Woche 34

Was Sicherheitsexperten derzeit den Schlaf raubt

Uhr
von Coen Kaat und null

Cyberkriminelle in der Schweiz vor Gericht, edukative Malware wird bissig und die Geburt des #Botnetz: Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

Pixabay/DasWortgewand/CC0 Public Domain
Pixabay/DasWortgewand/CC0 Public Domain

Premiere: Erstmals stehen in der Schweiz potenzielle Cyberkriminelle vor Gericht, die weltweit aktiv waren. Die Bundesanwaltschaft wirft drei Beschuldigten vor, zwischen 2009 und 2015 mindestens 133'600 Kreditkartendaten entwendet zu haben.

An die Daten sollen sie durch Phishing-Attacken gekommen sein. Solche Angriffe nutzen die Gutgläubigkeit des Opfers aus. Über gefälschte Websites, Kurznachrichten oder E-Mails versuchen Hacker, die Nutzer dazu zu bringen, ihre persönlichen Daten preiszugeben. Die Daten können die Kriminellen anschliessend weiterverkaufen oder per Identitätsdiebstahl selbst die Konten der Opfer plündern.

Im Fall der drei Cyberkriminellen, die in der Schweiz vor Gericht stehen, soll es allein in der Schweiz um einen Schaden von mehreren Millionen Franken gehen. Dies berichtet die Handelszeitung und beruft sich dabei auf eine anonyme Quelle.

Einer der Beschuldigten ist gemäss dem Bericht Farid Essebar, auch bekannt als "Diab10", der Autor des Zotob-Wurms. Dieser Schädling legte vor einigen Jahren etwa die Rechner des Flughafens von San Francisco sowie die Rechner von CNN, der New York Times und Microsoft lahm.

Das hätte man ja voraussehen können

In den vergangen zwei Wochen haben die Sicherheitsforscher von Trend Micro drei neue Typen von Open-Source Ransomware entdeckt. Die Schadprogramme suchen spezifisch nach Daten, die im Zusammenhang mit Web-Servern und Datenbanken stehen, wie Trend Micro in seinem Blog schreibt. Das deute darauf hin, dass die Programme Unternehmen angreifen sollen.

Die drei neuen Schadprogramme basieren auf Hidden Tear und EDA2 – beide gehören zu den ersten Formen von offener Ransomware. Ursprünglich wurden sie zu Bildungszwecken erschaffen. Wie Trend Micro schreibt, dauerte es aber nicht lange, bis Cyberkriminelle die Ransomware für ihre Zwecke verwendeten. Schliesslich waren die Schadprogramme ja Opensource – Die Cyberkriminellen mussten sich also nicht vor Lizenz-Klagen fürchten.

Der Vorteil dieser quelloffenen Malware sei ihre Bequemlichkeit, schreibt Trend Micro. Kriminelle könnten auch ohne tiefgehende IT-Kenntnisse den Code ihren Bedürfnissen anpassen und ihre eigene Erpressersoftware kreieren. Ransomware von Grund auf neu zu programmieren, sei bedeutend schwerer.

Einer der Ableger von EDA2 trägt gemäss dem Blogeintrag den Namen Fsociety. Eine offensichtliche Anspielung auf die fiktive Hackergruppe mit demselben Namen aus der amerikanischen TV-Serie "Mr. Robot".

#Botnetz – ein neuer Twitter-Trend?

Der slowakische Sicherheitsspezialist Eset hat neue Malware für Android-Geräte entdeckt. Für sich genommen ist das noch nichts Neues. Diese neue Mobile-Schadsoftware namens Android/Twitoor wird allerdings über Tweets gesteuert, wie Eset mitteilt.

Bei der gefundenen Malware handelt es sich um ein Backdoor-Programm. Also ein Türöffner für grösseres Übel. Sobald er ein Smartphone infiziert hat, sucht er nach einem verknüpften Twitter-Account. Sobald er per Tweet den Befehl dazu erhält, kann die Malware weitere Schadprogramme auf den infizierten Rechner laden. Zu den Nachzüglern zählen auch Banking-Trojaner.

Traditionelle Backdoors mussten hierfür Verbindung mit einem Command-and-Control-Server aufnehmen. Mit dem Twitter-Backdoor können die Cyberkriminellen Geld sparen, da sie keinen Kontrollserver brauchen. Auch lassen sich ihre Spuren so leichter verwischen. Und da kein Server vom Netz genommen werden kann, lässt sich die Kommunikation mit dem Backdoor länger ungestört aufrechterhalten.

Die Kriminellen verbreiten die Apps über SMS-Nachrichten und schädlichen Links. Diese gaukeln dem Nutzer vor, hinter dem Link stecke eine MMS-App oder ein Porno-Videoplayer, wie Eset schreibt. Infizierte Apps habe der Sicherheitsexperte im Play Store noch nicht gefunden.

Und NSA-Exploits werden genutzt

Vergangene Woche hatte eine Gruppe namens "Shadow Brokers" angeblich den amerikanischen Nachrichtendienst NSA (National Security Agency) gehackt. Die Hacker stahlen Tools und Informationen zu Schwachstellen, von denen die NSA Gebrauch machen soll und veröffentlichten diese online. Für jeden frei zugänglich.

Verschiedene Unternehmen und Personen, darunter Edward Snowden und Kaspersky Lab, bestätigten, dass der NSA-Hack legitim war und das Tool tatsächlich vom Nachrichtendienst kommt.

Zu den veröffentlichten Informationen gehörte auch ein Exploit in der Adaptive-Security-Software (ASA) von Cisco. Brendan Dolan-Gavitt, ein Sicherheitsforscher der Universität von New York, wurde neugierig, wie Wired berichtet. Er wollte herausfinden, ob jemand tatsächlich diese Exploits angreift. Also legte er einen Köder aus mit einem sogenannten Honeypot. Also ein isoliertes Netzwerk, das den Angreifer auf eine falsche Fährte locken soll, indem es vorgaukelt, wertvolle Informationen zu beinhalten.

Für seinen Honigtopf verwendete Dolan-Gavitt die durch den NSA-Hack bekannt gewordene Cisco-Schwachstelle. Schon nach 24 Stunden hatte bereits der erste seine Finger im Topf. Seither registriert der Sicherheitsforscher gemäss dem Bericht jeden Tag ein paar Angriffsversuche.

Cisco hat unterdessen ein Patch für die Schwachstelle veröffentlicht. Wie Wired schreibt, zeige dieser Vorfall jedoch, wie gefährlich es sein kann, wenn Nachrichtendienste Informationen zu Schwachstellen horten, statt die betroffenen Unternehmen darüber informieren.

Webcode
4TNmTHhG