Es ist wieder einmal Zeit für den traditionellen Jahresrückblick von Kaspersky Lab. In diesem Jahr stehen Ereignisse im Fokus, die die Bedrohungslandschaft im Jahr 2013 geprägt haben.
Wolkige Aussichten, mit Malware-Wahrscheinlichkeit
Alter, wo ist meine Privatsphäre?!
Wem trauen wir?
Cyber-Erpressung
Mac OS-Malware
Mobile Malware
Sicherheitslücken und Exploits
Urteilen Sie selbst, wie richtig wir mit unseren Vorhersagen lagen und werfen Sie einen Blick auf unsere Top-10 der Security-Stories 2013!
Die zehn ultimativen Security-Stories des Jahres 2013
1. Neue „alte” Cyberspionage-Kampagnen
In einer Retrospektive auf das Jahr 2013 mag man Geschichten erwarten, die sich auch in diesem Jahr zugetragen haben. Doch wenn es um zielgerichtete Attacken geht, ist es nicht ganz so einfach. Oftmals liegen die Ursprünge der Kampagnen weit vor der Zeit, zu der sie bekannt, analysiert und öffentlich gemacht werden. Sie werden sich vielleicht daran erinnern, dass es auch bei Stuxnet so war – je gründlicher wir den Schädling analysierten, desto weiter in die Vergangenheit mussten wir seinen Ursprung datieren. Dasselbe gilt für einige der großen Cyberspionage-Kampagnen, mit denen es das Kaspersky-Team in diesem Jahr zu tun hatte.
Roter Oktober ist eine Cyberspionage-Kampagne, die hunderte Opfer weltweit betraf, darunter Regierungsorganisationen, diplomatische Einrichtungen und Forschungsinstitutionen, Energiekonzerne sowie Handels- und Weltraumorganisationen. Die Malware ist überaus hoch entwickelt – unter anderem verfügt sie über einen „Wiederbelebungsmodus“, der es dem Schädling ermöglicht, Computer immer wieder zu infizieren. Der Code ist sehr modular, wodurch ihn die Angreifer problemlos auf jedes einzelne Ziel passend zuschneiden können. Interessanterweise sammelte Roter Oktober nicht nur Informationen von traditionellen Endgeräten, sondern auch von mobilen Geräten, die mit den Netzwerken der Opfer verbunden waren – ein klares Eingeständnis der Cyberkriminellen, dass mobile Geräte eine Kernkomponente des heutigen Geschäftslebens sind und wertvolle Informationen enthalten. Kaspersky Lab veröffentlichte die Ergebnisse seiner Analyse im Januar 2013, doch es steht fest, dass die Kampagne auf das Jahr 2008 zurückdatiert.
Ziele von Roter Oktober
Im Februar veröffentlichte Kaspersky Lab die Analyse von MiniDuke, einem Schädling, der entwickelt wurde, um Daten von Regierungsorganisationen und Forschungsinstitutionen zu stehlen. Unsere Analyse deckte 59 prominente, vom Schädling angegriffene Organisationen in 23 Ländern auf, darunter in der Ukraine, Belgien, Portugal, Rumänien, der Tschechischen Republik, Irland, Ungarn und den USA. Wie viele zielgerichtete Attacken kombinierte auch MiniDuke den Einsatz von althergebrachten Social-Engineering-Tricks mit raffinierten Techniken. So enthielt MiniDuke beispielsweise das erste Exploit, das in der Lage ist, die Sandbox im Adobe Acrobat Reader zu umgehen. Zusätzlich erhielten die kompromittierten Endgeräte über eigens eingerichtete Twitter-Accounts Anweisungen vom Command-and-Control-Server (und der Schädling nutzte zudem die Google-Suche als Reservefunktion).
Im März erfuhren die Kaspersky-Experten von einer Angriffswelle, die sich gegen hochrangige Politiker und Menschenrechtsaktivisten in den GUS-Staaten und Osteuropa richtete. Die Angreifer nutzen das Remote-Administrationstool TeamViewer, um die Computer ihrer Opfer zu kontrollieren, daher wurde die Operation unter der Bezeichnung „TeamSpy“ bekannt. Der Sinn und Zweck dieser Angriffe war das Sammeln von Informationen auf den kompromittierten Computern. Wenn auch nicht so ausgefeilt und hochentwickelt wie Roter Oktober, NetTraveler und andere Attacken, war diese Kampagne doch erfolgreich – was wiederum beweist, dass nicht alle erfolgreichen zielgerichteten Attacken auf komplett neuem Code basieren müssen.
NetTraveler (auch bekannt als „NetFile“), über den wir im Juni berichteten, ist eine weitere Bedrohung, die zum Zeitpunkt ihrer Entdeckung schon seit langer Zeit aktiv war – in diesem Fall seit 2004.
Diese Kampagne diente dem Diebstahl von Daten, die mit Weltraumforschung, Nanotechnologie, Energiegewinnung, Atomkraft, Lasertechnik, Medizin und Telekommunikation zu tun haben. NetTraveler wurde erfolgreich eingesetzt, um mehr als 350 Organisationen in 40 Ländern zu kompromittieren, unter anderem in Russland, der Mongolei, Indien, Kasachstan, Kirgisien, China, Tadschikistan, Südkorea, Spanien und Deutschland. Die Ziele waren sowohl staatliche als auch private Organisationen, einschließlich Regierungsbehörden, Botschaften, Öl- und Gasunternehmen, Forschungszentren, Militärlieferanten sowie einzelne Aktivisten.
Wenn Ihre Organisation nie Ziel einer Attacke war, ist es einfach, sich einzureden, dass einem so etwas nie passieren wird, oder dass das meiste, was man über Malware hört, reine Übertreibung ist. Es ist einfach, die Schlagzeilen zu lesen und zu dem Schluss zu kommen, dass zielgerichtete Angriffe ausschließlich ein Problem großer Organisationen sind. Aber nicht alle Angriffe richten sich gegen prominente Ziele oder gegen solche, die mit „kritischer Infrastruktur“ in Verbindung stehen. Die Wahrheit ist, dass jede Organisation Opfer einer Attacke werden kann. Jede Organisation, die Daten besitzt, die für Cyberkriminelle von Wert sein oder die als Sprungbrett in andere Unternehmen genutzt werden könnten. Dieser Punkt wurde von den Winnti- und Icefog-Attacken anschaulich demonstriert.
Im April veröffentlichten wir einen Bericht über die Cyberkriminellen-Bande „Winnti“. Diese Gruppe ist seit 2009 aktiv und hat sich auf den Diebstahl von digitalen Zertifikaten spezialisiert, die von legitimen Softwareanbietern signiert wurden, sowie auf den Diebstahl von geistigem Eigentum (unter anderem Quellcode für Online-Gaming-Projekte). Der von dieser Bande verwendete Trojaner ist eine für 64-Bit-Umgebungen kompilierte DLL-Bibliothek. Sie nutzt einen ordnungsgemäß signierten Treiber und fungiert als voll funktionsfähiges Remote-Administrations-Tool, das den Angreifern die vollständige Kontrolle über einen kompromittierten Computer verschafft. Insgesamt haben wir mehr als 30 Unternehmen aus der Online-Gaming-Branche identifiziert, die von der Aktivität der Gruppe in Mitleidenschaft gezogen wurden. Die meisten befinden sich in Südostasien, aber auch Firmen in Deutschland, den USA, Japan, China, Russland, Brasilien, Peru, Weißrussland und Großbritannien waren betroffen. Die „Winnti“-Gruppe ist noch immer aktiv.
Die Icefog-Attacken, die Kaspersky Lab im September öffentlich bekannt machte (und die im folgenden Abschnitt besprochen werden), richteten sich gegen Lieferketten sowie gegen sensible Daten innerhalb des angegriffenen Netzwerks. Es wurden aber auch Anmeldedaten für E-Mail-Accounts und Netzwerke von Ressourcen außerhalb des angegriffenen Netzwerks zusammengetragen.
2. Cyber-Söldner - ein neuer Trend
Auf den ersten Blick scheint Icefog wie alle anderen auch eine zielgerichtete Attacke zu sein. Es handelt sich hierbei um eine seit 2011 aktive Cyberspionage-Kampagne, die sich hauptsächlich gegen Ziele in Südkorea, Taiwan und Japan, aber auch gegen solche in den USA, Europa und China richtet. So setzen die Angreifer typischerweise Spear-Phishing-Mails ein, die entweder Anhänge oder Links auf schädliche Webseiten enthalten, um so die Malware an die Nutzer zu bringen. Wie bei allen derartigen Attacken ist es schwer, mit Sicherheit zu sagen, wie viele Anwender betroffen sind, doch das Kaspersky-Team konnte mehrere Dutzend betroffene Windows-PCs und mehr als 350 Rechner unter Mac OSX identifizieren (die meisten der letztgenannten in China).
Allerdings gibt es einige herausragende Merkmale, die diese Attacke von denen unterscheidet, über die wir eingangs berichteten. Erstens ist Icefog Teil eines aufkommenden Trends – Angriffe kleiner Gruppen von Cybersöldnern, die schnell zuschlagen und danach sofort wieder verschwinden. Zweitens greifen die Verbrecher ganz gezielt die Lieferkette an: Unter den Opfern waren Regierungsinstitutionen, Militärlieferanten, Reedereien, Telekommunikationsanbieter, Satellitenbetreiber, Industrie- und Hightech-Unternehmen sowie Massenmedien. Drittens stützen sich ihre Kampagnen auf maßgeschneiderte Cyberspionage-Tools für Windows und Mac OS X, und sie kontrollieren die kompromittierten Computer direkt. Zudem hat Kaspersky Lab beobachtet, dass die Cyberkriminellen neben Icefog auch Backdoors und andere schädliche Werkzeuge als Quereinstieg innerhalb der Zielorganisationen und zum Ausschleusen von Daten nutzen.
Die chinesische Gruppe „Hidden Lynx“, über deren Aktivität die Experten von Symantec im September berichteten, fallen in dieselbe Kategorie – „Söldner“, die Angriffe mit Hilfe von innovativen maßgeschneiderten Tools durchführen. Diese Gruppe war unter anderem für eine Attacke auf Bit9 in diesem Jahr verantwortlich.
Wir nehmen an, dass die Zahl solcher Gruppen künftig steigen wird, da sich nach und nach ein Schwarzmarkt für „APT“-Dienstleistungen bildet.
3. Hacktivismus und Lecks
Der Diebstahl von Geld – entweder direkt über den Zugriff auf Bankkonten oder indirekt durch den Diebstahl von vertraulichen Daten – ist nicht das einzige Motiv für Hackerangriffe. Sie können auch eine Form des politischen oder sozialen Protests sein oder den Sinn haben, die Reputation des angegriffenen Unternehmens zu untergraben. Tatsache ist, dass das Internet heute nahezu jeden Aspekt des Lebens durchdringt. Für jemanden mit den entsprechenden Fähigkeiten ist es unter Umständen einfacher, eine Attacke auf eine kommerzielle Webseite oder die Online-Ressource einer Regierung durchzuführen, als eine Protestaktion oder Demonstration in der realen Welt zu koordinieren.
