Innerhalb der letzten zwei Jahre ist die Zahl der erkannten ernstzunehmenden Cyberattacken derart angestiegen, dass ein neuer Angriff nur noch selten Verwunderung auslöst. Berichte von Antiviren-Unternehmen über die Entdeckung eines neuen Botnetzes oder einer hyperraffinierten Software, die Daten stiehlt, erscheinen mit schöner Regelmäßigkeit.
Immer häufiger fallen kommerzielle Unternehmen Cyberattacken zum Opfer. Laut einer von Kaspersky Lab und dem Marktforschungsunternehmen B2B International durchgeführten Umfrage waren 91 Prozent der befragten Unternehmen mindestens einmal pro Jahr einer Cyberattacke ausgesetzt. Neun Prozent der Unternehmen gerieten ins Visier zielgerichteter Attacken.
Die Verwendung von Computern und anderen digitalen Geräten in allen Geschäftsprozessen hat die Grundlage für die erfolgreiche Anwendung von Schadsoftware gelegt, die auf Industriespionage und den Diebstahl von Unternehmensdaten spezialisiert ist. Das Potenzial dieses Ansatzes hat sich als so groß erwiesen, dass der Einsatz von Schadprogrammen in naher Zukunft die Insiderspionage möglicherweise vollständig ablösen wird. Doch die Risiken für den Unternehmenssektor beschränken sich nicht allein darauf. Die Abhängigkeit der heutigen Geschäftswelt vom zuverlässigen Funktionieren der Computer und der Übertragungskanäle zwischen den Rechnern gibt Cyberkriminellen die Möglichkeit, verschiedene Programme destruktiver Art einzusetzen – von Verschlüsselungs- und „Lösch“-Programmen, die sich wie eine Krankheit in der Unternehmensumgebung ausbreiten, bis zur Armee gehorsamer Zombies, die alle freien Ressourcen der Unternehmens-Webserver und Datenübertragungsnetze verschlingen.
Gründe für Attacken
Datendiebstahl. Der Raub von Unternehmensdaten, Geschäftsgeheimnissen oder persönlichen Daten von Unternehmensmitarbeitern und -kunden oder das Überwachen der Tätigkeit eines Unternehmens ist das Ziel vieler – von Organisationen, die die Dienstleistungen Cyberkrimineller in Anspruch nehmen, damit diese in das Unternehmensnetzwerk von Konkurrenten eindringen, bis hin zu den Geheimdiensten verschiedener Länder.
Datenvernichtung und Blockierung der Infrastruktur. Einige Schadprogramme werden zu einer bestimmten Spionageart eingesetzt. Ihre Aufgabe besteht in der Zerstörung wichtiger Daten oder der Störung des reibungslosen Geschäftsablaufs. Die trojanischen Programme Wiper und Shamoon löschen beispielsweise Systemdaten der Workstations und Server, ohne dass es eine Möglichkeit zur Wiederherstellung gibt.
Gelddiebstahl. Die Infektion mit trojanischen Programmen, die auf den Diebstahl von Finanzmitteln über Online-Banking-Systeme und auf zielgerichtete Attacken auf interne Ressourcen von Rechen- und Finanzzentren spezialisiert sind, führen für die angegriffenen Unternehmen zu finanziellen Verlusten.
Reputationsschädigung. Der Erfolg eines Geschäfts sowie hohe Besucherzahlen der offiziellen Webseiten von Unternehmen, die im Bereich Internet-Dienstleistungen tätig sind, locken Cyberkriminelle an. Der Hack einer Unternehmenswebseite mit anschließender Einschleusung von schädlichen Links, die die Besucher auf schädliche Ressourcen umleiten, und das Platzieren von schädlichen Werbebannern oder von politisch motivierten Nachrichten auf der gehackten Ressource fügen dem Verhältnis zwischen Kunden und Unternehmen einen erheblichen Schaden zu.
