Folgend auf den ersten Quartalsrückblick 2019 beleuchten wir auch für die aktuell zurückliegenden Monate einen Auszug relevanter Ereignisse und Statistiken. Neben einer klugen Art, Malware betriebssystemunabhängig zu verteilen werden Kriminelle immer jünger. Und auch große Unternehmen wie einige Telekommunikationsunternehmen oder selbst Apple hatten einiges an Sicherheit aufzuholen. 50 Jahre Mondlandung sind zudem ein Grund zum Feiern. Die Datensicherheit bei der NASA vermiest dabei die Party ein wenig. Zu guter Letzt gibt es aber auch noch Erfolgsmeldungen.
1. Malware-Bedrohungslage
Im zweiten Quartal des Jahres hält sich immer noch DoublePulsar hartnäckig im Mittelfeld der Top10 der globalen Angriffsversuche und derer in Deutschland, Österreich und der Schweiz. Knapp einen Platz dahinter finden wir mit CVE-2017-11882 einen Exploit, den uns bereits in einem anderen Artikel untergekommen ist. Interessant hierbei ist, dass die Statistik klar zeigt, dass dieser nur werktags verteilt wird. Unangefochten auf Platz 1 der Bedrohungs-Top10 liegt jedoch die Adware Subprop, die nach einigem „Grundrauschen“ im letzten Jahr im ersten Quartal gar nicht mehr präsent war, nur um am 2. Juni mit einem Schlag für über 15% aller blockierten Angriffsversuche weltweit verantwortlich zu sein. Seitdem hält sich der Schädling bei ungefähr 10%.
2. Krypto-Miner mit eigener VM
Im Juni gab es die Veröffentlichung zu einem neuartigen Krypto-Miner. Schadsoftware an sich, die die Systemressourcen ahnungsloser Opfer dazu missbraucht, Krypto-Währungen zu errechnen, ist natürlich nicht neu. Neu ist bei der LoudMiner getauften Malware ist allerdings, dass diese eine eigene, kleine Linux Umgebung auf sowohl macOS, als auch Windows Rechnern einrichtet und dort ihr Unwesen treibt. Im aktuellen Fall konnten wir den Schädling in gecrackter VST-Software für professionelle Audioproduktionsanwendungen entdecken. Diese Raubkopien erfreuen sich großer Beliebtheit, da die Originale teilweise mehrere Hundert Euro kosten können. Das erleichtert Cyberkriminellen die Arbeit enorm, ihren Schadcode entsprechend getarnt auf zwielichtigen Downloadseiten anzubieten.
3. NASA feiert Jubiläum mit schlechter Datenhygiene
2019 jährt sich die erste bemannte Mondlandung zum 50. Mal. Das ist natürlich ein Grund zum Feiern. Weniger erfreulich sind jedoch die Meldungen, dass viele IT-Systeme der NASA seit Jahren richtig schlecht abgesichert sind. Nachdem bereits 2011 von insgesamt 18 Servern der NASA 87 Gigabyte an Daten gestohlen worden waren sind im April 2018 weitere 500 Megabyte aus einem der Hauptsysteme des JPL (Jet Propulsion Laboratory) der NASA „unbefugt kopiert“ worden. Dazu gehören Missionsberichte und Unterlagen. Warum ist das relevant für einen Quartalsrückblick im Jahre 2019? Nun, eine interne Untersuchung zu den Vorfällen und dem Zustand der IT-Sicherheit der NASA allgemein wurde im Juni 2019 dazu veröffentlicht – und die Ergebnisse bringen teils eklatante Sicherheitslücken zum Vorschein. Der englischsprachige Leser kann sich den gesamten Report hier herunterladen.
4. Apples Gatekeeper lässt sich austricksen
Wie bekomme ich meine Malware auf ein vermeintlich sicheres Betriebssystem? Ich veranlasse den Nutzer dazu, die Malware selbst zu installieren! Das ist natürlich keine neue Erkenntnis. Deswegen gibt es in allen aktuellen Betriebssystemen die ein oder andere Maßnahme, unbekannte Dateien nicht einfach ungehindert starten zu lassen. Oft geschieht das basierend auf Zertifikaten. Apple hat verschiedene Maßnahmen unter macOS in „Gatekeeper“ zusammengefasst. Dort werden Zertifikate der Software und Entwickler geprüft und bekannte Schadsoftware durch eine Datenbank namens XProtect geblockt. Leider lässt sich dieses Verfahren umgehen. Der Nutzer wird dazu gebracht, eine manipulierte Datei herunterzuladen. Das ist zum Beispiel ein ZIP Archiv, das ein angebliches PDF enthält. Tatsächlich jedoch handelt es sich nicht um eine Datei, sondern um einen symbolischen Link, der auf ein externes Verzeichnis in der Cloud zeigt. Dieses wird von den Angreifern kontrolliert und wo entsprechend Maware (im dokumentierten Fall Adware) hinterlegt ist. Die Installationsdatei wird mit einem PDF Icon versehen, sodass der Nutzer diese bereitwillig anklickt und so eine externe Kommandozeile öffnet. Diese installiert dann den Schadcode. Ähnliche Angriffe wurden auch mit angeblichen Flash-Player Updates gesehen, sodass der Nutzer sich auch nicht über die erforderliche Eingabe des Root-Passworts wundert. Apple sieht anscheinend darin, dass Gatekeeper hier nirgendwo in der Kette eingreift, kein Problem. Anders ist nicht zu erklären, dass der Tech-Gigant es seit Februar (als die Entdecker der Lücke Apple entsprechend kontaktierten) nicht für nötig hielt, diese Lücke zu patchen. Also Augen auf beim Datei-Download und bestenfalls auch unter macOS eine zusätzliche Schutzsoftware nutzen!
