Was Sicherheitsexperten derzeit den Schlaf raubt

Woche 45: Das etwas andere Hobby

Uhr
von Coen Kaat

Malware steht auf Telegram, ein Wurm frisst sich durch smarte Glühbirnen und die Windows-Lücke wird stärker ausgenutzt. Die Redaktion hat die Neuigkeiten der Woche zu Cybercrime und Cybersecurity zusammengefasst.

Sicherheitsforscher haben einen Wurm entwickelt, der es auf die vernetzten Glühbirnen von Philips abgesehen hat. Die Schadsoftware sei sehr ansteckend, schreibt The Register. Der Wurm nutzt das Zigbee-Wireless-Netzwerk, um von Glühbirne zu Glühbirne zu springen. Sofern sie nicht weiter als 400 Meter voneinander entfernt sind.

Die potenzielle Infektionsrate des Wurms sei enorm hoch. Eine einzelne infizierte Glühbirne genüge, wie es in dem Bericht der Forscher heisst. Innerhalb von Minuten könne sich der Wurm in einer kompletten Stadt ausbreiten.

Einmal unter Kontrolle der Kriminellen, könnten diese die intelligenten Glühbirnen ein- und ausschalten. Das klingt nervig. Aber die Kontrolle reicht noch weiter. Gemäss dem Bericht könnten Cyberkriminelle das Botnetz aus Glühbirnen auch für DDoS-Attacken ausnutzen. Da die Infektion über Zigbee und nicht über das Internet läuft, seien solche Angriffe besonders schwer zu erkennen.

Der Wurm wurde entwickelt von Eyal Ronen, Adi Shamir und Achi-Or Weingarten vom israelischen Weizmann Institute of Science in Zusammenarbeit mit Colin O’Flynn von der Dalhousie University in Kanada.

 

Pawn Storm setzt zum Rundumschlag an

Anfang November hat Google eine kritische Schwachstelle im Kernel von Windows bekannt gemacht. Noch bevor Microsoft ein Patch bereitstellen konnte, um das Problem zu lösen. Microsoft protestierte umgehend: Google habe dadurch Nutzer in Gefahr gebracht.

Diese Befürchtung war wohl begründet. Darauf lässt ein aktueller Bericht von Trend Micro schliessen. Die Sicherheitsexperten analysierten das Verhalten der Spionagegruppe Pawn Storm – auch bekannt als Fancy Bear, APT28, Sofacy oder Strontium.

Die Gruppe nutzte die Schwachstelle schon vor der Veröffentlichung aus, um hochkarätige Ziele anzugreifen. Die Cyberkriminellen verschickten gezielte Spam-Mails. Klickten die Opfer auf den Link darin, griff Pawn Storms Exploit-Kit über die Schwachstelle auf ihre Rechner zu.

Als die Schwachstelle publik wurde, versuchten es die Kriminellen eine Nummer grösser. Statt nur wenige spezifische Ziele anzugreifen, streuten sie ihre Spam-Kampagnen breiter – in mehreren Wellen. Mittlerweile hat Microsoft einen Patch veröffentlicht. Die Lücke sollte gestopft sein

 

Auch Malware steht auf Telegram

Spätestens seit Facebook den Messaging-Dienst Whatsapp aufgekauft hat, sind verschlüsselte Alternativen wie Threema oder Telegram enorm populär geworden. Das gilt wohl auch für Ransomware.

Die Sicherheitsexperten von Kaspersky Lab entdeckten ein neues Schadprogramm. Dabei handelt es sich um einen sogenannten Cryptor. Also um Malware, die Daten auf Endgeräten verschlüsselt. Um wieder auf die Daten zuzugreifen, benötigt man einen Codeschlüssel.

Einige Varianten speichern dieses auf dem Gerät selbst ab. Dort können Sicherheitsexperten ihn leicht finden. Alternativ holt die Malware den Schlüssel via Internet von seinem Command-and-Control-Server. Je sicherer die Verbindung, desto höher die Wahrscheinlichkeit, dass die Verschlüsselung nicht ohne Zahlung eines Lösegelds geknackt werden kann.

Statt selber die Kommunikation zu verschlüsseln, setzt der Fund von Kaspersky auf Telegram. Hierzu kreierten die Cyberkriminellen zunächst einen Telegram-Bot. Dieser bildet das Kernstück der Malware und kommuniziert mit dem Kontrollserver.

Bisher greift die Malware vor allem Ziele in Russland an. Sonderlich gierig ist er dabei nicht. Als Lösegeld verlangen die Kriminellen 5000 russische Rubel – umgerechnet nur etwa 77 US-Dollar.

 

Und was Sicherheitsexperten so machen, wenn ihnen wohl langweilig ist

Amihai Neiderman ist Head of Research bei Equus Technologies. Wie PCworld.com schreibt, stiess Neiderman auf einen ihm unbekannten Wireless-Hotspot. Der Hotspot gehörte zum kostenlosen Wireless-Angebot der Stadt Tel Aviv.

Neiderman wurde stutzig und fragte sich, wie sicher dieses Netz wohl sei. Und schon hatte er ein neues Hobby gefunden. Nach einigen Versuchen entdeckte er eine Verwundbarkeit im Pufferüberlauf der Router. Mit einem sehr langen Sitzungscookie konnte Neidermann diese Schwachstelle ausnutzen und die volle Kontrolle über das Gerät erlangen.

Netzwerke wie dieses bestehen in der Regel aus standardisierter Hardware. Unzählige identische Router. Ist ein Access Point von einer Schwachstelle betroffen, sind die übrigen es vermutlich auch. Neiderman informierte den Hersteller. Dieser habe die Schwachstelle beim nächsten Firmware-Update bereits behoben.

Seine Ergebnisse präsentierte Neiderman an der Defcamp-Sicherheitskonferenz in Bukarest, Rumänien. Gemäss Bericht handelt es sich bei Equus Technologies um einen Spezialisten für Netzwerksicherheit. Viele Spuren hinterlässt er aber nicht im Web. So verfügt Equus etwa nicht über eine eigene Website. Nur über ein Linkedin-Profil. Demnach arbeiten 13 Personen für das Unternehmen.

Webcode
DPF8_14339