Cyberkriminalität: Methoden werden immer ausgefeilter

Die Geschichte des Hacking ist mittlerweile mehrere Jahrzehnte alt. Vom Phreaking der siebziger Jahre, wodurch technisch Versierte die Telefonrechnung drastisch senken konnten, über Angriffe auf BTX und ARPAnet bis hin zu den heutigen Bedrohungen war es ein weiter Weg, über den sich zahlreiche Geschichten erzählen lassen. Auch die Motivation hat sich im Lauf der Zeit verändert – vom Eigennutz der kostenlosen Telefonie bis hin zu Abenteuerlust und dem Beweis der eigenen Fähigkeiten von Hackern und Script Kiddies, ioder oft auch, um eine – vermeintliche – Unfähigkeit von Admins zu belegen, hat sich das „Hacking“ inzwischen zu einem eigenen Zweig der Kriminalität entwickelt, der die Verbrechen der analogen Welt digitalisiert hat: Sabotage, Spionage, Diebstahl, Raub und Erpressung. Das Ziel der illegalen Anhäufung von Vermögen ist die Triebfeder für die Entwicklung immer ausgefeilterer Methoden der Cyberkriminalität.

Bogdan Botezatu, der Autor dieses Gastbeitrags für ZDNet, ist Senior E-Threat Analyst bei Bitdefender (Bild: Bitdefender).

Die maßgeblichen Entwicklungen der zurückliegenden zehn bis zwanzig Jahre lassen eine technische Evolution von Würmern und Viren über die Manipulation von Zertifikaten bis hin zu Advanced Persistent Threats (APT) beobachten. Dabei stieg der Aufwand signifikant an: APT-Angriffe sind großangelegte Manöver mit einem immensen Ressourcenbedarf, die wichtige Infrastrukturen von großen Unternehmen und Organisationen zum Ziel haben.

Ein bekanntes Beispiel dafür war Stuxnet, ein Wurm, der Anfang dieses Jahrzehnts entdeckt wurde und speziell für den Befall eines industriellen Steuerungssystems entwickelt wurde. Professionelle Netzwerke betreiben für die Entwicklung neuartiger, profitbringender Schadsoftware einen Forschungs- und Entwicklungsaufwand mit einem Budget, das so manches Unternehmen vor Neid erblassen lassen würde.

300 Millionen Kopien Schadcode

Umso schwieriger ist es geworden, mit Cyberbedrohungen umzugehen, einen effektiven Schutz davor zu entwickeln und die Verantwortlichen aufzuspüren und dingfest zu machen. Alleine die schiere Masse an Schadcode, der im Umlauf ist – Experten sprechen von bis zu 300 Millionen Kopien pro Jahr – macht es unglaublich schwierig; die Professionalität und Komplexität schier unmöglich.

Im Zentrum der Entwicklung von Schadcode steht nämlich dessen Tarnung. Die Taktik, Viren & Co. in E-Mail-Attachments zu verstecken, macht sich eine menschliche Schwäche zunutze: die Neugier. Im Gegensatz dazu ist der Hebel bei in der Regel besser gesicherten IT-Umgebungen in Unternehmen ein anderer: Dort steht die Ausnutzung der Schwächen der Verteidigungssysteme im Fokus der Attacke. Das große Ding der heutigen Zeit sind in diesem Bereich Zero-Day-Exploits, die bis dato unentdeckte Lücken in breit genutzten Anwendungen wie Browsern oder eben auch Sicherheitssoftware ausnutzen.

Fest steht, dass Angriffe immer ausgefeilter und zahlreicher werden. Eine Ursache dafür ist die Digitalisierung des Lebens – vom mobilen Internet über Cloud Computing bis zum Internet der Dinge eröffnet die explosionsartige Zunahme von Verbindungspunkten zahlreiche neue Einstiegspunkte, um Schadcode in IT-basierte Systeme aller Art einzuschleusen. Ein besonders wunder Punkt der schönen, neuen, digitalen Welt ist die Authentifizierung: Wenn eine Anwendung angesprochen wird, muss sie davon überzeugt sein, dass der Befehl von einer autorisierten Instanz ausgesprochen wird.

Die Sicherheitslücke Fake ID, die 2014 bei Android-Versionen bis 4.2 auftrat, ist ein Beispiel dafür: Um Schadcode einzuschleusen, mussten die Angreifer ihn lediglich mit einem gefälschten Zertifikat versehen, was unglaublich einfach war. Da der Installer die Authentizität des Zertifikats nicht überprüfte, genügte es, an das gefälschte Zertifikat einfach den korrekten Dateinamen des echten Pendants zu vergeben. Angreifer konnten so allen Apps beliebige Berechtigungen zuzuweisen, die sonst nur vertrauenswürdigen Apps vorbehalten waren und Zugriff auf persönliche Daten erlangen.

Neues Angriffsverhalten

Im Zuge der immer stärkeren Vernetzung hat sich auch das Angriffsverhalten verändert und geht inzwischen weit über Attacken, die sich gegen klassische Serverstrukturen und Datenbanken richten, hinaus. So wurde 2014 ein ganz anderes vernetztes System zur Zielscheibe: das der PoS-Terminals zur bargeldlosen Zahlung an der Ladenkasse. Diese wurden bei großen Einzelhandelsketten wie Home Depot und Staples in den USA als Einfallstore genutzt. Das Ergebnis: Die Kreditkarten- und Kontodaten von insgesamt fast 60 Millionen Kunden wurden auf diese Weise gestohlen.

