Durch Entschlüsseln sich einem Risiko aussetzen
Hacker schleusen Angriffe durch Social Media-Kanäle
Ein neuer Bericht der F-Secure Forschungsabteilung analysiert, wie Hacker Softwaredienste von Drittanbietern zur Verbreitung von Malware und der Extrahierung von gestohlenen Daten benutzen.
(18.12.15) - In einem aktuellen Bericht untersucht ein Forscher der F-Secure Labs, wie Hacker durch die Softwaredienste von Drittanbietern ihre Malware-Kampagnen koordinieren. Veröffentlicht von Virus Bulletin für ihre "VB2015"-Konferenz, analysiert der Bericht, wie Angreifer, z.B. die staatlich geförderte Hacker-Gruppe "The Dukes", mit Hilfe der verschlüsselten Kommunikationskanäle von Twitter und anderen Onlinediensten ihre Malware verbreiten und Daten stehlen können. F-Secure Sicherheitsforscher Artturi Lehtiö dazu: "Um es auf den Punkt zu bringen: Angreifer benutzen bestimmte Onlinedienste von Drittanbietern, um unter dem Radar der Unternehmenssicherheit zu agieren."
Lehtiö, der Verfasser des Berichts, präsentierte die Ergebnisse seiner Nachforschungen auf der VB2015. "Um die Daten ihrer Kunden während der Übertragung vor unbefugten Zugriffen und Diebstahl zu schützen, benutzen viele Onlinedienste ihre eigene Datenverschlüsselung. Doch leider verhindert die Verschlüsselung auch, dass Sicherheitsvorkehrungen wie Firewalls schädlichen Datenverkehr identifizieren können. Für Unternehmen stellt das eine echte Herausforderung dar, und meine Nachforschungen zeigen auf, wie Hacker, z.B. die berüchtigten "Dukes", sich diese Schwachstelle bei ihren Angriffen zunutze machen."
Command and Control as a Service
Die "Dukes" eine staatlich geförderte Hacker-Gruppe, die sich seit mindestens sieben Jahren Regierungen und regierungsverwandte Organisationen zum Ziel macht waren Fokus eines kürzlich von F-Secure Labs veröffentlichten Whitepapers. Lehtiös Bericht liefert nun detaillierte Informationen, wie die "Dukes" zur Durchführung ihrer Cyberattacken die Onlinedienste von Drittanbietern im Grunde als ein Tool zur Koordination ihrer Angriffe benutzen eine, wie Sicherheitsexperten es nennen, "Command and Control"-Infrastruktur.
Der Bericht betont insbesondere, wie die Dukes Twitter zur Kommunikation mit infizierten Rechnern benutzten und sie zum Download weiterer Malware anweisen konnten. Mit Hilfe von Microsoft OneDrive als Tool zur Daten-Exfiltration, waren sie außerdem in der Lage, gestohlene Daten abzurufen, ohne Aufmerksamkeit zu erregen.
Die Benutzung dieser Onlinedienste als "Command and Control"-Infrastruktur ermöglicht es Angreifern, über den bereits gewährten Netzwerk-Zugriff verlässlicher Onlineplattformen unbemerkt mit infizierten Rechnern zu kommunizieren und wird somit nicht dazu verwendet, um die Dienstanbieter selbst oder ihre User direkt zu attackieren. Onlinedienste wie Social Media bieten Hackern eben ein benutzerfreundliches und kosteneffektives Tool zur Koordination ihrer Kampagnen, um sicherzustellen, dass sie ihre Ziele auch erreichen.
Durch Entschlüsseln sich einem Risiko aussetzen
Da der Austausch schädlicher Daten zwischen Angreifern und ihren Zielen nicht nur verschlüsselt ist, sondern sich auch unter den legitimen Datenverkehr mischt, sind solche über Onlinedienste Dritter durchgeführten Malware-Kampagnen für Unternehmen oft schwer zu identifizieren. Aktuelle Untersuchungen zeigen zudem, dass es viele Firmen unterlassen, ihren Datenverkehr aktiv zu entschlüsseln, um zwischen legitimen und schädlichen Daten unterscheiden zu können. Eine Studie ergab, dass weniger als fünfzig Prozent der Unternehmen mit dedizierten, sicheren Web-Gateways ausgehenden Datenverkehr entschlüsseln; weniger als zwanzig Prozent der Organisationen mit Firewalls, Intrusion-Prevention-Systemen oder UTMAs (Unified Threat Management Appliances) entschlüsseln eingehenden oder ausgehenden SSL-Datenverkehr.
Aber sich auf Sicherheitslösungen zu verlassen, die den Internetverkehr entschlüsseln, ist laut F-Secure Senior Researcher Jarno Niemelä eine riskante Angelegenheit und Unternehmen müssen sich den damit verbundenen, potenziellen Gefahren bewusst sein.
Das fachgerechte Entschlüsseln von Netzwerkverkehr durch "Man-in-the-Middle" (MITM)-Techniken kann kostspielig und sehr kompliziert werden. Und es gab Fälle, in denen diese Methode vertrauliche Daten, anstatt sie zu schützen, Angreifern regelrecht ausgesetzt hat und Hacker sie ausnutzen konnten, um Zugriff auf den verschlüsselten Datenverkehr ihrer Opfer zu erlangen. Firmen sollten diese Methode demnach nur verwenden, wenn sie über ein exklusiv für ihr Unternehmen ausgestelltes, eindeutiges Sicherheitszertifikat verfügen, da durch geteilte Zertifikate das Risiko einer MITM-Attacke enorm ansteigt.
Niemelä fügte hinzu, dass zuverlässiger Schutz an Endgeräten solche Angriffe schon am Punkt der Erstinfektion unterbinden kann. (F-Secure: ra)
F-Secure: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.