5. Datendiebstahl bei Telcos
„Soft Cell“ aber leider ohne „Tainted Love“ – eine großangelegte Spionageoperation namens Soft Cell wurde ebenfalls im 2. Quartal publik. Höchstwahrscheinlich staatliche Akteure unbekannter Herkunft haben weltweit Telekommunikationsanbieter angegriffen und so Hunderte Gigabyte an Verbindungs- und Standortdaten erbeuten können. Über bekannte und unbekannte Sicherheitslücken der Mobilfunkstandards, sowie einige Hintertüren sind über Monate umfangreiche Nutzerprofile zu erstellen und zu stehlen. Anschließend wurden laut Angaben mehr als 20 Personen mithilfe der Daten gezielt ausgespäht. Die Opfer haben von allem nichts mitbekommen, da keine Schadsoftware oder ähnliches auf ihren Mobiltelefonen installiert wurde. Die Angreifer nutzten für ihre Operation Schwachstellen in den IIS der Webserver der Telcos und platzierten dort einen Remotezugriff. Als zusätzliches Feature ließen sich so gleich Logindaten entsprechend mit erbeuten, mit denen alle möglichen anderen Aktionen noch möglich waren. Das Vorgehen und die eingesetzten Tools und Lücken deuten stark in Richtung staatlicher Auftraggeber. Woher diese jedoch genau stammen, bleibt ungesichert. Klar ist aber auch, dass gerade Telekommunikationsanbieter und Internetservice Provider stark in der Pflicht sind, IT-Security als oberste Priorität zu betrachten und ihre Systeme entsprechend regelmäßig überprüfen und aktualisieren.
6. 14-jähriger legt „aus Spaß“ IoT lahm
Das Internet der Dinge besteht leider aus viel zu vielen Geräten, die schlecht oder gar nicht gesichert sind. Das können Webcams sein oder auch Router. Oft kommen dabei UNIX basierte Systeme, wie speziell angepasste Linux oder BSD Varianten zum Einsatz. Im letzten Juni wurde eine Malware namens „Silex“ bekannt, die innerhalb von Tagen mehrere Tausend verwundbare Geräte aufgespürt und befallen hat. Anstatt jedoch die Geräte einer neuen Funktion, wie DDoS / Spam Attacken oder Spionage, zuzuführen beschränkt sich der Malware-Autor auf bloße Zerstörung. Zuerst verschafft sich der Schädling eine Übersicht über alle Laufwerke und deren Partitionen und überschreibt diese anschließend mit Zufallsdaten. Netzwerk- und Firewall-Einstellungen und alle sonstigen, verbliebenen Inhalte der Geräte werden gleich mit gelöscht. Danach wird das Gerät gestoppt und/oder neu gestartet. Das führt dazu, dass die Benutzung nicht mehr möglich ist – das Gerät ist „gebrickt“. Daher erkennt ESET den Schädling auch als „Variante von Linux/Bricker.A“. Die Besonderheit bei Silex ist jedoch, dass es Security-Experten gelungen ist, den Autor der Malware zu kontaktieren. Es handelt sich dabei um einen erst 14-jährigen Europäer, der „aus Spaß“ auf die Frage nach seiner Motivation antwortete. Der sich selbst „Light Leafon“ nennende Kriminelle war zuvor schon durch die Urheberschaft des Botnets „HITO“ in Erscheinung getreten. Dieses hat er nun zugunsten von Silex aufgegeben und plant, noch weitere Features hinzuzufügen. Nutzer von IoT Geräten und Routern sollten also darauf achten, keine Standard-Anmeldedaten zu verwenden, regelmäßig auf Firmware-Updates prüfen und diese installieren, sowie eventuelle Telnet-Ports schließen.
7. Betrüger auf der Anklagebank
Zum Schluss jedoch noch eine gute Nachricht, wenn auch im traurigen Kontext. In Bayern hat ein Prozess gegen 4 Männer aus Sachsen begonnen, die durch gezieltes Phishing von Sparkassen-Kunden insgesamt 1,1 Millionen Euro erbeuten konnten. Nur 270000 Euro sind ihren Besitzern wieder zugeordnet worden. Über den Verbleib des restlichen Geldes soll der Prozess Aufschluss geben. Die Beschuldigten zwischen 22 und 29 Jahren, von denen einer bereits ein Geständnis abgelegt hat, blicken in eine Zukunft von bis zu 15 Jahren im Gefängnis.
Fazit
Auch der zweite Abschnitt des Jahres hatte es aus Sicherheitssicht in sich. Wieder einmal hat sich gezeigt, dass viele Security-Zwischenfälle vermeidbar wären, wenn man die wichtigsten Grundregeln beachtet. Erstaunlich ist, dass wir in diesem Quartal von vielen Fehlern von großen Unternehmen oder Institutionen gehört haben. Auch diese haben definitiv also auch ihre Hausaufgaben noch zu erledigen! Wie schon im ersten Quartalscheck des Jahres gelten auch weiter die entsprechenden Hinweise und Tipps.
Erfreulich ist, dass wir mehr und mehr Verhaftungen und Gerichtsprozesse von Cyberkriminellen sehen. Dies gelingt durch bessere Ausstattung, Ausbildung und Fokussierung der Strafverfolgungsbehörden in den Zentralen Ansprechstellen Cybercrime (ZAC) und die verstärkte Kooperation mit IT-Security Experten weltweit.
Image Credit:Photo by NORTHFOLK on Unsplash