ISPIN Security Radar #32/19

/Security Radar

Hacker: Nerd oder Businessman? Cyber-Kriminelle sind längst keine Einzeltäter mehr, sondern effizient organisierte «Firmen» mit hochspezialisierten IT-Experten, eigener Personalabteilung, Hotline und allem was zu einer normalen Unternehmung dazugehört. Und IoT ist dabei nicht nur Türöffner für neue Geschäftsmodelle sondern auch potentielle Hintertür ins Unternehmen.

 

Mit gerade mal fünf Jahren knackte Kristoffer die "XBox" seiner Eltern. Wer jetzt der Meinung ist, dass Hacker vereinsamte Einzeltäter sind, die im dunklen, stillen Kämmerlein Fortnite spielen und nach Schlupflöchern beim FBI suchen, sollte diese Meinung schnellstens revidieren. Cybercrime wird immer mehr zu einem eigenen Wirtschaftszweig. Die Cyberkriminellen werden immer professioneller, sowohl hinsichtlich ihrer Organisationsstruktur als auch der Qualität der Angriffe. Sie sind international vernetzt, hochgradig spezialisiert und stark arbeitsteilig: Muttersprachler übersetzen die Forderungen oder Phishing-Mails in verschiedene Sprachen, IT-Experten verschlüsseln die Computer, andere wiederum erschleichen sich in sozialen Medien das Vertrauen ihrer Opfer. Dabei ändern die Cyberkriminelle ständig ihre Angriffsmuster, verfeinern ihre Fähigkeiten und entwickeln ihre Werkzeuge und Taktiken weiter. Es wird geschätzt, dass Cyberkriminelle global zehnmal mehr Geld für Tools und Codes ausgeben als Unternehmen für ihre Sicherheit.

Alles nur Übertreibung?

Die Zahlen sprechen für sich:

  • 6 Billionen USD jährlicher Schaden durch Cybercrime ab 2021 gemäss Schätzung von Cybersecurity Ventures
  • 20.4 Milliarden miteinander verbundene Geräte bis 2020 gemäss Gartner Research
  • 14.7 Milliarden aufgezeichnete Datenverluste seit 2013, von denen wir wissen, gemäss Breach Level Index. Die aktuellen Zahlen zu den Datenverlusten sehen so aus:

 

Hauptmotiv: Geld

Cyberkriminalität ist äusserst lukrativ. Mit dem Verkauf von Exploits und gestohlenen Daten sowie durch Erpressung verdienen die Angreifer viel Geld. Datensicherheit ist heute ein Verkaufsargument, darum sind Hacker auch für Firmen enorm wichtig, um Sicherheitslücken zu finden. Unternehmen wie Apple verteufeln die Hacker nicht nur – sondern entlöhnen sie fürstlich, damit diese intern versuchen, die Systeme zu knacken und so Sicherheitslücken finden, die dann behoben werden können, bevor es zum Datenleck kommt. Musste Santiago Lopez noch 1670 IT-Schwachstellen  melden (seit 2016) um Millionär zu werden, können Hacker es, dank neuem Bug Bounty Programm von Apple, bereits mit einer Schwachstelle zum Millionär bringen. Auch andere Firmen wie Microsoft, Samsung, Google, Huawei bezahlen bis zu 6-stellige Prämien. Dass die Guten irgendwann gewonnen haben, wird aber nicht passieren.