Ein weiteres beachtliches Risiko, das den guten Ruf bedroht, liegt im Diebstahl von digitalen Zertifikaten von IT-Unternehmen. In einzelnen Fällen, beispielsweise für Unternehmen, die eigene öffentliche Zertifizierungszentren unterhalten, kann der Verlust von Zertifikaten oder das Eindringen in die Infrastruktur zum vollständigen Vertrauensverlust gegenüber dem entsprechenden Unternehmen und sogar zur anschließenden Geschäftsaufgabe führen.
Finanzieller Schaden. DDoS-Attacken sind eine der beliebtesten Methoden, wenn es darum geht, Unternehmen und Organisationen direkten Schaden zuzufügen. Cyberkriminelle entwickeln neue Ansätze zur Durchführung solcher Attacken. So können DDoS-Attacken die externen Webressourcen eines Unternehmens gleich mehrere Tage außer Gefecht setzen. In solchen Fällen ist es den Kunden nicht nur unmöglich, die Dienste der angegriffenen Unternehmen zu nutzen – was direkte finanzielle Verluste für die attackierte Organisation nach sich zieht –, sondern es erweckt bei den Besuchern der Webseiten auch den Wunsch, sich an ein vertrauenswürdigeres Unternehmen zu wenden. Das wiederum führt zu einer Verringerung des Kundenstamms und somit zu langfristigen finanziellen Verlusten.
Im Jahr 2013 nahm die Beliebtheit von DNS-Amplification-Attacken zu, wobei Cyberkriminelle mit Hilfe von Botnetzen rekursive Anfragen an DNS-Server versenden und die Antworten auf die angegriffenen Systeme leiten. Auf diese Art und Weise wurde eine der leistungsstärksten DDoS-Attacken des Jahres 2013 umgesetzt – der Angriff auf die Spamhaus-Webseite.
Zielorganisationen
Bei der massenhaften Verbreitung von Schadprogrammen kann jedes beliebige Unternehmen zum Opfer werden, dessen Computer angreifbar sind. So kann sich auch eine kleine Firma mit einem der bekannten Banktrojaner infizieren (ZeuS, SpyEye und andere) und als Folge sowohl Geld als auch geistiges Eigentum verlieren.
Objekte zielgerichteter Attacken (also sorgfältig geplanter Aktionen zur Infektion der Netzinfrastruktur einer bestimmten Organisation oder einer Privatperson) waren gemäß den Ergebnissen einer Untersuchung von Kaspersky Lab im Jahr 2013 Konzerne und Organisationen aus den folgenden Bereichen: Erdölindustrie, Telekommunikation, Weltraumforschung, Schiffsbau und andere Industriebranchen, die mit Hightech-Entwicklungen zusammenhängen.
Vorbereitung der Angriffe
Cyberkriminellen steht ein großes Arsenal komplexer Werkzeuge zum Eindringen in die Computernetzwerke von Unternehmen zur Verfügung. Die Planung einer zielgerichteten Attacke auf ein Unternehmen kann mehrere Monate in Anspruch nehmen, bei der alle nur möglichen Techniken angewandt werden – vom Social Engineering bis zur Ausnutzung unbekannter Software-Sicherheitslücken.
Die Angreifer studieren akribisch das kommerzielle Profil des Unternehmens, öffentliche Ressourcen, von denen sich alle möglichen nützlichen Informationen abschöpfen lassen, Webseiten und Webportale des Unternehmens, Profile der Mitarbeiter in Sozialen Netzwerken, Anzeigen und Bilanzen, Präsentationen auf Messen und ähnliches. Die Verbrecher können die Netzinfrastruktur von Unternehmen sowie die Netzressourcen und die Kommunikationsknoten studieren und ausgehend davon ihre Strategie zum Eindringen und Stehlen von Informationen planen.
Online-Gangster können bei der Planung von Attacken gefälschte Webseiten erstellen, die äußere Aufmachung der Webseiten von Kunden oder Partnern der angegriffenen Organisationen kopieren und dabei ähnlich lautende Domain-Namen registrieren. Im Folgenden werden diese Webseiten benutzt, um Opfer in die Irre zu führen und Rechner zu infizieren.
Eindringungsmethoden
Im Jahr 2013 bestand eine der beliebtesten Methoden, die Cyberkriminelle anwandten, um Schadcode in ein Unternehmensnetzwerk einzuschleusen, darin, den Mitarbeitern des angegriffenen Unternehmens E-Mails mit schädlichen Anhängen zu schicken. Der häufigste Anhang war ein Dokument in einem für Büroangestellte gewohnten Format, wie zum Beispiel Word, Excel oder PDF. Beim Öffnen der angehängten Datei wird eine Sicherheitslücke in der Software ausgenutzt und das System wird mit einem Schadprogramm infiziert.
Das schwächste Glied
Oftmals sind die Empfänger schädlicher E-Mails Mitarbeiter, die aufgrund ihrer Tätigkeit häufig mit Adressaten außerhalb der Unternehmensstruktur kommunizieren. Am häufigsten erhalten Mitarbeiter aus der PR schädliche Korrespondenz. Auch Personalabteilungen erhalten viele E-Mails von externen Absendern. Ein Verbrecher kann sich als Bewerber auf eine ausgeschriebene Stelle ausgeben, Kontakt aufnehmen und seinen Lebenslauf als schädliche PDF-Datei mitschicken. Ohne Zweifel wird ein Mitarbeiter der Personalabteilung eine solche Datei öffnen. Findet der schädliche Anhang eine Sicherheitslücke, wird der Computer infiziert. An die Finanzabteilungen von Unternehmen schicken Cyberkriminelle schädliche E-Mails im Namen von Steuerbehörden, getarnt als Anfragen, Forderungen und Anträge aller Art. Die juristischen Abteilungen erhalten schädliche Schreiben, die angeblich von Gerichten, Polizeidezernaten und anderen staatlichen Stellen stammen.
Social Engineering
Der Inhalt eines Schreibens ist normalerweise von Interesse für den Mitarbeiter, an den es gerichtet ist – es hat entweder mit seinem Aufgabenbereich oder mit dem Tätigkeitsfeld des Unternehmens zu tun. So schickte die Hackergruppe Winnti beispielsweise im Rahmen einer zielgerichteten Attacke einem Privatunternehmen aus dem Bereich Videogames eine E-Mail, die eine mögliche Zusammenarbeit zum Thema hatte:
Die Spyware Miniduke wurde mit Hilfe eines Schreibens verbreitet, das ein Interesse an der ukrainischen Außenpolitik wecken sollte, insbesondere an den Beziehungen zwischen der Ukraine und der NATO:
Sicherheitslücken und Exploits
Cyberkriminelle nutzen aktiv Exploits zu bekannten Software-Sicherheitslücken aus.
Im Rahmen der berüchtigten Kampagne Roter Oktober wurden beispielsweise mindestens drei verschiedene Exploits für bereits bekannte Sicherheitslücken in Microsoft Office eingesetzt – CVE-2009-3129 (Microsoft Excel), CVE-2010-3333 (Microsoft Word) und CVE-2012-0158 (Microsoft Word). Der Schädling Nettraveler verwendete ein Exploit für CVE-2013-2465 – eine Schwachstelle in Java der Versionen 5, 6 und 7, die von Oracle erst im Juni 2013 geschlossen wurde.
Doch am gefährlichsten sind Sicherheitslücken, die den Entwicklern der Software noch nicht bekannt sind, so genannte Zero-Day-Sicherheitslücken. Cyberkriminelle suchen in populären Programmen aktiv nach bisher noch unbekannten „Löchern“ und entwickeln Exploits dafür. Werden sie bei ihrer Suche fündig, so ist die Wahrscheinlichkeit sehr hoch, dass eine solche Sicherheitslücke auch ausgenutzt wird. Eine derartige Schwachstelle (CVE-2013-0640) im Adobe Reader der Versionen 9, 10, 11, die zur Zeit der Attacke noch unbekannt war, machte sich Miniduke zunutze.
Technologien
Cyberkriminelle perfektionieren kontinuierlich ihre Software, und sie verwenden ungewöhnliche Ansätze und Lösungen, um Informationen abzuschöpfen.
Roter Oktober arbeitete nach dem Eindringen in ein System wie eine multifunktionale modulare Plattform und fügte dem infizierten System in Abhängigkeit von seinem Ziel verschiedene Module hinzu, von denen jedes eine bestimmte Auswahl von Aktionen ausführte: erstes Sammeln von Informationen über den infizierten Rechner und die Netzinfrastruktur, Diebstahl von Passwörtern für verschiedene Dienste, Tastaturspionage, Selbstverbreitung, Übertragung der gestohlenen Informationen und so weiter.
Außerdem ist es erwähnenswert, dass die Entwicklung mobiler Technologien und die Verbreitung mobiler Geräte in der Unternehmensumgebung nicht an den Cyberkriminellen vorbeigegangen sind. Ein modernes Smartphone oder ein Tablet ist praktisch eine voll funktionsfähige Workstation, auf der eine Vielzahl von Daten gespeichert ist, die ein klares Ziel für Online-Kriminelle darstellen. Die Autoren von Roter Oktober entwickelten spezielle Module, die feststellen können, wann sich Smartphones der Plattformen Apple iOS und Windows Mobile sowie Handys des Herstellers Nokia mit dem infizierten Computer verbinden. Die Module kopieren daraufhin die Daten und schicken sie an den Steuerungsserver.
Die Entwickler vonKimsuky integrierten in ihren Schädling ein vollständiges Modul zur entfernten Steuerung der infizierten Systeme, und zwar auf der Basis des vollkommen legitimen Remote-Administrationstools TeamViewer, wobei sie dessen Code nur geringfügig modifizierten. Daraufhin verbanden sich mehrere Kimsuky-Betreiber manuell mit den infizierten Computern und kopierten Daten, die für sie von Interesse waren.
Die Hackergruppe Winnti stahl in den Unternehmensnetzwerken von Online-Gaming-Entwicklern digitale Zertifikate, signierte damit ihre schädlichen Treiber und infizierte im Folgenden andere Unternehmen. Beispielsweise wurde das digitale Zertifikat des südkoreanischen Unternehmens KOG gestohlen. Nachdem die Kaspersky-Experten die Firma über den Diebstahl informiert hatten, wurde das Zertifikat zurückgerufen.
Zurückgerufenes Zertifikat:
Darüber hinaus war eines der Module des 64-Bit-Trojaners eine multifunktionale Backdoor – das ist der erste uns bekannte Fall der Verwendung eines 64-Bit-Schadprogramms, das über eine gültige digitale Signatur eines legalen Unternehmens verfügt.
Das Spionage-Schadprogramm Miniduke nutzte Twitter, um Informationen über die Steuerungsserver zu erhalten. Die Betreiber von Miniduke veröffentlichten mit Hilfe eines speziell erstellten Accounts auf bestimmte Weise aufgemachte Tweets, die die verschlüsselte Adresse des Steuerungsservers enthielten:
Der Trojaner las die Tweets vom infizierten Rechner aus und verband sich mit den Kontrollsystemen.
Was wird gestohlen?
Cyberkriminelle sind an Informationen unterschiedlichster Art interessiert. Das können die neuesten technischen Entwicklungen von Unternehmen und wissenschaftlichen Forschungsinstituten sein oder Quellcode von Software-Produkten, finanzielle und juristische Dokumente, persönliche Mitarbeiter- und Kundendaten und alle beliebigen anderen Informationen, die ein Betriebsgeheimnis darstellen könnten. Häufig sind solche Informationen unverschlüsselt in den Unternehmensnetzwerken zum Beispiel in Form von elektronischen Dokumenten, Pflichtenheften, Berichten, Zeichnungen oder Präsentationen gespeichert.
Wie bereits erläutert, nutzen Cyberkriminelle unterschiedlichste Ansätze zum Sammeln von Informationen. Einige Schädlinge tragen praktisch alle Arten von elektronischen Dokumenten zusammen. So interessierte sich etwa Roter Oktober unter anderem für Dokumente der Formate txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps und iau, die der Schädling dann an den Steuerungsserver weiterschickte.
Eine weitere Methode, die Kaspersky Lab in Kimsuky und Icefog feststellte, ist die quasi manuelle Analyse der in Unternehmensnetzwerken gespeicherten Daten (mit Hilfe von in den Schädling integrierten Technologien für den Remote-Zugriff auf infizierte Workstations) und das anschließende Kopieren nur entsprechender Dokumente, die für die Verbrecher von Interesse sind. Dabei bedenken die Cyberkriminellen alle Besonderheiten des angegriffenen Unternehmens und vollziehen sehr genau nach, welche Datenformate dort verwendet und welche Art von Informationen dort gespeichert werden. Auch im Fall von Kimsuky und Icefog wurden für die betroffenen Unternehmen absolut spezifische Dokumente im Format hwp gestohlen, das in Südkorea weit verbreitet ist.
Neue Tendenz: Cybersöldner
Bei der Analyse der zielgerichteten Attacken von Kimsuky und Icefog kam das Kaspersky-Team zu dem Schluss, dass eine neue Kategorie von Angreifern auf der Bühne der Cyberkriminalität erschienen ist, die wir „Cybersöldner“ nennen. Dabei handelt es sich um organisierte Gruppen von hochqualifizierten Hackern, die von Regierungen und Privatunternehmen zur Organisation und Durchführung von komplexen, effektiven, zielgerichteten Attacken auf Unternehmen angeheuert werden können, um Informationen zu stehlen oder um Daten oder Infrastruktur zu zerstören.
Cybersöldner erhalten einen Vertrag, in dem die Ziele des Hackerauftrags definiert werden, woraufhin sie mit der sorgfältigen Vorbereitung und der Umsetzung der Attacke beginnen. Während bei zielgerichteten Attacken früher massenhaft unterschiedliche Informationen gestohlen wurden, so versuchen Cybersöldner absolut konkrete Dokumente oder Kontakte von Personen zu ergaunern, die über wertvolle Informationen verfügen könnten.
Im Jahr 2013 untersuchten wir die Tätigkeit der Cybersöldnergruppe IceFog, die mit dem gleichnamigen Schädling zielgerichtete Attacken durchgeführt hatten. Im Laufe der Ermittlungen fiel uns das Aktivitätsprotokoll der Icefog-Betreiber in die Hände, in dem alle Aktionen der Angreifer genau beschrieben werden. Aufgrund dieser Aufzeichnungen wurde klar, dass die Cyberkriminellen wussten, in welchen Verzeichnissen sich die Informationen befinden, die für sie von Interesse sind.
Die Folgen aufsehenerregender Enthüllungen
Im Jahr 2013 wurden viele Angriffe von Spionage-Programmen aufgedeckt, die direkt oder indirekt mit der Tätigkeit verschiedener Staaten in Verbindung standen. Die Folge solcher Enthüllungen kann der Verlust des Vertrauens in globale Dienste und Organisationen sein, aber auch der Wunsch nach der Entwicklung ähnlicher nationalstaatlicher Strukturen. Das wiederum kann zu einer eigentümlichen De-Globalisierung und zu einer steigenden Nachfrage nach lokalen IT-Produkten und -Diensten führen. Schon heute gibt es in vielen Ländern lokale Varianten der globalen Dienste, wie etwa nationale Suchsysteme, E-Mail-Anbieter, nationale IM-Clients und sogar lokale Soziale Netzwerke.
Dabei sorgen nationale Entwicklungsunternehmen für eine steigende Zahl von Software-Produkten und Services. In der Regel sind das Unternehmen, deren Größe und Budget geringer ist als die der führenden internationalen Entwickler. Dementsprechend wird auch die Qualitätskontrolle in diesen Unternehmen nicht so gründlich durchgeführt werden können. Nach den Erfahrungen von Kaspersky Lab bei der Untersuchung von Cyberattacken weist der Code von Softwareprodukten umso mehr Sicherheitslücken auf, je kleiner und unerfahrener der Hersteller ist. Dieser Umstand erleichtert es Cyberkriminellen ungemein, zielgerichtete Attacken durchzuführen.
Zudem könnten einige Staaten, nachdem sie die Kontrolle über Informationen und Hardwareressourcen gewonnen haben, lokale Unternehmen dazu verpflichten, nationale Softwareprodukte oder Internet-Dienste zu nutzen, was sich schließlich wiederum negativ auf die Sicherheit im Unternehmenssektor auswirken könnte.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt