Hacker schleusen Angriffe durch Social Media Kanäle

Ein neuer Bericht der F-Secure Forschungsabteilung analysiert, wie Hacker Softwaredienste von Drittanbietern zur Verbreitung von Malware und der Extrahierung von gestohlenen Daten benutzen.

Verfasser: Berk Kutsal
Datum: 3. Dezember 2015
Lesedauer: 3 Minuten

In einem aktuellen Bericht untersucht ein Forscher der F-Secure Labs, wie Hacker durch die Softwaredienste von Drittanbietern ihre Malware-Kampagnen koordinieren. Veröffentlicht von Virus Bulletin für ihre „VB2015“-Konferenz, betrachtet der Bericht, wie Angreifer, z.B. die staatlich geförderte Hacker-Gruppe „The Dukes“, mit Hilfe der verschlüsselten Kommunikationskanäle von Twitter und anderen Onlinediensten ihre Malware verbreiten und Daten stehlen können.

F-Secure Sicherheitsforscher Artturi Lehtiö dazu:

Um es auf den Punkt zu bringen: Angreifer benutzen bestimmte Onlinedienste von Drittanbietern, um unter dem Radar der Unternehmenssicherheit zu agieren.

Lehtiö, der Verfasser des Berichts, präsentierte die Ergebnisse seiner Nachforschungen auf der VB2015.

Um die Daten ihrer Kunden während der Übertragung vor unbefugten Zugriffen und Diebstahl zu schützen, benutzen viele Onlinedienste ihre eigene Datenverschlüsselung. Doch leider verhindert die Verschlüsselung auch, dass Sicherheitsvorkehrungen wie Firewalls schädlichen Datenverkehr identifizieren können. Für Unternehmen stellt das eine echte Herausforderung dar, und meine Nachforschungen zeigen auf, wie Hacker, z.B. die berüchtigten „Dukes“, sich diese Schwachstelle bei ihren Angriffen zunutze machen.

Command and Control as a Service

Die „Dukes“ – eine staatlich geförderte Hacker-Gruppe, die sich seit mindestens sieben Jahren Regierungen und regierungsverwandte Organisationen zum Ziel macht – waren Fokus eines kürzlich von F-Secure Labs veröffentlichten Whitepapers. Lehtiös Bericht liefert nun detaillierte Informationen, wie die „Dukes“ zur Durchführung ihrer Cyberattacken die Onlinedienste von Drittanbietern im Grunde als ein Tool zur Koordination ihrer Angriffe benutzen – eine, wie Sicherheitsexperten es nennen, „Command and Control“ Infrastruktur.

Der Bericht betont insbesondere, wie die Dukes Twitter zur Kommunikation mit infizierten Rechnern benutzten und sie zum Download weiterer Malware anweisen konnten. Mit Hilfe von Microsoft OneDrive als Tool zur Daten-Exfiltration, waren sie außerdem in der Lage, gestohlene Daten abzurufen, ohne Aufmerksamkeit zu erregen.

Die Benutzung dieser Onlinedienste als „Command and Control“-Infrastruktur ermöglicht es Angreifern, über den bereits gewährten Netzwerk-Zugriff verlässlicher Onlineplattformen unbemerkt mit infizierten Rechnern zu kommunizieren und wird somit nicht dazu verwendet, um die Dienstanbieter selbst oder ihre User direkt zu attackieren. Onlinedienste wie Social Media bieten Hackern eben ein benutzerfreundliches und kosteneffektives Tool zur Koordination ihrer Kampagnen, um sicherzustellen, dass sie ihre Ziele auch erreichen.

Durch Entschlüsseln sich einem Risiko aussetzen

Da der Austausch schädlicher Daten zwischen Angreifern und ihren Zielen nicht nur verschlüsselt ist, sondern sich auch unter den legitimen Datenverkehr mischt, sind solche über Onlinedienste Dritter durchgeführten Malware-Kampagnen für Unternehmen oft schwer zu identifizieren. Aktuelle Untersuchungen zeigen zudem, dass es viele Firmen unterlassen, ihren Datenverkehr aktiv zu entschlüsseln, um zwischen legitimen und schädlichen Daten unterscheiden zu können. Eine Studie ergab, dass weniger als fünfzig Prozent der Unternehmen mit dedizierten, sicheren Web-Gateways ausgehenden Datenverkehr entschlüsseln; weniger als zwanzig Prozent der Organisationen mit Firewalls, Intrusion-Prevention-Systemen oder UTMAs (Unified Threat Management Appliances) entschlüsseln eingehenden oder ausgehenden SSL-Datenverkehr.

Aber sich auf Sicherheitslösungen zu verlassen, die den Internetverkehr entschlüsseln, ist laut F-Secure Senior Researcher Jarno Niemelä eine riskante Angelegenheit und Unternehmen müssen sich den damit verbundenen, potenziellen Gefahren bewusst sein.

Das fachgerechte Entschlüsseln von Netzwerkverkehr durch „Man-in-the-Middle“ (MITM)-Techniken kann kostspielig und sehr kompliziert werden. Und es gab Fälle, in denen diese Methode vertrauliche Daten, anstatt sie zu schützen, Angreifern regelrecht ausgesetzt hat – und Hacker sie ausnutzen konnten, um Zugriff auf den verschlüsselten Datenverkehr ihrer Opfer zu erlangen. Firmen sollten diese Methode demnach nur verwenden, wenn sie über ein exklusiv für ihr Unternehmen ausgestelltes, eindeutiges Sicherheitszertifikat verfügen, da durch geteilte Zertifikate das Risiko einer MITM-Attacke enorm ansteigt.

Niemelä fügte hinzu, dass zuverlässiger Schutz an Endgeräten solche Angriffe schon am Punkt der Erstinfektion unterbinden kann: Ohne darauf angewiesen zu sein, Datenverschlüsselung zu umgehen oder zu brechen, bietet zuverlässige Endpoint Protection Firmen eine sichere und effektive Möglichkeit, sich zu schützen. F-Secures Angebote für Unternehmenssicherheit, Business Suite und Protection Service for Business, verfügen beide über preisgekrönte Endpoint Protection-Technologie und verhindern zuverlässig die Infektion durch Malware.


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s