Eine Art dieser Angriffe sind DDoS-Attacken (Distributed Denial of Service). Eine der größten derartigen Angriffe in der Geschichte (einige würden behaupten, es war DIE größte schlechthin) richtete sich im März gegen Spamhaus. Es wird geschätzt, dass die Attacke in der Spitze einen Datendurchsatz von 300 GB pro Sekunde erreichte. Eine der Organisationen, die verdächtigt wurde, hinter dem Angriff zu stecken, hieß Cyberbunker. Der Konflikt zwischen dieser Organisation und Spamhaus geht zurück bis in das Jahr 2011, erreichte jedoch seinen Höhepunkt, als Cyberbunker einige Wochen vor dem Vorfall von Spamhaus auf die Schwarze Liste gesetzt wurde. Die Besitzer von Cyberbunker wiesen die Vorwürfe zurück, traten jedoch als Sprecher für die für den Angriff verantwortlichen Hacker auf. Die Attacke wurde eindeutig von jemandem durchgeführt, der in der Lage ist, Unmengen von Traffic zu generieren. Um die Auswirkungen der Attacke abzumildern, war Spamhaus gezwungen, zu CloudFlare zu wechseln, einem Hosting- und Serviceprovider, der dafür bekannt ist, groß angelegte DDoS-Attacken abzuwehren. Während einige der Schlagzeilen mit dem Tenor „Die Welt wird nie wieder so sein, wie sie einmal war“ die Folgen dieses Ereignisses sicherlich überbewerteten, hat der Vorfall dennoch gezeigt, was für einen Einfluss ein fest entschlossener Angreifer haben kann.
Während der Angriff auf Spamhaus ein isolierter Vorfall zu sein scheint, haben sich laufende Hacktivisten-Aktionen von Gruppen, die schon seit längerem aktiv sind, auch in diesem Jahr fortgesetzt. Dazu gehört auch „Anonymous“. Im Jahr 2013 hat diese Gruppe die Verantwortung für Attacken auf das US-Justizministerium, das MIT (Massachusetts Institute of Technology) sowie auf die Webseiten von diversen Regierungen übernommen, unter anderem von Polen, Griechenland, Singapur, Indonesien und Australien (die letzten zwei Vorfälle schließen einen Austausch der Anonymous-Gruppen in den jeweiligen Ländern ein). Die Gruppe behauptet zudem, das WLAN-Netz des britischen Parlaments während der Proteste auf dem Parliament Square in der ersten Novemberwoche gehackt zu haben.
Auch die so genannte „Syrian Electronic Army“ (Unterstützer des syrischen Präsidenten Bashar-al-Assad) waren über das Jahr aktiv. Im April übernahmen sie die Verantwortung für den Hack des Twitter-Accounts der Nachrichtenagentur Associated Press und für das Senden eines gefälschten Tweets über eine Explosion im Weißen Haus – wodurch der US-amerikanische Aktienindex DOW vorübergehend 136 Milliarden Dollar an Wert verlor. Im Juli kompromittierte die Gruppe die Gmail-Accounts dreier Mitarbeiter des Weißen Hauses und den Twitter-Account von Thomson Reuters.
Es ist klar, dass unsere Abhängigkeit von der Technik kombiniert mit den enormen Rechenleistungen heutiger Computer bedeutet, dass wir potenziell durch Personengruppen mit den unterschiedlichsten Motiven angreifbar sind. Daher ist es unwahrscheinlich, dass Hacktivisten und alle anderen, die Organisationen aller Art angreifen, ihre Aktivitäten in nächster Zeit einstellen werden.
4. Ransomware
Die Methoden, mit deren Hilfe Cyberkriminelle ihre Opfer um ihr Geld bringen, sind keineswegs immer subtil. Programme des Typs „Ransomware“ lösen so etwas wie eine Computer-spezifische „Denial-of-Service“-Attacke aus – sie blockieren den Zugriff auf das Dateisystem eines Computers oder verschlüsseln die auf dem Rechner gespeicherten Daten. Der Modus Operandi kann dabei variieren. In Regionen, in denen Software-Piraterie verbreitet ist, würden die Erpresser-Trojaner, also Ransomware, vielleicht behaupten, dass sie unlizenzierte Software auf dem Computer gefunden haben und Geld für die Wiederherstellung des Zugriffs auf den Computer verlangen. An anderen Orten zeigen diese Schädlinge Pop-up-Benachrichtigungen an, die angeblich von der Polizei stammen und in denen behauptet wird, dass auf dem Computer Kinderpornografie oder andere illegale Inhalte gefunden wurden, und verlangen die Zahlung einer Strafe. Manchmal verzichten die Cyberkriminellen aber auf jegliche List – die Daten werden einfach verschlüsselt und für die Dechiffrierung wird Geld verlangt. So geschehen im Fall des Trojaners Cryptolocker, den Kaspersky Lab im Oktober analysierte.
Cryptolocker lädt einen öffentlichen RSA-Schlüssel von seinem Command-and-Control-Server (C2). Für jedes neue Opfer wird ein individueller Schlüssel erstellt, und nur die Autoren haben Zugriff auf die Dechiffrierungsschlüssel. Zur Verbindung mit dem C2-Server verwendet Cryptolocker einen Domain-Erzeugungsalgorithmus, der täglich 1.000 potenziell einzigartige Domain-Namen generiert. Die Cyberkriminellen geben ihren Opfern nur drei Tage Zeit, um sich freizukaufen – dabei erschrecken sie ihre Opfer mit furchteinflößenden Mitteilungen, die besagen, dass ihre Daten für immer verloren seien, wenn sie nicht rechtzeitig bezahlen. Die Cyberkriminellen akzeptieren unterschiedliche Zahlungsarten, darunter auch Bitcoins. Am stärksten von dieser Bedrohung betroffen waren Großbritannien und die USA, mit einigem Abstand gefolgt von Indien, Kanada und Australien.
Opfer pro Land – Top-30
In diesem Fall ist es nicht schwer, die Malware zu entfernen oder das infizierte System wiederherzustellen, aber die Daten können für immer verloren sein. In der Vergangenheit hat es das Kaspersky-Team manchmal geschafft, die gekaperten Daten zu entschlüsseln. Aber das ist nicht immer möglich, insbesondere, wenn die Verschlüsselung besonders stark ist, wie im Fall von einigen Gpcode-Varianten. Das gilt auch für Cryptolocker. Daher ist es wichtig, dass Heimanwender und Unternehmen regelmäßig Backups erstellen. Gehen dann Daten – aus welchem Grund auch immer – verloren, wird dann aus einer Unannehmlichkeit nicht automatisch ein Desaster.
Cryptolocker war nicht das einzige Erpresser-Programm, das dieses Jahr Schlagzeilen machte. Im Juni hatten es die Kaspersky-Experten mit einer Android-App namens „Free Calls Update“ zu tun – einem gefälschten Antiviren-Programm, das seine Opfer dazu bringen soll, Geld für das Entfernen nicht existierender Malware zu zahlen. Einmal auf dem Gerät installiert, versucht die App Administratoren-Rechte zu erhalten. Dadurch ist sie in der Lage, die WiFi- und 3G-Module ein- und auszuschalten und kann das Opfer daran hindern, die App einfach zu entfernen. Die Installationsdatei wird hinterher gelöscht, um so zu vermeiden, dass eventuell auf dem Gerät installierte echte Antiviren-Programme das Schadprogramm entdecken. Die App gibt vor, Malware zu identifizieren und fordert das Opfer auf, eine Lizenz für die Vollversion zu kaufen, um die Schadsoftware zu entfernen. Während die App läuft, informiert sie den Nutzer darüber, dass Malware versucht, pornografische Inhalte vom Telefon zu stehlen.
5. Mobile Malware und App-Store-(Un)sicherheit
Die explosive Zunahme der mobilen Malware, die im Jahr 2011 einsetzte, hat sich auch dieses Jahr fortgesetzt. Es gibt nun über 148.427 mobile Malware-Modifikationen in 777 Familien. Die überwiegende Mehrheit von ihnen richtet sich wie auch schon in den letzten Jahren gegen Android – 98,05 Prozent der mobilen Schadprogramme greifen diese Plattform an. Das ist auch nicht verwunderlich, denn sie ist für Cyberkriminelle wie geschaffen: Android ist weit verbreitet, es lassen sich problemlos Programme dafür entwickeln, und Leute, die Android-Geräte verwenden, können Programme (inklusive Malware) von wo auch immer herunterladen. Dieser letzte Punkt ist sehr wichtig: Cyberkriminelle nutzen die Tatsache aus, dass Nutzer Apps von Google Play, von anderen Marktplätzen oder von anderen Webseiten downloaden. Das ermöglicht es Cyberkriminellen auch, ihre eigenen Fake-Webseiten zu erstellen, die als legitime App Stores getarnt sind. Daher ist es überaus unwahrscheinlich, dass in Zukunft weniger schädliche Android-Apps entwickelt werden.
Schadprogramme, die mobile Geräte angreifen, sind ein Spiegel der Malware, die normalerweise auf infizierten Desktop-Rechnern und in Backdoors gefunden wird: Trojaner und Spionage-Trojaner. Die einzige Ausnahme sind trojanische SMS-Programme – eine exklusive Smartphone-Kategorie.
Die Bedrohung nimmt nicht nur mengenmäßig zu. Die Kaspersky-Experten beobachten zudem eine wachsende Komplexität. Im Juni analysierten wir den raffiniertesten mobilen Trojaner, den wir je gesehen haben, das trojanische Programm Obad. Dessen Bedrohung ist multifunktional: Obad schickt Nachrichten an Premium-Nummern, lädt und installiert andere Schadprogramme, nutzt Bluetooth, um sich selbst an andere Geräte zu senden und führt Befehle an der Konsole aus. Der Code ist stark verschleiert und nutzt drei vorher unbekannte Sicherheitslücken aus, darunter eine, die es dem Trojaner erlaubt, die erweiterten Rechte eines Geräteadministrators zu erhalten – allerdings ohne dabei in der Liste der Programme zu erscheinen, die diese Rechte haben. So wird es dem Opfer unmöglich, die Malware einfach von seinem Gerät zu entfernen. Außerdem ist der Trojaner dadurch in der Lage, den Bildschirm zu blockieren. Er macht das für nicht länger als 10 Sekunden, doch das reicht dem Schädling aus, sich selbst (und andere Malware) an die umliegenden Geräte zu senden – ein Trick, der verhindern soll, dass das Opfer die Aktivität des Trojaners registriert.
Obad setzt außerdem mehrere Verbreitungsmethoden ein. Auf die Nutzung von Bluetooth haben wir bereits hingewiesen. Zusätzlich verbreitet er sich über einen gefälschten Google Play-Store mittels Spam-SMS und durch die Umleitung auf gehackte Webseiten. Zu allem Überfluss wird Obad auch noch von einem weiteren mobilen Trojaner ausgeliefert, und zwar Opfake.
Die Cyberkriminellen hinter Obad können den Trojaner so steuern, dass er vordefinierte Text-Strings in den Kurzmitteilungen benutzt. Der Schädling kann verschiedene Aktionen ausführen, unter anderem SMS versenden, einen Ping an eine bestimmte Ressource schicken, als Proxy-Server agieren, sich mit einer speziellen Adresse verbinden, eine bestimmte Datei herunterladen und installieren, eine Liste der auf dem Gerät installierten Apps senden, Informationen über eine bestimmte App verschicken, die Kontakte des Opfers an den Server schicken und Befehle vom Server ausführen.
Der Trojaner sammelt Daten über das Gerät und schickt sie an den Command-und-Control-Server. Dazu zählen unter anderem die MAC-Adresse des Gerätes, der Gerätename, die IMEI, das Kontoguthaben, die lokale Zeit sowie Informationen darüber, ob der Trojaner die Rechte eines Geräteadministrators erhalten hat oder nicht. Alle diese Daten werden auf den C2 von Obad hochgeladen: Der Trojaner versucht zuerst, eine aktive Internetverbindung zu nutzen. Ist keine verfügbar, sucht er nach der nächstgelegenen WLAN-Verbindung, die keine Authentifizierung erfordert.
6. Wasserloch-Attacken
Sicher sind Ihnen die Begriffe „Drive-by-Download“ und Spear-Phishing vertraut. Im erstgenannten Fall suchen Cyberkriminelle nach unsicheren Webseiten und pflanzen ein schädliches Skript in deren HTTP- oder PHP-Code. Dieses Skript kann Schadsoftware auf dem Computer eines Nutzers installieren, der die Webseite besucht, oder es kann ein IFrame verwenden, um den Computer auf eine schädliche Webseite umzuleiten, die von Cyberkriminellen kontrolliert wird. Spear-Phishing ist eine zielgerichtete Form des Phishings, die Cyberkriminelle häufig als Einfallstor für zielgerichtete Attacken einsetzen. Dazu wird eine E-Mail an eine spezielle Person in einer Zielorganisation gesendet, in der Hoffnung, dass diese auf einen in der E-Mail enthaltenen Link klickt oder einen Anhang öffnet, der den Code der Angreifer ausführt und ihnen hilft, einen Fuß in die Tür des Unternehmens zu bekommen.
Kombiniert man diese beiden Ansätze (also Drive-by-Downloads und Spear-Phishing), ergibt das eine „Watering-Hole“- oder auch „Wasserloch“-Attacke. Die Angreifer studieren das Verhalten der Mitarbeiter einer bestimmten Firma oder Organisation, um etwas über deren Surfeigenschaften zu erfahren. Daraufhin kompromittieren sie eine Webseite, die von den entsprechenden Mitarbeitern regelmäßig frequentiert wird – möglichst eine, die von einer vertrauenswürdigen Organisation betrieben wird und eine wertvolle Informationsquelle darstellt. Idealerweise verwenden die Angreifer ein Zero-Day-Exploit. Besucht also ein Mitarbeiter eine solche Webseite, wird sein Computer infiziert, typischerweise mit einer Backdoor, die den Angreifern Zugriff auf das interne Netzwerk des Unternehmens verschafft. Anstatt das Opfer also zu jagen, legen sich die Cyberkriminellen in diesem Fall an einem Ort auf die Lauer, den das Opfer mit hoher Wahrscheinlichkeit besuchen wird – daher die Bezeichnung Wasserloch.
Diese Methode hat sich in diesem Jahr für Cyberkriminelle als erfolgreich erwiesen. Kurz nach Veröffentlichung ihres Berichts über die Winnti-Attacken entdeckten die Kaspersky-Experten ein Flash-Player-Exploit auf der Webseite der „Tibetan Homes Foundation“, einer wohltätigen Institution, die tibetanische Flüchtlingskinder unterstützt. Es zeigte sich, dass diese Webseite kompromittiert wurde, um Backdoors zu verbreiten, die mit gestohlenen Zertifikaten aus dem Winnti-Fall signiert waren. Ein Beispiel für eine Wasserloch-Attacke wie aus dem Lehrbuch: Die Cyberkriminellen hatten die von ihren Opfern bevorzugten Webseiten ausgekundschaftet und diese gehackt, um deren Computer zu infizieren. Im August hatte es das Kaspersky-Team erneut mit dieser Technik zu tun, als Code auf der Webseite der „Central Tibetan Administration“ die Computer chinesischsprachiger Besucher auf ein Java-Exploit umleitete, das wiederum eine Backdoor installierte, die Teil einer zielgerichteten Attacke war.
Im September waren dann Wasserloch-Attacken gegen eben diese Gruppen Teil der NetTraveler-Kampagne.
Wichtig ist, darauf hinzuweisen, dass Wasserloch-Attacken nur eine von Cyberkriminellen eingesetzte Methode ist, und kein Ersatz für das Spear-Phishing und andere Methoden. Zudem sind die oben erwähnten Attacken nur ein Teil einer Angriffsserie auf Webseiten von Tibetanern und Uiguren, die sich über mindestens zwei Jahre erstreckt.
Alle diese Attacken sind ein weiterer Beleg für die Tatsache, dass nicht nur multinationale Konzerne oder prominente Organisationen zielgerichteten Angriffen zum Opfer fallen können.
7. Die Notwendigkeit, das schwächste Glied in der Kette neu zu schmieden
Viele der heutigen Bedrohungen sind absolut hochentwickelt. Das gilt insbesondere für zielgerichtete Attacken, wenn Cyberkriminelle Exploit-Code entwickeln, um noch nicht geschlossene Programmschwachstellen auszunutzen oder maßgeschneiderte Module erstellen, die ihnen den Datendiebstahl erleichtern. Trotzdem ist und bleibt die von Angreifern ausgenutzte Schwachstelle Nummer eins der Mensch. Die Verbrecher setzen Social-Engineering-Tricks ein, um Mitarbeiter einer bestimmten Organisation dazu zu bringen, etwas zu tun, was die Unternehmenssicherheit untergräbt. Menschen sind aus unterschiedlichen Gründen für solche Ansätze anfällig. Manchmal erkennen sie die Gefahr schlichtweg nicht. Manchmal ist es die Hoffnung, irgendetwas umsonst zu bekommen. Manchmal ist es einfach Bequemlichkeit, weil sie beispielsweise ein und dasselbe Passwort für alles Mögliche benutzen.
Viele der prominenten zielgerichteten Attacken, die Kaspersky Lab in diesem Jahr analysiert hat, begannen mit einem „Hack des Menschen“. Roter Oktober, die Angriffsserie auf tibetanische und uigurische Aktivisten, MiniDuke, NetTraveler und Icefog haben sich alle mittels Spear-Phishing Zutritt zu den angegriffenen Organisationen verschafft. Die Cybergangster nähern sich den betreffenden Mitarbeitern mit Hilfe von Informationen, die sie an unterschiedlichen Orten zusammengetragen haben: auf der Webseite des Unternehmens, in öffentlichen Foren und beim Durchsieben der verschiedenen Info-Schnipsel, die Leute heutzutage in Sozialen Netzwerken hinterlassen. Dadurch sind die Cyberkriminellen in der Lage, E-Mails zu erstellen, die einen legitimen Eindruck machen und die Mitarbeiter unvorbereitet erwischen.
Sicherlich verfolgen auch solche Cybergangster diesen Ansatz, die hinter der Masse von willkürlichen, spekulativen Attacken stecken, welche die Mehrheit der cyberkriminellen Aktivität ausmachen –Phishing-Mails, die en Gros an eine Unmenge von Empfängern gesendet werden.
Social Engineering kann zudem in der realen Welt angewandt werden, und diese Dimension wird manchmal einfach übersehen. Das wurde im Jahr 2013 besonders deutlich, als Verbrecher versuchten, KVM-Switches in den Filialen zweier britischer Banken zu installieren. In beiden Fällen tarnten sich die Angreifer als Monteure, um physischen Zugriff auf die Bank zu erhalten und das Equipment zu installieren. Das hätte es ihnen ermöglicht, die Netzwerkaktivität zu verfolgen. Mehr über diese Vorfälle finden Sie hier und hier.
Das Social-Engineering-Problem wurde im September auch von unserem Kollegen David Jacoby näher beleuchtet: In Stockholm führte er ein kleines Experiment durch, um festzustellen, wie leicht es ist, Zugriff auf Geschäftssysteme zu erlangen, indem man die Bereitschaft der Mitarbeiter ausnutzt, um einem Fremden in Not zu helfen. Davids Bericht dazu finden Sie hier.
Leider ignorieren Unternehmen bei Sicherheitsfragen häufig den menschlichen Faktor. Selbst wenn die Notwendigkeit der Mitarbeiteraufklärung erkannt wird, sind die Umsetzungsmethoden meist ineffektiv. Denn wir ignorieren den menschlichen Faktor in der Unternehmenssicherheit auf eigene Gefahr, obwohl es nur allzu klar ist, dass Technologie allein keine Sicherheit garantieren kann. Daher ist es für alle Organisationen überaus wichtig, das Sicherheitsbewusstsein zu einem Kernstück ihrer Sicherheitsstrategie zu machen.
8. Verlust der Privatsphäre: Lavabit, Silent Circle, NSA und der Vertrauensverlust
Kein Rückblick auf die Ereignisse des Jahres 2013 im Bereich IT-Sicherheit wäre vollständig ohne die Erwähnung des Namens Edward Snowden und der weitreichenden Auswirkungen, die die Veröffentlichung der Geschichten über Prism, XKeyscore und Tempora sowie über andere Überwachungsprogramme auf den Datenschutz hat.
Eine der ersten sichtbaren Folgen war die Schließung des verschlüsselten E-Mail-Dienstes Lavabit, über die Kaspersky Lab bereits hier berichtet hat. Silent Circle, ein anderer verschlüsselter E-Mail-Anbieter, hat seinen Service ebenfalls eingestellt und nur sehr wenige Optionen für den privaten und sicheren E-Mail-Verkehr offen gelassen. Der Grund, warum diese beiden Anbieter ihre Tätigkeit eingestellt haben, lag in der Unmöglichkeit, derartige Dienste unter dem Druck der Strafverfolgungs- und Regierungsbehörden anzubieten.
Eine andere Geschichte, die Auswirkungen auf den Datenschutz hat, ist die NSA-Sabotage der vom NIST herausgegebenen Algorithmen der elliptischen Kurvenkryptografie. Anscheinend hat die NSA eine Art Backdoor in den „Dual Elliptic Curve Deterministic Random Bit Generation“-Algorithmus (oder auch Dual EC DRBG) eingeschleust. Die Backdoor ermöglicht es bestimmten Parteien, leichte Attacken gegen ein spezielles Verschlüsselungsprotokoll durchzuführen und so vermutlich die sichere Kommunikation zu unterlaufen. RSA, einer der größten Verschlüsselungsprovider weltweit, wies darauf hin, dass dieser Algorithmus grundlegender Bestandteil seines Verschlüsselungs-Toolkits war und empfahl allen Kunden, es nicht mehr zu nutzen. Der fragliche Algorithmus wurde im Jahr 2006 vom NIST angenommen, nachdem er seit spätestens 2004 verfügbar war und in großem Maßstab verwendet wurde.
Interessanterweise hatte einer der Aufsehen erregenden Vorfälle direkte Auswirkungen auf die Antiviren-Industrie. Im September erklärte Belgacom, ein belgischer Telekommunikationsanbieter, dass er gehackt wurde. Während einer Routineuntersuchung hatten die Mitarbeiter des Unternehmens einen unbekannten Virus auf mehreren Servern und Computern der Mitarbeiter entdeckt. Später kamen Spekulationen über die Herkunft des Virus und der Attacke auf, die in Richtung GCHQ und NSA gingen. Wenngleich Samples des Schadprogramms der Sicherheitsbranche noch nicht zugänglich gemacht wurden, tauchten weitere Details auf, die darauf hindeuteten, dass die Attacke über eine „verseuchte“ LinkedIn-Seite umgesetzt wurde, die wiederum mittels Man-in-the-Middle-Techniken, mit Links auf CNE-Server (Computer Network Exploitation), vermint worden war.
Alle diese Überwachungsgeschichten haben auch Fragen über die Zusammenarbeit zwischen Sicherheitsunternehmen und Regierungen aufgeworfen. Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hat zusammen mit anderen Gruppen am 25. Oktober einen offenen Brief geschrieben, in dem Sicherheitsanbietern eine Reihe von Fragen bezüglich der Erkennung und Blockierung von staatlich geförderter Malware gestellt wird.