Unterschätzte IoT-Gefahren

An der diesjährigen Hackerkonferenz Defcon hatten Sicherheitsforscher aus aller Welt neue, beunruhigende Möglichkeiten zum Angriff auf IT-Geräte vorgestellt. Das «Oh mein Gott»-Ladekabel für Apple, mit dem ein Hacker problemlos den Bildschirminhalt des Mac sehen, Mausbewegungen und Tastatureingaben mitlesen oder Spionagesoftware installieren kann, ist nur ein Beispiel. Warum man gewöhnliche Bürogeräte fürchten sollte, erklärten Experten der britischen Sicherheitsfirma NCC Group. Sie haben innert Kürze durch simples Fuzzing – also automatisierte Tests –  mindestens 35 Sicherheitslücken bei 6 grossen, namhaften Druckerherstellern gefunden. Einige von ihnen gelten als kritisch. Unter anderem können aus der Ferne und ohne vorherige Authentifizierung, Druckaufträge ausgeleitet und Geräte zeitweilig lahmgelegt oder zu Angriffswerkzeugen gemacht werden. Brother ist mit stolzen 300 verwundbaren Geräten trauriger Spitzenreiter. Dass die IT-Administratoren die Drucker stiefmütterlich behandeln und Updates oft stark zeitverzögert installieren, verschärft das Problem zusätzlich. Kommt dazu, dass zigtausende Drucker frei über das Internet zugänglich sind, wie Recherchen mit der Internet-of-Things-Suchmaschine Shodan zeigen.

Sicherheitsforscher von Microsoft haben bereits vor Angriffen der russischen Hackergruppe "Fancy Bear" gewarnt. In drei aktuellen Fällen gelang es den Hackern, in Firmennetzwerke zu gelangen und die IT nach weiteren Schwachstellen zu scannen. Gemäss Microsoft hat Fancy Bear unter anderem Netzwerk-Drucker, VoIP-Telefone oder Video-Decoder von Überwachungskameras als Einfallstore genutzt. Bei zwei der gehackten Geräte war das Standardpasswort nicht ersetzt worden, bei einem anderen wurden die aktuellen Updates nicht eingespielt. Die Angriffe hätte somit verhindert werden können.

Smarte schöne Welt

Das Internet der Dinge (IoT) hat längst auch Einzug ins Privatleben gehalten. Handy, Tablets, Smart Watch, Smart TV, Smart Kitchen, Smart Speaker, Digitalkamera, Autos etc. – die digitale Vernetzung ist in vollem Gange und immer mehr "Dinge" werden mit Internetfunktionalität ausgestattet. Doch mit der steigenden Anzahl der Geräte, steigt auch das Sicherheitsrisiko im Privatbereich. Ein Beispiel lieferten die Sicherheitsforscher von Check Point im Rahmen der Defcon-Konferenz. Sie warnten vor einer kritischen Lücke in DSLR-Kameras von Canon. Sie zeigten anhand einer Canon EOS 80D, wie Angreifer mittels WLAN-Verbindung die Digitalkamera kapern und sich Zugriff auf das Dateisystem verschaffen können um eine Schadsoftware zu installieren. Als Transportmittel nutzten sie dabei das Picture Transfer Protocol (PTP) und zwar ohne jegliche Authentifizierung. Auf diese Weise konnten sie sich fremde Fotos anschauen oder diese verschlüsseln, so dass der Fotograf das Nachsehen hatte.

Gamer-Szene im Visier

Auch den Spielern geht es an den Kragen. Die Malware «Baldr» ist eine ernste Bedrohung für die Gamer. Der Trojaner tauchte erstmals im Januar 2019 in Russland auf, ist jetzt aber bereits weltweit verbreitet. Er nutzt die Gamer-Natur aus – jeder möchte schliesslich besser sein als seine Gegner – und versteckt sich in Online-Videos, die den Gamern Tipps&Tricks versprechen. Baldr ist sehr aktiv, es gab die letzten Monate mindestens vier Updates mit neuen Funktionen, und hat es auf Spieler-Identitäten abgesehen. Diese ermöglichen dem Angreifer Gegenstände aus Spielen zu stehlen, von denen einige in Underground-Foren viel Geld einbringen. Zusätzlich zu den Passwörtern für Spiele ist Baldr auch in der Lage, alle zwischengespeicherten Anmeldeinformationen in Browsern zu stehlen, wie diese für Banken, Kreditkarten, Online-Shopping und Arbeitszugang.
 

Sie möchten noch umfangreicher informiert werden? Der wöchentliche Threat Report von ISPIN liefert Ihnen kontinuierlich Bedrohungsinformationen und verschafft Ihnen damit Transparenz über Ihre aktuelle Sicherheitslage. Nehmen Sie mit uns Kontakt auf.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter