beebright - stock.adobe.com
Cybersicherheit 2018: Die Lehren für die Threat Intelligence
Die Analyse von Cyberangriffen und Vorgehensweisen der Cyberkriminellen ist entscheidend, um künftige Bedrohungen zu erkennen und diesen wirksam begegnen zu können.
Jede Information über das jüngste Vorgehen von Hackern oder über mögliche Sicherheitslücken ist kostbar, um auf neue Arten von virtuellen Angriffen und Bedrohungen rechtzeitig reagieren zu können. Zu diesem Zweck wurden weltweit Threat Research Teams ins Leben gerufen, so auch bei Check Point. In der „ThreatCloud“ werden Daten über weltweite Cyberangriffe gespeichert und an das Expertennetzwerk verschickt. Über 100 IT-Sicherheitsspezialisten werten die Daten umfangreich aus und veröffentlichen anschließend die Berichte.
Im Jahr 2018 machte sich das Research Team außerdem daran, in die Tiefen des sogenannten Darknets vorzustoßen, um den jüngsten Bedrohungen und erfolgten Angriffen auf die Spur zu kommen.
Angreifbare Fax-Geräte
Im August 2018 entdeckten Sicherheitsforscher eine neue Angriffsmöglichkeit auf die IT-Infrastruktur vieler Unternehmen. Als Einfallstor diente die Fax-Nummer. Da Fax-Geräte noch weit verbreitet sind – vor allem als Teil eines Multifunktionsdruckers – war diese Entdeckung so aufsehenerregend wie beunruhigend. Den Spezialisten gelang es über die Telefonleitung mithilfe der Fax-Nummer einen solchen Drucker zu infizieren und unter Kontrolle zu bringen. Danach standen den Angreifern alle Möglichkeiten zur Verfügung, um angeschlossenen Geräte und Computer zu infizieren und so das Netzwerk für ihre Zwecke zu missbrauchen.
Bald darauf zog der größte britische Käufer von Fax-Geräten Konsequenzen aus dem Bericht: Die Regierungsbehörde National Health Service wurde von der englischen Regierung angewiesen, bis 31. März 2020 alle Fax-Geräte zu entsorgen und durch moderne Methoden zu ersetzen.
Krypto-Mining-Angriffe lösen Ransomware ab
Neben Ransomware zur Erpressung von Lösegeld für gesperrte Daten kam außerdem das Krypto-Jacking stärker in Mode. Die Methode verspricht nicht den schnellen Erfolg, sondern große Vorteile auf längere Zeit und lässt sich darum auch besser verstecken als die brachiale Ransomware. Netzwerke werden infiziert und die Rechenleistung ihrer Server missbraucht, um Krypto-Währung zu schürfen. Im schlimmsten Fall kommt es sogar zum Denial of Service (DoS). Bereits im Januar 2018 versuchte die Malware „RubyMiner“ ungefähr 30 Prozent aller Netzwerke auf der Welt zu infizieren – in weniger als 24 Stunden. Unter den am stärksten betroffenen Ländern war Deutschland vertreten.
Schon einen Monat später stießen die Sicherheitsforscher auf eine der größten dieser „Minning Operations“, die als „JenkinsMiner campaign“ bekannt wurde. Ziel der Attacke war Jenkins, der führende Server, der dabei hilft, Prozesse in der Softwareentwicklung zu automatisieren – ein Open-Source-Projekt. Coins im Wert von über 3 Millionen US-Dollar wurden bis Mitte Februar illegal geschürft.
Zusätzlich untersuchten die Sicherheitsforscher das Schadprogramm „King Miner“. Entdeckt wurde es im Juni 2018, kurz darauf folgten bereits zwei verbesserte Versionen, die auf verschiedenen Wegen trickreich an Sandboxen und Schutzsystemen vorbei gelangten. Die Nutzung von KingMiner nahm im Lauf des Jahres zu.
Mobile Sicherheit ist mehr als sichere App-Entwicklung
Auch der Mobile-Sektor war Angriffen ausgesetzt, denen die Sicherheitsforscher auf die Schliche kamen. Die Geräte selbst boten Einfallstore, insbesondere der Aktualisierungsprozess der Tastatur auf mobilen Geräten von LG eignete sich gut, um Smartphones zu infizieren. Keylogger hätten Zugriff auf sensible Daten, wie Benutzerkonten und Passwörter erhalten können.
Der Fall „Man in the disk“ alarmierte zudem viele App-Entwickler. Die Sicherheitsforscher fanden heraus, welche Gefahren in der bisherigen Herangehensweise lauern, wie jene den externen Speicher der Endgeräte, also SD-Karten und dergleichen, nutzen. Auf diesen greifen viele Anwendungen zu, obwohl er nicht durch die in Android integrierte Sandbox geschützt wird.
Eine perfide Methode für einen Angriff auf Smartphones zeigte sich im Jahr 2018 zudem, als über 60 Apps für Kinder, die über den offiziellen Google Play Store angeboten wurden – darunter Spiele – die Geräte mit der Malware „Adult Swine“ infizierten. Diese zeigte Werbung für Pornos und dergleichen auf den Bildschirmen an. Hinzu kam, dass trotz der Anstrengungen von Google, den Play Store zu sichern, Schadprogramme sich unentdeckt in 22 Apps für Taschenlampen aufhielten. Knapp 7,5 Millionen Mal wurden sie von Anwendern nichtsahnend heruntergeladen.
Wie leicht es die Hacker oft haben, fanden die Sicherheitsforscher heraus, als es deren Kommunikation überprüfte. Statt sich altmodisch in Foren herumzutreiben, setzen viele Kriminelle auf den Chat-Dienst „Telegram“. Der arbeitet verschlüsselt und anonymisiert die Benutzer. Das macht es den Drahtziehern hinter Cyberattacken einfach, Hacker anzuwerben oder entsprechende Programme zu verkaufen. Im April vergangenen Jahres entdeckten die Spezialisten ein Phishing-Kit, dass gut ausgearbeitet war und es auf die Kreditkarten von Internetnutzern abgesehen hatte. An derlei Programme kommen Hacker sehr simpel und billig heran.
Das Thema Fake News dominiert viele Diskussionen und stieß in Form einer Sicherheitslücke von WhatsApp im vergangenen Jahr auf einen guten Nährboden. Die Bedrohung bekam schnell den Namen „FakesApp“, da sie den Angreifern ermöglichte, in Chats einzugreifen und Nachrichten zu manipulieren, um falsche Informationen gezielt zu verbreiten.
Die Cloud als Einfallstor
Wie vielfältig die Bereiche sind, die die Sicherheitsforscher abdecken und die gleichzeitig von Angriffen bedroht werden, belegt auch der Bericht, dass die Cloud des weltweit führenden Herstellers von Drohnen, DIJ, gefährliche Sicherheitslücken aufwies. Aufgrund eines Flüchtigkeitsfehlers im Prozess der Benutzeranmeldung hätte ein Hacker Zugriff auf die Bilder, Log-Dateien, Videos und sogar Live-Aufnahmen der Drohnenkamera erhalten können.
„Jede Information über das jüngste Vorgehen von Hackern oder über mögliche Sicherheitslücken ist kostbar, um auf neue Arten von virtuellen Angriffen und Bedrohungen rechtzeitig reagieren zu können.“
Dietmar Schnabel, Check Point
Ein prominenter, privater Spionagefall drehte sich um die Fußballweltmeisterschaft. Getarnte Phishing-Links und eine gefälschte Spielplan-App infizierten die Mobiltelefone vieler Fans. Auch in diesem Fall hatten es die Angreifer auf intime Daten abgesehen.
Fazit
Diese Berichte über die Aktivitäten und Erfolge verdeutlichen, wie wichtig es ist, dass die IT-Sicherheit noch stärker beachtet und bedacht werden muss. Gerade solche Aufklärungsarbeit bringt viele verborgene Sicherheitslücken ans Tageslicht, birgt jedoch das Risiko, dass Angreifer die Berichte natürlich ebenso lesen und ihren Nutzen daraus ziehen können. Die Entwicklung der Ransomware „GandCrab“ ist ein eindrucksvolles Beispiel dafür. Dessen sind sich die Spezialisten bewusst. Doch sind sie überzeugt, dass ihre schnelle, umfangreiche Analyse neuer Bedrohungen und Sicherheitslücken wesentlich dazu beiträgt, die Internetstrukturen der Unternehmen besser zu schützen. Auch 2019 setzt die Gruppe ihre Arbeit daher fort und will laufend über die neuesten Ergebnisse berichten.