Bei Kaspersky Lab verfolgen wir eine einfache und schnörkellose Politik hinsichtlich der Erkennung von Malware: Wir erkennen und wehren jede Art von Schädlingsangriff ab, ungeachtet seines Ursprungs oder Zwecks. Für uns gibt es keine „richtige“ oder „falsche“ Malware. Unser Forschungsteam war an der Entdeckung und Aufklärung mehrerer Malware-Attacken mit Verbindungen zu Nationalstaaten und Regierungen beteiligt. Im Jahr 2012 veröffentlichten wir detaillierte Analysen über Flame und Gauss, zwei der umfassendsten staatlichen Massenüberwachungsaktionen überhaupt. Kaspersky Lab hat zudem öffentlich vor den Risiken der so genannten „legalen“ Überwachungstools gewarnt, genauso wie etwa DaVinci von HackingTeam und FinFisher von Gamma. Es kommt darauf an, dass die Überwachungstools nicht in die falschen Hände geraten, daher kann die IT-Sicherheitsbranche keine Ausnahmen machen, wenn Malware erkannt wird. In der Realität ist es äußerst unwahrscheinlich, dass irgendeine kompetente und bewanderte Regierungsorganisation einen (oder mehrere) Antiviren-Hersteller darum bitten wird, bei bestimmter staatlich gesponserter Malware ein Auge zuzudrücken. Denn es kann überaus leicht passieren, dass die „unentdeckten“ Schadprogramme dann in die falschen Hände geraten und schließlich gegen dieselben Leute eingesetzt werden, die sie entwickelt haben.
9. Sicherheitslücken und Zero-Day-Exploits
Cyberkriminelle nutzen nach wie vor im großen Stil Sicherheitslücken in legitimer Software aus, um Malware-Attacken zu starten. Zu diesem Zweck verwenden sie Exploits – Codefragmente, die geschrieben werden, um einen Programmfehler zur Installation von Schadprogrammen auf einem Computer auszunutzen, ohne dass dessen Besitzer dabei aktiv werden muss. Dieser Exploit-Code kann in einen eigens dafür erstellten E-Mail-Anhang integriert sein oder kann eine Schwachstelle im Browser angreifen. Das Exploit fungiert als Ladeprogramm für die Schadprogramme, die die Cyberkriminellen installieren wollen.
Wenn ein Angreifer eine Sicherheitslücke ausnutzt, die nur ihm bekannt ist – eine so genannte „Zero-Day“-Sicherheitslücke – ist jeder, der die angreifbare Anwendung nutzt, so lange ungeschützt, bis der Hersteller einen Patch entwickelt hat, der die Lücke schließt. Doch in vielen Fällen machen sich Online-Verbrecher auch wohlbekannte Schwachstellen zunutze, für die schon ein Patch veröffentlicht wurde. Das gilt für viele der großen zielgerichteten Attacken des Jahres 2013, eingeschlossen Red October, MiniDuke, TeamSpy und NetTraveler. Das gilt ebenfalls für viele der willkürlichen, spekulativen Angriffe, die den Großteil der Fälle von Cyberkriminalität ausmachen.
Online-Gangster konzentrieren sich auf Anwendungen, die weit verbreitet sind und vermutlich für eine lange Zeit ungepatcht bleiben, so dass ihnen ein großes Zeitfenster zur Verfügung steht, um ihre Ziele zu erreichen. Im Jahr 2013 waren Java-Schwachstellen für etwa 90,52 Prozent der Attacken verantwortlich, während auf Adobe Acrobat Reader 2,01 Prozent entfielen. Das folgt einem bewährten Trend und ist nicht weiter überraschend. Java ist nicht nur auf einer Unmenge von Computern installiert (drei Milliarden laut Oracle), auch die Updates werden nicht automatisch installiert. Adobe Reader wird weiterhin von Cyberkriminellen ausgenutzt, doch die Zahl der Exploits für diese Anwendung ist im Laufe der letzten zwölf Monate deutlich zurückgegangen, und zwar dank der regelmäßigeren (und in den neusten Versionen automatischen) Veröffentlichungen von Patches.
Verteilung von Zero-Day-Exploits auf Anwendungen
Um ihre Angriffsfläche zu verringern, sollten Unternehmen stets die neusten Versionen aller der in ihrem Betrieb verwendeten Programme verwenden, Sicherheitsupdates installieren, sobald sie verfügbar sind, und Software entfernen, die in der Organisation nicht länger gebraucht wird. Risiken können auch durch den Einsatz eines Sicherheitslücken-Scanners reduziert werden, der ungepatchte Anwendungen erkennt, sowie durch die Verwendung einer Anti-Malware-Lösung, die die Nutzung von Exploits in nicht aktualisierten Programmen verhindert.
10. Die Hochs und Tiefs der virtuellen Währungen – wie die Bitcoins die Welt regieren
Im Jahr 2009 veröffentlichte ein Mann namens Satoshi Nakamoto einen Aufsatz, der die Welt der elektronischen Währungen revolutionieren sollte. In der Publikation mit dem Titel „Bitcoin: A Peer-to-Peer Electronic Cash System“ werden die Grundlagen für ein distributives, dezentralisiertes Finanz-Bezahlsystem ohne Transaktionsgebühren definiert. Das Bitcoin-System wurde eingeführt und die Menschen begannen es zu nutzen. Welche Art von Menschen? Zunächst waren es in erster Linie nur Liebhaber dieser Technologie und Mathematiker. Bald aber gesellten sich andere zu ihnen – ganz normale Leute, aber auch Cyberkriminelle und Terroristen.
Noch im Januar 2013 lag der Bitcoin-Kurs bei 13 US-Dollar. Als immer mehr Dienstleister Bitcoin als Zahlungsmittel anerkannten, stieg der Preis. Am 9. April 2013 erreichte er 260 US-Dollar (der Durchschnittspreis lag bei 214 US-Dollar), bevor der Kurs am nächsten Tag einbrach, als Unternehmen mit vielen Bitcoins im Geldbeutel damit begannen, die virtuelle Währung gegen echtes Geld einzutauschen.