Das Problem hierbei: Trotz dieses dramatischen Vorfalls ist die zugrundeliegende Sicherheitsproblematik der Sicherheit von PoS-Terminals weiterhin ungelöst. Eine Schwachstelle ist auch hier der Mensch. So versäumen es viele Händler, ihre PoS-Geräte mit komplexen Passwörtern abzusichern. Weitere Mängel dort sind fehlende Anti-Malware-Software für die Systeme sowie die Integration der PoS-Geräte mit dem herkömmlichen Internetzugang. Auch werden Firmware- oder Software-Updates nicht gewissenhaft durchgeführt, sodass Cyberkriminelle dank veralteter Versionen leichteres Spiel haben.

HIGHLIGHT

Windows 10: Datenschutzeinstellungen unter der Lupe

Mit Windows 10 will Microsoft auch den Datenschutz und die Sicherheit deutlich verbessern. Hierfür stehen in den Einstellungen zahlreiche Optionen zur Verfügung, mit denen Anwender ihr Datenschutz- und Sicherheitsniveau selbst regulieren können.

Die Exploits Shellshock und Heartbleed hingegen sind Beispiele, die belegen, mit welcher Akribie Cyberkriminelle Anwendungen analysieren und so Schwachstellen finden, die selbst die Urheber, in diesem Fall die gesamte Open-Source-Community, noch nicht entdeckt haben. Shellshock nutzte eine Lücke in der Unix-Shell Bash, um Programme ungeprüft auszuführen. Dadurch konnten die Angreifer weitläufige Botnets bilden und großangelegte DoS-Attacken fahren.

Bei Heartbleed wurde perfiderweise eine Schwachstelle in einem System ausgenutzt, das den Anwender eigentlich vor Ausspähung schützen sollte, nämlich OpenSSL. Die Heartbeat-Funktion, die die Verbindung bei einem Meeting zwischen Sender und Empfänger überprüft, diente hierbei als Vehikel, um vertrauliche Informationen unerkannt zu transportieren. Das Resultat war in diesem Fall, dass Angreifer sich in jegliche SSL-geschützte Verbindung einloggen, und so Daten und Identitäten stehlen konnten.

Ransomware-Welle droht

Wie eingangs bereits erwähnt, entwickeln sich nicht nur die technischen Angriffsvektoren rasant weiter, sondern auch die „Geschäftsmodelle“ der Cyberkriminellen. Ransomware, also Programme zur Erpressung, ist in der jüngsten Vergangenheit zu einem Millionengeschäft geworden. Dabei geht es nicht darum, Personen oder Organisationen mit der Veröffentlichung sensibler Daten zu erpressen, wie es bei dem Angriff auf die Sony Corporation im Umfeld der Premiere des Films „Das Interview“ geschehen ist. Die so genannten Verschlüsselungs-Trojaner sperren ihre Opfer regelrecht aus.

Beispiel für eine Ransomware, die es auf Android-Nutzer abgesehn hat, ist
diese Variante von Android.Trojan.SLocker.DZ. In diesem Fall gaukelt sie Betroffenen vor, das FBI hätte sie ins Visier genommen, um sie zu einer Zahlung zu bewegen (Bild: Bitdefender).

Beispiele dafür sind in 2014 unter den Namen CryptoWall und Cryptolocker zu zweifelhaftem Ruhm gelangt. Die Programme wurden in die Systeme der Opfer eingeschleust und haben die dort gespeicherten Daten verschlüsselt. Bei Zahlung eines Lösegelds (englisch „ransom“), oftmals mittels Bitcoins, erhalten die Geschädigten eventuell den Schlüssel, um die Daten wieder zugänglich zu machen. Im ungünstigsten Fall wird trotz der Lösegeldzahlung der Schlüssel nicht zur Verfügung gestellt oder der Trojaner zerstört die Daten sogar unwiederbringlich.

Das Geschäft scheint recht lukrativ zu sein. Offizielle Zahlen belaufen sich auf 3 Millionen Dollar Lösegeld, die alleine von der Cryptolocker-Bande binnen weniger Wochen eingenommen wurden. Die Dunkelziffer dürfte um einiges höher liegen, viele Opfer wenden sich aus Scham nicht an die Verfolgungsbehörden oder gar die Öffentlichkeit. Die Trojaner selbst sind hochkomplex: Sie sind polymorph, das bedeutet, der Command-and-Control-Server generiert eine eigene Variante für jedes Angriffsziel. Die Server wiederum verschleiern ihren Standort über das Anonymisierungsnetz TOR. Der Verschlüsselungsalgorithmus ist so komplex, dass er unter normalen Umständen nicht zu knacken ist. Das macht dieses Geschäft so lohnenswert für Kriminelle und zu einer der größten Bedrohungen der nahen Zukunft.

AUTOR

Bogdan Botezatu ...

... ist Senior E-Threat Analyst bei Bitdefender . Das Unternehmen bietet Security-Software für Verbraucher und Firmen an. Zum Portfolio gehörn auch Schutzsoftware für Android-Geräte und Rechner mit Mac OS, ein kostenloser Online-Virenscanner sowie einige Tools, die bei der Virenentfernung helfen und über Einstellungen zur Privatsphäre aufklären.

Peter Marwan

Für ZDNet veröffentlicht Peter immer wieder Beiträge zum Thema IT Business.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago