Island-Hopping-Angriff
Was ist ein Island-Hopping-Angriff?
Ein Island-Hopping-Angriff ist eine Hacking-Kampagne, bei der Bedrohungsakteure die anfälligeren Partner eines Unternehmens ins Visier nehmen, um die Cybersicherheitsabwehr des Zielunternehmens zu untergraben und sich Zugang zu dessen Netzwerk zu verschaffen. Ein Bedrohungsakteur ist teilweise oder vollständig für einen Vorfall verantwortlich ist, der das Sicherheitssystem eines Unternehmens beeinträchtigt oder beeinträchtigen könnte.
Bedrohungsakteure, die es auf große Unternehmen abgesehen haben - selbst auf solche mit wirksamen Cybersicherheitsvorkehrungen - werden alles daransetzen, um ins Unternehmen zu gelangen. Wenn das anvisierte Unternehmen über starke Cybersicherheitspraktiken verfügt, werden die Angreifer Insel-Hopping-Angriffe durchführen und die Zwischenstationen des Unternehmens ausnutzen, um in die sicheren Systeme des eigentlichen Ziels einzudringen.
Insel-Hopping-Angriffe werden immer häufiger durchgeführt. Bedrohungsakteure nutzen diese Technik, um Netzwerksysteme zwischen mehreren Unternehmen zu kompromittieren und deren digitale Werte zu stehlen. Zu den Branchen, die am stärksten von Island-Hopping-Angriffen betroffen sind, gehören das Finanzwesen, das Gesundheitswesen, die Fertigung und der Einzelhandel.
Islands-Hopping-Angriffe und Zugriff durch Dritte
Der Begriff „Island Hopping“ stammt von der militärischen Strategie, die die Alliierten im Zweiten Weltkrieg im pazifischen Raum gegen die Achsenmächte einsetzten. Die Strategie bestand darin, dass die Alliierten eine Insel eroberten und sie als Ausgangspunkt für den Angriff und die Übernahme einer anderen Insel nutzten. Die Mission wurde erstmals im August 1942 auf Guadalcanal auf den Salomoninseln durchgeführt.
Im Bereich der Cybersicherheit zielen die Island-Hopping-Angreifer auf Kunden, Lieferanten und kleinere Unternehmen ab, die mit der Opferorganisation zusammenarbeiten. Die Angreifer gehen davon aus, dass die Cyberabwehrsysteme dieser kleineren Einheiten nicht so umfassend sind wie die des eigentlichen Ziels.
Wenn ein Unternehmen dafür bekannt ist, dass es auf der gleichen Website bestimmte Waren bestellt, könnten Bedrohungsakteure einen Watering-Hole-Angriff inszenieren. Dabei zielen sie auf diese Website ab, in dem Wissen, dass Mitglieder des Unternehmens sie besuchen -, um Zugang zum eigentlich anvisierten Unternehmensnetzwerk zu erhalten.
Wie gehen die Angreifer beim Island Hopping vor?
Island-Hopping-Angriffe beginnen oft mit Phishing, bei dem sich die Angreifer in einer E-Mail oder einem anderen Kommunikationskanal als seriöses Unternehmen tarnen. Vertrauenswürdige Marken werden bei Phishing-Angriffen häufig als erster Schritt verwendet.
Eine weitere gängige Methode ist das netzwerkbasierte Island Hopping, bei dem Angreifer in ein Netzwerk eindringen und von dort aus in ein angeschlossenes Netzwerk wechseln. Angreifer haben es beispielsweise auf den Managed Security Service Provider (MSSP) eines Unternehmens abgesehen, um sich durch dessen Netzwerkverbindungen zu bewegen.
Bei einer anderen Technik, die als „Reverse Business E.Mail Compromise“ bekannt ist, übernehmen die Angreifer den Mail-Server ihres Opferunternehmens und führen von dort aus dateilose Malware-Angriffe durch. Bei dateilosen Malware-Angriffen werden Anwendungen verwendet, die bereits installiert sind und als sicher gelten. Bei dateilosen Malware-Angriffen ist es daher nicht erforderlich, bösartige Software oder Dateien zu installieren, um einen Angriff zu starten. Reverse-Business-E-Mail-Compromise-Angriffe zielen häufig auf den Finanzsektor ab.
Warum verwenden Angreifer Insel-Hopping-Angriffe?
Zu den Hauptmotiven für Insel-Hopping-Angriffe gehören kriminelle Aktivitäten wie Ransomware-Angriffe und Krypto-Jacking. Im Jahr 2013 zielten Hacker beispielsweise auf den Heizungs-, Lüftungs- und Klimaservicepartner (HVAC) des Einzelhandelsriesen Target ab. Target erlitt eine massive Sicherheitsverletzung, bei der die Zahlungsdaten von mehr als 40 Millionen Kunden gestohlen wurden.
Wie im Fall von Target nutzen Angreifer kleinere Partnerunternehmen aus, weil diese sich in der Regel nicht das gleiche Maß an Cybersicherheit leisten können wie die größeren Organisationen. Da die kleineren Systeme der Lieferanten oder Kunden bereits von dem größeren Unternehmen als vertrauenswürdig eingestuft werden, ist es außerdem unwahrscheinlicher, dass sie bei einer Kompromittierung bemerkt werden, so dass sich der Angriff leichter auf das Netzwerk des eigentlichen Zielunternehmens ausweiten lässt.
Verteidigungsstrategien gegen Island-Hopping-Angriffe
Zu den Maßnahmen, um Island-Hopping-Attacken zu begegnen, gehören die folgenden:
- Die Risiken, die durch Dritte entstehen, bewerten.
- Einen Vorfallreaktionsplan (IRP, Incident Response Plan) erstellen und ein Team etablieren, dass über die nötigen Mittel und Werkzeuge zum Schutz der eigenen IT verfügt.
- Abklären, welche Sicherheitsmaßnahmen und Anbieter, die verbundenen Unternehmen einsetzen und Strategien abstimmen.
- Für die Reaktion auf Zwischenfälle externe Dienstleister miteinbeziehen.
- Einrichten eine sauberen Netzwerksegmentierung, damit die Auftragnehmer nicht auf alle Server zugreifen können, sondern nur auf den Server und die Dienste, mit denen sie arbeiten müssen.
- Wann immer möglich, Multifaktor-Authentifizierung (MFA) einrichten.
- Das Risiko von Seitwärtsbewegungen berücksichtigen. Hierbei bewegen sich Angreifer durch ein Netzwerk und suchen nach wichtigen Ressourcen und Daten, auch um den Angriff noch weiter auszudehnen oder Anmeldedaten zu stehlen.
Auf einen Island-Hopping-Angriff reagieren
Organisationen, die Opfer von Insel-Hopping-Angriffen geworden sind, sollten wie folgt reagieren:
- Sehen Sie sich die Protokolle der betroffenen Systeme an, um einen Überblick zu erhalten. Ermitteln Sie, welcher Zugriff erlangt wurde. Wenn ein Angreifer erst einmal Fuß gefasst hat, kann dieser Zugang dazu genutzt werden, sich durch andere Angriffe, wie zum Beispiel einen Watering-Hole-Angriff, vollständigen Zugriff auf das Unternehmen zu verschaffen.
- Beurteilen Sie den Umfang des Angriffs und die erbeuteten Vermögenswerte.
- Überwachen Sie neue Konten oder Änderungen an Systemen, um festzustellen, ob ein Konto kompromittiert wurde, und um künftige Insel-Hopping-Angriffe zu vereiteln. Achten Sie darauf, nur vertrauenswürdige Dritte einzubinden, die Zugang zum Unternehmensnetz oder zu Cloud-Diensten haben. Beziehen Sie auch den Dienstanbieter ein, damit er seine Protokolle und Systeme überprüfen kann.