Täglicher Bitcoin-Durchschnittspreis (MT. Gox)
Im November 2013 nahm der Bitcoin-Kurs wieder Fahrt auf und überschritt die 400-Dollar-Marke auf dem Weg zu 450 US-Dollar und vielleicht auch mehr.
Was macht Bitcoins so beliebt? Erstens sind sie ein fast anonymes und sicheres Zahlungsmittel für Waren. Zum einen ist es in Folge der Überwachungsstorys von 2013 kaum überraschend, dass sich die Menschen nach alternativen Zahlungsmitteln umsehen. Zweitens gibt es wohl wenig Zweifel daran, dass die virtuelle Währung auch unter Cyberkriminellen beliebt ist, die nach Möglichkeiten suchen, das Gesetz zu umgehen.
Im Mai haben die Kaspersky-Experten über brasilianische Cyberkriminelle berichtet, die angebliche Bitcoin-Wechselstuben betrieben. Botnetze traten auf den Plan, die Bitcoins schürften, und Schadprogramme zum Diebstahl von Bitcoin-Geldbörsen wurden entwickelt.
Am Freitag, dem 25. Oktober, wurde im Rahmen einer gemeinsamen Operation von FBI und DEA die berüchtigte Plattform Silk Road beschlagnahmt. Silk Road war laut Pressemitteilung der US-Staatanwaltschaft „ein versteckter Service, der Nutzern die Möglichkeit geben sollte, illegal Drogen und andere ungesetzliche Waren und Dienstleistungen anonym und außerhalb der Reichweite von Strafverfolgungsbehörden zu kaufen und zu verkaufen“. Dieser Service basierte auf Bitcoins, wodurch Verkäufer und Kunden gleichermaßen unerkannt blieben. FBI und DEA konfiszierten etwa 140.000 Bitcoins (zum heutigem Kurs etwa 56 US-Millionen Dollar) von „Dread Pirate Roberts“, dem Betreiber von Silk Road. Gegründet im Jahr 2011, wurde Silk Road über das TOR Onion-Netzwerk betrieben und scheffelte über 9,5 Millionen Bitcoins an Einnahmen.
Auch wenn es auf der Hand liegt, dass Cyberkriminelle in der virtuellen Währung einen sicheren Hafen gefunden haben, so gibt es auch viele andere Bitcoin-Nutzer, die keine üblen Absichten hegen. Da Bitcoins immer populärer werden, wird es interessant sein zu sehen, ob sich irgendeine Regierung zu einem harten Durchgreifen entschließen wird, in der Absicht, die illegale Verwendung dieser Währung zu unterbinden.
Sollten Sie Bitcoins besitzen, so ist die wichtigste Frage, die sich stellt, wahrscheinlich die, wie man sie sicher verwahren kann. Dazu geben Ihnen die Kaspersky-Experten Stefan Tanase und Sergey Lozhkin in diesem Artikel einige Tipps.
Fazit und Ausblick: „2014, das Jahr des Vertrauens“
Das Jahr 2011 nannten wir in der Jahresrückschau explosiv. Wir sagten für das Jahr 2012 viele Enthüllungen voraus und über 2013 behaupteten wir, es würde uns die Augen öffnen.
Tatsächlich haben uns einige Enthüllungen des Jahres 2013 die Augen geöffnet und Fragen über die Art und Weise aufgeworfen, wie wir das Internet heutzutage nutzen, sowie über die Art der Risiken, denen wir gegenüberstehen. Im Jahr 2013 haben fortschrittliche Angreifer weiterhin groß angelegte Kampagnen entwickelt, wie zum Beispiel Roter Oktober oder NetTraveler. Neue Techniken wie etwa Wasserloch-Attacken haben sich durchgesetzt, während Zero-Day-Schwachstellen unter technisch versierten Akteuren nach wie vor beliebt sind. Kaspersky Lab hat zudem das Aufkommen von Cyber-Söldnern beobachtet, die für APT-Attacken angeheuert werden, schnell zuschlagen und dann wieder verschwinden. Hacktivisten waren in den Nachrichten allgegenwärtig, immer im Zusammenhang mit dem Begriff „Leak“, was jeden seriösen Systemadministrator in Angst versetzen sollte. In der Zwischenzeit waren die Cyberkriminellen damit beschäftigt, neue Methoden zu entwickeln, um Geld oder Bitcoins zu stehlen. Ransomware ist beinahe schon omnipräsent, und Malware ist und bleibt ein ernsthaftes Problem, für das es keine einfache Lösung gibt.
Natürlich möchte jeder wissen, wie alle diese Geschichten das Jahr 2014 beeinflussen werden. Unserer Meinung nach wird sich 2014 alles um die Wiederherstellung des Vertrauens drehen.
Datenschutz wird ein wichtiges Thema sein, mit allen seinen Höhen und Tiefen. Verschlüsselung kommt wieder in Mode und wir glauben, dass unzählige neue Services auftauchen werden, die behaupten, die Nutzer vor neugierigen Augen zu schützen. Die Cloud, das Wunderkind der letzten Jahre, gerät nun in Vergessenheit, da die Menschen das Vertrauen verloren haben und Länder und Regierungen sich nun ernsthaftere Gedanken über den Datenschutz zu machen beginnen. Im Jahr 2014 werden die Finanzmärkte vermutlich das Schwanken des Bitcoin spüren, wenn Unmengen von Geld von China und anderen Ländern hineingepumpt wird. Vielleicht erreicht der Bitcoin die 10.000-Dollar-Marke oder vielleicht bricht der Kurs auch ein und die Menschen schauen sich nach vertrauenswürdigeren Alternativen um.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt