht.

Der Diebstahl von persönlichen Daten kann für die Betroffenen ernsthafte Konsequenzen haben. Doch manchmal kann es auch zu regelrechten Kettenreaktionen kommen. Das Hacking-Team-Leck hatte die Veröffentlichung von 400 GB Daten zur Folge, darunter auch Exploits, die das italienische Unternehmen in seiner Überwachungssoftware verwendete. Einige dieser Exploits wurden in APT-Attacken eingesetzt, und zwar in den Kampagnen von Darkhotel und Blue Termite. Dem Leck folgte, wie zu erwarten war, eine Hektik, als es darum ging, die von den Hackern ausgenutzten Schwachstellen so schnell wie möglich zu beheben.

Smarte (aber nicht unbedingt sichere) Geräte

Das Internet wird immer mehr zum selbstverständlichen Teil unseres alltäglichen Lebens, und zwar buchstäblich, da die Zahl der Objekte zunimmt, die Teil unseres modernen Heims sind – Smart-TVs, intelligente Messgeräte, Babyfon, Wasserkocher und mehr. Vielleicht erinnern Sie sich daran, dass letztes Jahr einer unserer Sicherheitsforscher sein eigenes Zuhause unter die Lupe nahm, um herauszufinden, ob er wirklich cyber-sicher ist. Einen Nachfolgebericht zu dieser Studie finden Sie hier. Doch das „Internet der Dinge“ umfasst mehr als nur Haushaltsgeräte.

Forscher haben die möglichen Sicherheitsrisiken untersucht, die mit vernetzten Autos in Zusammenhang stehen. Im Juli 2014 veröffentlichten Kaspersky Lab und IAB eine Studie, die die potenziellen Problemzonen von vernetzten Autos zum Inhalt hatte. Bis zu diesem Jahr lag der Fokus auf dem Problem, mittels direkter physischer Verbindung auf das System des Autos zugreifen zu können. Das änderte sich, als die Forscher Charlie Miller und Chris Valasek einen Weg fanden, drahtlos auf die kritischen Systeme eines Jeep Cherokee zuzugreifen – und erfolgreich die Kontrolle übernahmen und ihn von der Straße abbrachten! (Lesen Sie die Geschichte hier nach!).

Diese Geschichte hebt einige der Probleme mit vernetzten Geräten hervor, die über die Autoindustrie hinausgehen und sich auf jedes vernetzte Gerät beziehen. Leider verkaufen sich Sicherheitsfeatures schlecht – auf einem Wettbewerbsmarkt haben meist die Dinge Vorrang, die den Kunden das Leben erleichtern. Hinzu kommt, dass Konnektivität häufig bereits existierenden Kommunikationsnetzwerken hinzugefügt wird, die nicht mit dem Gedanken an Sicherheit im Hinterkopf entwickelt wurden. Schließlich zeigt die Geschichte, dass die Sicherheit immer erst dann im Nachhinein angepasst wird, wenn irgendetwas Schlimmes passiert ist, was die Auswirkungen einer Sicherheitsschwachstelle deutlich aufzeigt. Lesen Sie mehr zu diesem Thema in einem Blogpost von Eugene Kaspersky, der nach der oben erwähnten Studie veröffentlicht wurde.

Solche Probleme gelten auch für „Smart Cities„. Beispielsweise setzen Regierungen und Strafverfolgungsbehörden in den letzten Jahren immer mehr Video-Systeme ein, um öffentliche Plätze zu überwachen. Viele Video-Kameras sind drahtlos mit dem Internet verbunden, so dass die Polizei sie entfernt steuern kann. Doch das bedeutet nicht, dass sie auch zwangsläufig sicher sind: Cyberkriminelle haben die Möglichkeit, passiv die Sicherheits-Videofeeds einzusehen, Code in das Netzwerk einzuschleusen – und dabei den Kamerafeed durch gefälschtes Filmmaterial zu ersetzen – oder das System offline zu schalten. Zwei Sicherheitsforscher, Vasilios Hioureas von Kaspersky Lab und Thomas Kinsey von Exigent Systems, betrieben kürzlich Forschungen über potenzielle Sicherheitsschwachstellen in Videoüberwachungssystemen in einer Stadt. (Sie finden Vasilios‘ Bericht auf unserer Webseite).

Leider wurde seitens der Betreiber nicht versucht, die Markenbezeichnungen der Kameras zu verdecken, so dass die Machart und Modelle der Geräte problemlos identifiziert und die technischen Daten studiert werden konnten, um dann ein eigenes maßstabsgetreues Modell nachzubauen. Das verwendete Equipment gewährleistete wirkungsvolle Sicherheitskontrollen, aber diese Kontrollen wurden nicht sicher umgesetzt. Datenpakete, die durch die vermaschten Netze flossen, wurden nicht verschlüsselt, so dass ein Angreifer in der Lage gewesen wäre, seine eigene Version der Software zu erstellen und die durchlaufenden Daten zu manipulieren. Eine mögliche Ausnutzungsart für Angreifer könnte darin bestehen, das zu einer Polizeiwache zu sendende Bildmaterial zu fälschen. So könnte man einen Vorfall an einem Standort vortäuschen und die Polizeikräfte auf diese Weise von einem tatsächlichen Tatort irgendwo anders in der Stadt ablenken.

Die Forscher informierten die für die Videoüberwachung zuständigen Stellen über dieses Problem, die bereits damit beschäftigt sind, das Sicherheitsproblem zu lösen. Ganz allgemein ist es überaus wichtig, dass eine von einem starken Passwort geschützte WPA-Verschlüsselung in diese Netzwerke implementiert ist. Ebenso wichtig ist, dass Markennamen von der Hardware entfernt werden, damit Angreifer nicht so leicht herausfinden, wie das Equipment funktioniert, und dass das Bildmaterial verschlüsselt durch das Netzwerk geschickt wird.

Das größere Problem hier ist, dass immer mehr Aspekte unseres täglichen Lebens digitalisiert werden. Wenn Sicherheit nicht als ein Teil des Entwicklungsprozesses angesehen wird, könnten die möglichen Gefahren weitreichend sein – und veraltete Sicherheitskonzepte könnten sich als nicht wirklich effektiv erweisen. Die von Kaspersky Lab unterstützte Initiative Securing Smart Cities soll denjenigen, die für die Entwicklung smarter Städte verantwortlich sind, helfen, die Cybersicherheit dabei nicht aus den Augen zu verlieren.

Internationale Zusammenarbeit gegen Cyberkriminalität

Cyberkriminalität ist heute ein fester Bestandteil des Lebens, der sich im Schatten unserer immer umfangreicher werdenden Online-Aktivitäten ausbreitet. Das zeigt sich auch in offiziellen Statistiken. In Großbritannien etwa bezieht das Office for National Statistics nun auch Cyberkriminalität in seine Schätzungen zum Umfang der Kriminalität ein. Das spiegelt die Tatsache wider, dass sich die Natur des Verbrechens in der Gesellschaft verändert. Während es keine Frage ist, dass Cyberkriminalität lukrativ sein kann, kommen Cyberkriminelle nicht immer ungestraft davon – und die Strafverfolgungsbehörden auf der ganzen Welt können einen großen Einfluss darauf haben. Internationale Zusammenarbeit ist ganz besonders wichtig, bedenkt man den globalen Charakter von Cyberverbrechen. In diesem Jahr gab es einige bemerkenswerte Polizeioperationen.

Im April war Kaspersky Lab an der Abschaltung des Simda-Botnets beteiligt, die vom Interpol Global Complex for Innovation koordiniert wurde. Die Ermittlungen wurden von Microsoft initiiert und dann auf andere Mitwirkende ausgeweitet, unter anderem Trend Micro, das Cyber Defense Institute, die National High Tech Crime Unit (NHTCU) der niederländischen Polizei, das FBI, die Police Grand-Ducale Section Nouvelles Technologies in Luxemburg und das Cybercrime Department „K“ des russischen Innenministeriums, das vom National Central Bureau von INTERPOL in Moskau unterstützt wird. Im Rahmen der Zerschlagungsaktion wurden 14 C&C-Server konfisziert, die sich in den Niederlanden, den USA, Luxemburg, Polen und Russland befanden. Eine vorläufige Analyse einiger der abgefangenen Server-Logs förderte eine Liste von 190 Ländern zutage, die von der Aktivität des Simda-Botnets betroffen sind.

Im September verhaftete die holländische Polizei zwei Männer, die verdächtigt werden, an Attacken der Ransomware CoinVault beteiligt zu sein. Der Festnahme vorangegangen waren gemeinsame Ermittlungen von Kaspersky Lab, Panda Security und dem NHTCU. Diese Malware-Kampagne begann im Mai 2014 und setzte sich bis zum laufenden Jahr fort, wobei Opfer in mehr als 20 Ländern im Visier der Akteure standen. Die meisten wurden allerdings in den Niederlanden, in Deutschland, den USA, Frankreich und Großbritannien registriert. Die Angreifer verschlüsselten erfolgreich Dateien auf über 1.500 Windows-Computern und verlangten Zahlungen in Bitcoin, damit die Daten auf den betroffenen Rechnern wieder dechiffriert werden. Die für diese Erpressersoftware-Kampagne verantwortlichen Cyberkriminellen modifizierten ihre Machwerke mehrfach, um immer wieder neue Opfer angreifen zu können. Im November brachten Kaspersky Lab und das Niederländische NHTCU eine Webseite auf den Weg, die als Anlaufstelle für Dechiffrierungsschlüssel dienen soll. Außerdem stellten die Kaspersky-Experten auch ein Entschlüsselungstool online bereit, um den Opfern zu helfen, ihre Daten wiederherzustellen, ohne Lösegeld bezahlen zu müssen. Unsere Analyse über die Drehungen und Wendungen, die die CoinVault-Autoren vollziehen, finden Sie hier. Ransomware ist zum festen Inventar in der Bedrohungslandschaft geworden. Während dieser Fall zeigt, dass die Zusammenarbeit zwischen Forschern und Strafverfolgungsbehörden zu positiven Ergebnissen führen kann, ist es für Nutzer und Unternehmen gleichermaßen wichtig, Maßnahmen zu ergreifen, um die Risiken zu minimieren, die diese Art von Malware mit sich bringt. Ransomware-Kampagnen ergeben nur dann einen Sinn, wenn die Opfer zahlen. Im September löste ein FBI-Agent eine Kontroverse aus, indem er Opfern nahelegte, Lösegelder zu zahlen, um ihre Daten wiederherzustellen.

Während das eine pragmatische Lösung zu sein scheint (zumal es Situationen gibt, in denen eine Datenwiederherstellung unmöglich ist), ist es doch auch gleichzeitig eine gefährliche Strategie. Erstens gibt es keine Garantie dafür, dass die Betrüger tatsächlich die notwendigen Mechanismen zur Entschlüsselung der Daten bereitstellen. Zweitens fördert es ihr Geschäftsmodell und macht die weitere Entwicklung von Erpressersoftware nur umso wahrscheinlicher. Wir empfehlen daher Unternehmern und Heimanwendern gleichermaßen, regelmäßig Backups zu erstellen, um nicht in eine derart unangenehme Position zu geraten.

Angriffe auf Industrieobjekte

Vorfälle mit Industrieobjekten, die auf Probleme mit der Cybersicherheit zurückzuführen sind, kommen relativ häufig vor. So wurden beispielsweise laut Angaben des US-amerikanischen Internet Storm Centers CERT im Finanzjahr 2014 in den USA 245 solcher Vorfälle registriert, und im Juli und August 2015 waren es 22. Unserer Meinung nach spiegeln diese Zahlen jedoch nicht die tatsächliche Situation wider – es gibt wesentlich mehr Cybervorfälle dieser Art. So wird ein Teil solcher Vorfälle von den Betreibern und Besitzern der Betriebe manchmal lieber unter den Teppich gekehrt, während sie von einem anderen Teil schlicht keine Kenntnis haben.

Schauen wir uns einmal zwei solcher Vorfälle genauer an, die im Jahr 2015 unsere Aufmerksamkeit auf sich zogen.

Der erste Vorfall ereignete sich in Deutschland in einem Stahlwerk. Ende 2014 gab das BSI, das Bundesamt für Sicherheit in der Informationstechnik, einen Bericht zur Lage der IT-Sicherheit in Deutschland 2014 heraus. Darin wird ein Cybervorfall beschrieben, der sich in einem Stahlwerk in Deutschland ereignet hat. Infolge dieses Ereignisses wurde ein Hochofen physisch beschädigt.

Das ist nach Stuxnet der zweite Fall einer Cyberattacke, die die physische Beschädigung einer Industrieanlage zur Folge hatte. Laut Erklärung des BSI erfolgte die initiale Infektion des Büronetzwerks dieses Betriebes durch Spear-Phishing. Daraufhin konnten sich die Hacker Schritt für Schritt Zugriff auf die Produktionsnetze verschaffen und die Anlage direkt angreifen. Leider stellte das BSI keine zusätzlichen Informationen zur Verfügung, und wir können nicht sagen, welche Schadsoftware genau eingesetzt wurde und was sie im Detail bewirkt hat.

Solche Heimlichkeit nützt nicht allen, denn die Betreiber ähnlicher Betriebe (außer deutschen vielleicht) sind dann nicht in der Lage, die Attacke zu studieren und entsprechende Gegenmaßnahmen zu ergreifen. Auch die Experten auf dem Gebiet Cybersicherheit bleiben unwissend und können ihren Kunden dementsprechend auch keine Schutzmethoden vorschlagen.

Ein anderer interessanter Fall ist der Angriff auf den Flughafen Frédéric Chopin in Warschau im Juni 2015. An einem Sonntag wurde das Computersystem, das die Abflüge der polnischen Fluggesellschaft LOT koordiniert, durch einen Hackerangriff für etwa fünf Stunden außer Gefecht gesetzt. Laut Angaben von Reuters wurde auf Grund dieses Vorfalls etwa ein Dutzend Flüge gestrichen.

Die Flughafenleitung ging trotzdem nicht mit Details zu diesem Angriff an die Öffentlichkeit, und verschiedene Experten äußerten – sich allein auf ihre Erfahrung stützend – ihre Meinung zu dem Vorfall. Ruben Santamarta, ‎Principal Security Consultant bei IOActive, hatte schon vorher die Aufmerksamkeit auf IT-Sicherheitsprobleme in der Luftfahrt gelenkt. Sich auf Bestätigungen von LOT-Vertretern berufend geht er davon aus, dass die Fluggesellschaft Opfer einer zielgerichteten Attacke wurde: Das System war nicht mehr in der Lage, die Abflüge zu koordinieren, da die Schlüsselknoten des Back-Office kompromittiert worden waren oder die Attacke richtete sich gegen Bodenfunkstellen und führte dazu, dass es nicht mehr möglich war, den Upload von Daten (darunter auch die Abflugpläne) auf die Bordcomputer durchzuführen und zu validieren.

Unsere Experten haben ebenfalls auf den Vorfall reagiert: Wir nehmen an, dass hier zwei Angriffsszenarien möglich sind. Der Grund für den Vorfall könnte menschliches Versagen oder eine Fehlfunktion der Ausstattung gewesen sein. Oder aber dieser Angriff auf den verhältnismäßig kleinen Flughafen in Warschau war nur ein Vorbote umfangreicherer Aktionen Cyberkrimineller auf anderen großen Flughäfen der Welt.

Später wurde offiziell mitgeteilt, dass es sich um eine DDoS-Attacke gehandelt habe und nicht ins System eingedrungen worden sei. Detaillierte Informationen über diesen Vorfall werden nicht bekannt gemacht, und uns bleibt nichts anderes übrig, als den offiziellen Informationen Glauben zu schenken – oder über die wahren Gründe und Ziele des Angriffs zu spekulieren.

Wer auch immer hinter den Attacken stecken mag, über die wir berichtet haben, und was auch immer ihre Ziele sein mögen, sie beweisen doch einmal mehr, das Computer zu einem festen Bestandteil unseres Lebens geworden sind, und sie zeigen, wie angreifbar wichtige Infrastruktur-Objekte mit den Jahren geworden sind.

Leider verfolgen derzeit viele Staaten und Behörden eine Politik der Verschlossenheit. Unserer Meinung nach sind Transparenz und ein Informationsaustausch zum Thema Cyberattacken ein wichtiges Element beim Aufbau eines adäquaten Schutzes der Infrastruktur-Objekte – ohne dieses Wissen ist es sehr schwer, vor künftigen Bedrohungen zu schützen.

Zum Abschluss möchten wir noch auf eine Tendenz hinweisen, die bereits Einfluss auf uns alle hat und auch in den kommenden Jahren haben wird: Die in Industriebetrieben verwendeten Anlagen werden zunehmend mit dem Internet verbunden. Das Internet wurde schon vor geraumer Zeit erfunden, doch in den Produktionsprozessen wird es nun für uns sichtbar. Ohne Übertreibung kann man diese Tendenz eine industrielle Revolution nennen – es entsteht das „Industrielle Internet der Dinge“ oder die Industrie 4.0. Dadurch kommen die Unternehmen in den Genuss vieler zusätzlicher Vorteile und die Produktion wird effektiver.

Um diesen Trend nicht zu verpassen, rüsten die Hersteller bewährte und zuverlässige Anlagen, die für eine Welt „ohne Internet“ entwickelt wurden, einfach mit den notwendigen Sensoren und Controllern аus, verbinden die Anlage mit dem Netz und schon haben sie eine „neue Ausrüstung“. Doch sie vergessen dabei, dass immer, wenn ein beliebiges Gerät mit Funktionen zur Arbeit mit dem Internet ausgerüstet wird, auch neue Risiken und Bedrohungen auftreten, die mit der Cybersicherheit in Verbindung stehen. Nun sind es keine „physischen“ Geräte mehr, sondern „cyberphysische“ Geräte.

In der Welt der physischen Geräte wurden alle Industriegeräte, Instrumente, Verbindungsprotokolle und so weiter mit Blick auf die Funktionssicherheit projektiert, mit anderen Worten „idiotensicher“ gemacht. Das bedeutete: Wenn ein Gerät den Anforderungen der Funktionssicherheit entsprechend projektiert wurde, darf es während des Betriebes keine Ausfälle geben und weder Menschen noch die Umwelt dürfen zu Schaden kommen – sofern die Funktionssicherheit nicht beeinträchtigt ist.

Die „Industrie 4.0“ erhält eine ganz andere Sicherheitsdimension – nun geht es auch um IT-Sicherheit oder den Schutz vor absichtlicher Einflussnahme von außen. Man kann nicht einfach ein Objekt oder Gerät, das noch aus der „vor-WWW-Ära“ stammt, an das Internet anschließen. Die Folgen könnten überaus beklagenswert sein – und sie sind es mitunter heute schon.

Ingenieure, die sich zu alten, „vorrevolutionären“ Projektierungsprinzipien bekennen, bedenken häufig nicht, dass jetzt unter Umständen nicht ausschließlich Experten mit ihrem Gerät „arbeiten“, die wissen, was man tun kann und was nicht, sondern auch Hacker, die sich nicht um „unerlaubte Aktionen mit einem entfernten Gerät“ scheren. Das ist einer der Hauptgründe dafür, dass Unternehmen mit großem Erfahrungsschatz und langer Tradition jetzt gute und hinsichtlich der Funktionssicherheit zuverlässige Anlagen bauen, die den Betrieben kein ausreichendes Maß an Cybersicherheit gewährleisten können.

In der Welt der cyberphysischen Geräte sind die Elemente „cyber“ und „physisch“ eng miteinander verknüpft. Eine Cyberattacke kann einen technologischen Prozess zum Erliegen bringen, Anlagen beschädigen oder eine technische Katastrophe verursachen. Hacker sind eine reale Bedrohung, und alle, die mit dem Internet verbunden sind, können ihnen zum Opfer fallen. Daher müssen die Hersteller bei der Entwicklung neuer vernetzter Industrieanlagen die Maßnahmen zum Schutz vor Cyberbedrohungen unbedingt ebenso sorgfältig ausarbeiten wie die Maßnahmen zur Gewährleistung der Funktionssicherheit.

Fazit

Das Jahr 2015 war wohl das erste Jahr in der Geschichte des Internets, in dem Probleme des Netzwerkschutzes und der Sicherheit im Netz in Bezug auf jeden erdenklichen Wirtschaftssektor und hinsichtlich aller Bereiche unseres alltäglichen Lebens diskutiert wurden. Suchen Sie sich irgendein Gebiet der modernen Zivilisation aus – Finanzen, Industrieproduktion, Automobilindustrie, Flugzeuge, mobile Geräte, Gesundheitswesen und vieles mehr – und Sie finden garantiert zu jedem Thema eine Veröffentlichung aus diesem Jahr über einen Vorfall oder über Probleme in Zusammenhang mit Cybersicherheit.

Leider ist die Cybersicherheit untrennbar mit der Entwicklung des Terrorismus verbunden. Die Schutzmethoden und Überfallmöglichkeiten im Netz sind ins Zentrum des Interesses verschiedener illegaler Strukturen und Gruppierungen gerückt.

Fragen der Cybersicherheit werden nun auf diplomatischer Ebene und in den höchsten Regierungskreisen diskutiert. In diesem Jahr wurden Verträge über Cybersicherheit zwischen Russland und China abgeschlossen, zwischen China und den USA und zwischen China und Großbritannien. Im Rahmen dieser Verträge verpflichten sich die Staaten nicht nur zur Zusammenarbeit, sondern auch zur Verhinderung gegenseitiger Angriffe. Gleichzeitig wurde aktiv über die kürzlich erfolgte Revision des Wassenaar-Abkommens debattiert, die die Exporteinschränkung von Spionagesoftware betrifft. Eins der wichtigsten Themen des Jahres war die Nutzung von ungeschützten E-Mail-Diensten durch verschiedene Politiker auf der ganzen Welt, unter anderem auch durch die damalige Außenministerin der USA, Hillary Clinton.

All das hatte zur Folge, dass das Interesse an dem Problem der Cybersicherheit nicht nur seitens der Massenmedien enorm zunahm, sondern sich auch die Unterhaltungsindustrie diesem Thema widmete. Es wurden Spielfilme und Serien gedreht, und der eine oder andere Experte auf dem Gebiet Cybersicherheit wurde für eine Rolle besetzt oder spielte sich selbst.

Im Jahr 2015 wurde das Wort „Cybersicherheit“ modern, doch das ist noch nicht die Lösung des Problems. Wir beobachten ein praktisch exponentielles Wachstum aller Größen, die mit Cybersicherheit zusammenhängen: eine Zunahme der Zahl der Attacken, der Zahl der Angreifer, der Opfer, der Ausgaben für die Abwehr und den Schutz, und eine Zunahme der Gesetze und Verträge, die die neuen Normen regeln und installieren. Für uns bedeutet das in erster Linie, dass die aufzuspürenden Attacken komplexer werden. Die Konfrontation ist in eine aktive Phase eingetreten, doch ein abschließendes Stadium ist noch weit, weit entfernt.

Über das, was uns in nächster Zukunft erwartet, berichten wir in unseren Prognosen für das Jahr 2016.

Ähnliche Beiträge

Es gibt 1 Kommentar
  1. Gunter Mau

    Danke für die umfangreiche Information über Malware und Adware, leider finde ich nirgentwo den entscheidenen Hinweis
    wie ich zum Beispiel “ Pc Speed up“ als Malware loswerden kann..
    Auch in der vorhandenen Software von Kaspersky, kein Hinweis oder Link.
    Schade !

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.