Kaspersky Security Bulletin. Prognose 2016

Das Ende von APTs – wie wir sie kennen.

  1. Die Top Security Stories
  2. Statistik für das Jahr 2015
  3. Entwicklung der IT-Bedrohungen im Unternehmensbereich
  4. Prognose 2016

Jetzt, da sich das Jahr seinem Ende entgegen neigt, haben wir Gelegenheit, Bilanz zu ziehen, die Entwicklung der Branche zu bewerten und eine Vorhersage für die kommenden Jahre zu wagen, was die Entwicklung der Cyberbedrohungen angeht. Auf einem Treffen unserer Experten aus den GReAT- und Anti-Malware-Research-Team wurden viele Ideen diskutiert, und ich habe nun das Privileg, einige der bemerkenswertesten und plausibelsten – sowohl für die kommenden Jahre als auch für eine langfristige Zukunft, wie wir sie sehen – vorzustellen. Der Ausblick für das sich rasant entwickelnde Feld der Cybersicherheit bietet viele Denkanstöße und wird uns immer wieder vor neue Herausforderungen stellen. Indem wir sachliche Kriterien zugrunde legen, können wir vielleicht die übliche Science-Fiction-Panikmache über Bord werfen und einige präzise Vorhersagen treffen – sowohl für die nahe Zukunft als auch langfristig.

Keine APTs mehr

Bevor Sie nun anfangen zu jubeln, sollten wir darauf hinweisen, dass wir uns auf die Elemente „Advanced“ – also fortschrittlich – und „Persistent“ – also andauernd, nachhaltig – beziehen. Beides sind Elemente, die die Bedrohungsakteure mit Freude über Bord werfen würden, wenn sie sich dafür komplett unsichtbar machen könnten. Wir erwarten, dass die Nachhaltigkeit künftig eine weniger große Rolle spielen und einem größeren Fokus auf speicherresistente und dateilose Malware weichen wird. Der Gedanke dahinter ist, die in einem infizierten System hinterlassenen Spuren zu reduzieren und insgesamt eine Detektion zu vermeiden. Bei einem anderen Ansatz könnte es weniger wichtig werden, dass die Schadprogramme fortschrittlich und technisch besonders anspruchsvoll sind. Anstatt dass weiter in Bootkits, Rootkits und kundenspezifische Malware investiert wird, die dann doch von Antiviren-Forschern unschädlich gemacht wird, erwarten wir die Modifikation gebrauchsfertiger Schadprogramme. Das bedeutet zum einen, dass die Malware-Plattform bei Entdeckung nicht zerstört wird. Zum anderen bringt dieser Ansatz den zusätzlichen Vorteil mit sich, dass der Akteur sich und seine Absichten gut verbergen kann – in der unübersichtlichen Menge banaler Einsätze einer kommerziell verfügbaren Fernwartungssoftware. Wenn die Wirkung raffinierter, anspruchsvoller Malware nachlässt, werden viele Entscheidungen der Angreifer, die von Nationalstaaten gesponsert werden, durch die Kapitalrendite bestimmt – und nichts ist überzeugender als geringe Erstinvestitionen bei maximaler Rendite.

Der Ransomware-Alptraum geht weiter

Wir erwarten, dass Ransomware künftig noch erfolgreicher sein und neue Grenzen überschreiten wird. Ransomware hat zwei Vorteile gegenüber traditionellen Bank-Bedrohungen: direkte Umsetzung in Bargeld und relativ geringe Kosten pro Opfer. Das hat zur Folge, dass gut ausgestattete Dritte wie etwa Banken nur ein geringes Interesse an Ransomware zeigen und relativ wenige Vorfälle den Strafverfolgungsbehörden gemeldet werden. Wir gehen nicht nur davon aus, dass Ransomware gegenüber Bank-Trojanern an Boden gewinnen wird, sondern wir erwarten zudem, dass Erpressersoftware auch auf anderen Plattformen auftaucht. Es wurden bereits schwache Versuche beobachtet, Ransomware auf mobile Plattformen (Simplelocker) und Linux (Ransom.Linux.Cryptor, Trojan-Ransom.FreeBSD.Cryptor) zu übertragen, aber die erstrebenswertere Plattform ist vermutlich Mac OS X. Wir meinen, dass Erpresser nicht nur den Rubikon überschreiten werden, um Macs anzugreifen, sondern dass sie auch „Mac-mäßige“ Preise verlangen werden. Und dann, auf lange Sicht, ist es nicht unwahrscheinlich, dass auch Ransomware für das Internet der Dinge auftauchen wird. Dann wird man sich fragen müssen, wie viel man auszugeben bereit ist, um wieder Zugriff auf den eigenen Fernseher zu erhalten – oder auf den eigenen Kühlschrank, oder auf das eigene Auto.

Gegen das Haus wetten: Finanz-Verbrechen auf höchstem Niveau

Das Aufkommen von Cyberkriminalität und APTs hat finanziell motivierte Verbrecher ermutigt, nicht mehr nur Heimanwender anzugreifen, sondern gleich Finanzinstitutionen selbst. Im letzten Jahr gab es viele Beispiele von Angriffen auf Point-of-Sale-Systeme und Geldautomaten, ganz zu schweigen von dem dreisten Carbanak-Banküberfall, bei dem hunderte Millionen US-Dollar gestohlen wurden. Wir erwarten, dass auch andere Cyberkriminelle in dieser Manier neue Wege beschreiten und alternative Bezahlsysteme (ApplePay und AndroidPay) ins Visier nehmen werden. Diese werden immer beliebter und eröffnen den Cyberkriminellen damit neue Wege der sofortigen Monetarisierung. Ein anderer unausweichlicher Anziehungspunkt sind Börsen, die wahren Goldadern. Während Frontalangriffe schnelle Rendite versprechen, dürfen wir nicht die Möglichkeit subtilerer Störungsmethoden übersehen, wie zum Beispiel einen Angriff auf die Algorithmen der Black Box, wie sie beim Hochfrequenzhandel verwendet wird, um nachhaltigere Gewinne zu erzielen, bei gleichzeitig geringerer Wahrscheinlichkeit, gefasst zu werden.

Angriffe auf Sicherheitsanbieter

Da die Angriffe auf Anbieter von Sicherheitslösungen zunehmen, sehen wir zukünftig auch folgende
Angriffsszenarien: die Kompromittierung von Industriestandard-Reverse-Engineering-Tools wie IDA und Hiew, von Debugging-Tools wie OllyDbg und WinDbg oder von Virtualisierungstools wie die VMware Suite und VirtualBox. CVE-2014-8485, eine Sicherheitslücke in der String-Implementation in Linux, ist ein Beispiel für die verwundbare Landschaft nicht trivialer Forschungstools, die von Angreifern ausgenutzt werden können, wenn sie die Forscher selbst ins Visier nehmen. Auf ähnliche Weise ist das Teilen von Freeware-Forschungstools über Code-Repositorien wie Github ein Bereich, der dem Missbrauch viel Raum lässt, denn Nutzer werden gelegentlich Code auf ihr System laden und ihn dort ausführen, ohne auch nur einen Blick darauf zu werfen. Vielleicht sollten wir auch einen misstrauischen Blick auf populäre PGP-Umsetzungen werfen, die bereitwillig von der IT-Sicherheitscommunity aufgenommen wurden.

Sabotage, Erpressung und Bloßstellung

Vom Hacken von Promi-Nacktfotos zu den virtuellen Einbrüchen bei Sony und Ashley Madison und dem Hack von HackingTeam nehmen die Fälle von DOXing, öffentlicher Bloßstellung und Erpressung unbestreitbar zu. Hacktivisten, Kriminelle und Nationalstaat-gesponserte Angreifer gleichermaßen haben sich das strategische Veröffentlichen privater Fotos, Informationen, Kundenlisten und Code angeeignet, um ihre Ziele bloßzustellen. Während einige dieser Angriffe strategischer Natur sind, sind andere eher ein Produkt des Opportunismus, wenn ein schwacher Schutz ausgenutzt wird, um mit nicht vorhandenen Hacking-Fähigkeiten zu prahlen. Leider müssen wir davon ausgehen, dass diese Praxis weiterhin exponentiell zunehmen wird.

Wem trauen Sie?

Das rarste Gut im heutigen Internetzeitalter ist vermutlich Vertrauen. Der Missbrauch von vertrauenswürdigen Ressourcen wird es noch seltener werden lassen. Angreifer werden weiterhin Open-Source-Bibliotheken und Ressourcen aus Whitelists für böswillige Zwecke nutzen. Wir meinen, dass eine andere Form von Vertrauen missbraucht werden wird, und zwar das der internen Ressourcen eines Unternehmens: Wenn clevere Angreifer darauf aus sind, ihre Reichweite in einem infizierten Netzwerk auszubauen, könnten sie Ressourcen angreifen, die auf das Intranet des Unternehmens beschränkt sind, indem sie Wasserloch-Attacken auf Sharepoint, Dateiserver oder ADP-Portale durchführen. Vielleicht werden wir sogar Zeuge einer Ausweitung des jetzt schon ungezügelten Missbrauchs vertrauenswürdiger Zertifikate, nämlich dann, wenn Angreifer mit einer schon komplett fertigen Zertifizierungsstelle aufwarten, um Zertifikate für ihre Malware auszugeben.

APT-Akteure am Ende

Dass Cyberspionage profitabel ist, ist auch Cyberkriminellen nicht entgangen, und wie wir es erwartet haben, bevölkern immer mehr Söldner die Szene. Dieser Trend wird sich verstärken, um die Nachfrage nach Cyberkapazitäten sowohl von Firmen als auch von bekannten APT-Akteuren zu decken, die wenige wichtige Aufgaben auslagern wollen, ohne dabei ihre Tools und ihre Infrastruktur einem Risiko auszusetzen. Wir könnten den Begriff „APT-as-a-Service“ lancieren, aber vielleicht werden zielgerichtete Attacken interessanterweise eher einer Dienstleistung weichen, die wir als „Access-as-a-Service“ bezeichnen möchten. Diese Dienstleistung beinhaltet den Verkauf des Zugriffs auf prominente Ziele, die bereits Cybersöldnern zum Opfer gefallen sind.

Wenn wir noch weiter in die Zukunft der Cyberspionage schauen, so sehen wir Mitglieder etablierter APT-Teams („APT-Onepercenters“, wenn man so will), die möglicherweise aus dem Schatten treten werden. Das kann auf dem privaten Sektor der Fall sein, wenn sich der Trend des „Zurückhackens“ weiter ausbreitet, oder es könnte passieren, dass die APT-Hacker ihr Insiderwissen mit einer größeren IT-Sicherheits-Community teilen, vielleicht indem sie unsere Konferenzen besuchen, um uns die andere Seite der Medaille zu zeigen. Bis dahin aber ist zu erwarten, dass der APT-Turm von Babylon noch um einige Sprachen erweitert wird.

Die Zukunft des Internets

Die Infrastruktur des Internets selbst hat in den vergangenen Jahren Anzeichen von Spannungen gezeigt und Risse bekommen. Sorgen um massive Router-Botnetze, das Abfangen des Routingprotokolls des Internets, BGP, massenhafte DNS-Attacken oder Server-gestützte DDoS-Angriffe reflektieren einen weltweiten Mangel an Zurechnungsfähigkeit und Durchsetzung. Schauen wir weiter in die Zukunft und berücksichtigen die langfristigen Vorhersagen, können wir uns vorstellen, wie das Internet aussehen könnte, wenn die Geschichte von einem global vernetzten Dorf noch mehr in Vergessenheit gerät. Wir könnten bei einem zersplitterten Internet enden, das durch nationale Grenzen geteilt wird. An diesem Punkt könnten Sorgen über die Verfügbarkeit aufkommen, Angst vor Angriffen auf die Service-Verbindungspunkte, die Zugriff zwischen verschiedenen Sektionen bieten, oder vor geopolitischen Spannungen, die sich auf die Kabel beziehen, welche große Teile des Internets miteinander verbinden. Vielleicht wird sich auch ein Schwarzmarkt für Konnektivität entwickeln. Und wenn die Technologien, die die Schattenseite des Internets mit Energie versorgen, immer mehr zum Mainstream werden und immer größere Akzeptanz erfahren, so könnten Entwickler mit Beteiligung am Schattenmarkt und an Foren auf ähnliche Weise bessere Technologien entwickeln, damit der Untergrund auch wirklich Untergrund bleibt.

Die Zukunft der Beförderung

Wenn Kapital und erstklassige Forschungsressourcen investiert werden, um autonome Vehikel sowohl für die private als auch für die kommerzielle Distribution zu entwickeln, werden wir das Aufkommen von verteilten Systemen beobachten können, die die Routen und den Verkehr einer großen Menge dieser Vehikel verwalten und steuern. Die Angriffe werden sich möglicherweise nicht gegen die Verteilungssysteme selbst richten, möglicherweise aber gegen die Protokolle, auf denen sie basieren, indem diese abgefangen und getäuscht werden (ein Proof-of-Concept zu den Sicherheitslücken des weit verbreiteten Satcom-Systems von Global Star wurde in diesem Jahr von einem Synack-Forscher auf der BlackHat-Konferenz präsentiert). Vorhersehbare Absichten hinter diesen Attacken könnten unter anderem der Diebstahl hochwertiger Waren oder die Beeinträchtigung der Bewegungsfähigkeit sein, was Menschenleben kosten könnte.

Die Kryptokalypse naht

Schließlich können wir die Wichtigkeit kryptografischer Standards gar nicht stark genug hervorheben, wenn es darum geht, den funktionalen Wert des Internets als Informationsaustausch- und Transaktionstool von beispiellosem Nutzen aufrechtzuerhalten. Diese kryptografischen Standards basieren auf der Erwartung, dass die Rechenleistung, die benötigt würde, um ihren verschlüsselten Output zu knacken, schlicht über und jenseits unserer Möglichkeiten liegt. Doch was passiert, wenn wir einen Paradigmensprung bezüglich der Rechenmöglichkeiten vollziehen, wie es für künftige Durchbrüche im Quantencomputing versprochen wird? Auch wenn Quanten-Ressourcen nicht von Anfang an für gewöhnliche Cyberkriminelle verfügbar sein werden, markiert es doch das Ende der Zuverlässigkeit unserer aktuellen kryptografischen Standards und die Notwendigkeit, eine „Post-Quanten-Kryptografie“ zu entwickeln und einzuführen. Bedenkt man, wie wenig die hochkarätige Kryptografie, die wir haben, angenommen oder wie schlecht sie häufig implementiert wird, so sehen wir keinen glatten Übergang vorher, durch den wir in der Lage wären, kryptografische Ausfälle aufzufangen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.