Wir möchten auf unserer Internetseite Dienste von Drittanbietern nutzen, die uns helfen, unsere Werbeangebote zu verbessern (Marketing), die Nutzungsweise unserer Internetseite auszuwerten (Performance) und die Internetseite an Ihre Vorlieben anzupassen (Funktional). Für den Einsatz dieser Dienste benötigen wir Ihre Einwilligung, welche jederzeit widerrufen werden kann. Informationen zu den Diensten und eine Widerspruchsmöglichkeit finden Sie unter „Benutzerdefiniert“. Weitergehende Informationen finden Sie in unserer Datenschutzerklärung.

Use #itsa365

12. - 14. Oktober 2021 // Nürnberg

it-sa Newsroom

Manipulieren, kaschieren, infiltrieren: aktuelle Hacking-Techniken der Cyber-Gangster

Technik

Symbolbild: mehrere Schlösser, darunter ein geöffnetes
© iStock/MicroStockHub

Schamlos nutzen Cyber-Kriminelle die aktuelle Krise aus. Mit Geduld und immer neuen Methoden gelangen sie an ihr Ziel. Sie beeinflussen dafür Suchmaschinenergebnisse oder manipulieren Bilddateien ­– und machen selbst vor Angriffen im Darknet nicht halt.

Die jüngste Umfrage unter Ausstellern der it-sa zeigt: Sicherheitslösungen für das Homeoffice sind stark gefragt - und dringend notwendig, weil Angriffe immer raffinierter werden: Wie die New York Times berichtet, greift eine mutmaßlich russische Gruppe die Netzwerke Angestellte an, die wegen der Corona-Pandemie im Homeoffice arbeiten. Sie versucht, die Heimnetze von Mitarbeitern großer Einrichtungen zu infizieren. Die eingesetzte Schad-Software wartet anschließend, bis sich die betroffenen Mitarbeiter mit dem Firmennetz verbinden und dringt dann in das Netzwerk des Unternehmens ein. Danach versucht der Schädling, Anti-Virus- und Backup-Programme abzuschalten, um die Netze mit Ransomware zu verseuchen, die er zuvor aus dem Internet herunterlädt.

Umwelt gegen Unterwelt

Auch außerhalb der Homeoffice-Umgebung lauern bekanntlich Gefahren, und selbst das Darknet ist Schauplatz von Cyber-Angriffen. Spezialisten eines großen Security-Unternehmens berichten von einer Angriffskampagne, die Darknet-Einkäufer ins Visier nahm. Weil der Zugang in das Darknet nur über den Tor-Browser möglich ist, manipulierten die Cyber-Gangster diesen gezielt. Sie pflanzten dem Browser einen Trojaner ein und deklarierten das Resultat als Update. Diese Version war funktional identisch, lediglich die Überprüfung von Signaturen der Plugins und die Suche nach Updates wurden ausgeschaltet. Damit war es unwahrscheinlich, dass die Modifikationen durch ein weiteres Update überschrieben werden. Die Angreifer lockten ihre Opfer auf Darknet-Seiten, die gefälschte Plugins mit Malware zum Download anbieten. Im Endeffekt hatten es die Angreifer auf die Bitcoins der Opfer abgesehen, die Währung des Darknet. Erfolgreich waren sie nur, weil sie viele Darknet-Nutzer zum Download ihres modifizierten TOR-Browsers verleiten konnten. Das gelang, indem über mehrere verschiedene Pastebin-Accounts Suchmaschinen beeinflusst wurden. Dadurch erschien die Download-Seite für den gefälschten Browser bei den Antworten der Suchmaschinen weit vorne.

Mit Steganografie Schutzprogramme überwinden

Wie skrupellos sie sein können, bewiesen Cyber-Kriminelle schon zu Beginn der Corona-Krise, als sie verstärkt medizinische Einrichtungen angriffen. Zugleich sind sie immer wieder erfinderisch, etwa wenn sie Daten in Cookies verstecken, um sie unbemerkt aus dem Unternehmen zu schleusen.

Angreifer kennen auch die Schwächen der Anti-Virus-Programme sehr genau. Gerne setzen sie deshalb Steganografie ein. Steganografie erlaubt, Informationen in Fotos zu verstecken. Dazu wird beispielsweise ein Bit jedes Pixels verwendet, ohne dass dies bei der Betrachtung des Bildes auffällt. Bei einem Foto mit 20 Millionen Pixeln kommt genug Speichervolumen zusammen, um darin Malware zu verbergen. Beim Einschleusen in IT-Netze wird sie so nur selten erkannt.

Mit dieser Methodik machte eine altbekannte Gruppe erneut auf sich aufmerksam. Die unter der Bezeichnung Dukes bekannte Gruppe ist bereits seit über 10 Jahren aktiv und tritt laut Faou auch unter Namen wie APT29 oder Cozy Bear auf. Sie soll 2015 das Netzwerk der US-Demokraten gehackt sowie auch das norwegische Verteidigungsministerium angegriffen haben. Ziele ihrer Kampagnen seien oft Diplomaten, Parteien und militärische Organisationen, so der Sicherheitsanalyst Matthieu Faou. Doch 2017 verschwanden sie plötzlich von der Bildfläche, bis sie im letzten Jahr mit einer neuen Kampagne Aufmerksamkeit erregten. Wie bei komplexeren Attacken üblich, führten sie den Angriff in mehreren Phasen durch. Beginnend mit verseuchten Dokumenten, beispielsweise in Email-Anhängen, erzielten sie Zugang ins Netz. Mit den erbeuteten Zugangsdaten werden durch Seitwärtsbewegungen im Netz der Opfer interessante Ziele ausgekundschaftet. Schließlich wurde in Tweets oder anderen Social-Media-Postings versteckte Malware installiert. Die darin enthaltene Nachladefunktion nimmt Kontakt zu Control-Servern auf, von denen sie Foto herunterlädt, die den eigentlichen Schädling enthalten. Wandern Fotos durch ein Unternehmensnetz, fällt dies gewöhnlich nicht auf. Kombiniert mit mehrstufigen Verfahren erfolgt eine effiziente Verschleierung. Faou geht davon aus, dass die Gruppe sich derzeit auf die US-Wahl im Herbst vorbereitet.

_______________

Neuheiten rund um die it-sa und News aus der IT-Sicherheitswelt finden Sie auch im it-sa Security Newsletter.

Zur Newsletter-Anmeldung

top