Melani sieht Hardware-Sicherheitslücken als besondere Bedrohung
Im ersten Halbjahresbericht 2018 hat die Melde- und Analysestelle Informationssicherung des Bundes (Melani) den Schwerpunkt auf Lücken in der Hardware gelegt. Auch die Mehrfachnutzung von Passwörtern und gezielte Phishing-Mails fanden Platz im Bericht.
Der Halbjahresbericht für die erste Jahreshälfte 2018 der Melde- und Analysestelle Informationssicherung des Bundes (Melani) befasst sich insbesondere mit Sicherheitslücken in der Hardware sowie mit Phishing-Mails. Im Gegensatz zu Malware, welche die Software angreift, lassen sich Fehler im Hardware-Design nicht mit einem Patch oder Update aus der Welt schaffen, wie im Bericht steht. So seien die Hardware-Lücken "Spectre" und "Meltdown", die in der ersten Januarwoche 2018 bekannt wurden, im Ausmass gravierend gewesen: Sie seien in der Lage gewesen, Daten auszulesen, die sich auf den Prozessor befänden.
Der Cache als Schwachstelle
Prozessoren treffen Annahmen darüber, welche Rechenoperationen als nächstes benötigt werden, führen diese aus und speichern die Resultate. Treffen diese Annahmen nicht zu, verwirft der Prozessor sie wieder. Computer legen häufig benötigte Instruktionen und Dateien im Cache ab, der direkt auf dem Prozessor implementiert ist. Angreifer können aus der benötigten Rechenzeit eines Datenzugriffs auf die Speicheradresse der Daten schliessen.
"Um auf geschützte Informationen zuzugreifen, nutzt ein Angreifer aus, dass auch Resultate in den Speicher geschrieben werden, für die er gar keine Rechte hat", heisst es im Bericht. Eine Überprüfung fände erst statt, wenn das Resultat wirklich gebraucht werde. Im Missbrauchsfall wird die Operation mit einer Fehlermeldung abgebrochen. Trotzdem verbleiben die Informationen für eine kurze Zeit im Cache und können von Cyberkriminellen ausgelesen werden.
Olympia-Wurm aus Spiez
Die Malware "Olympic Destroyer" trat erstmals an den Olympischen Winterspielen 2018 in Pyeongchang in Südkorea in Erscheinung, wo sie die Infrastruktur des Veranstalters während der Eröffnungsfeier angriff. Mittlerweile werde "Olympic Destroyer" mit der Hackergruppe "Sofacy" in Verbindung gebracht, schreibt Melani mit Verweis auf Kaspersky.
Im Mai und Juni erhielten dann Finanzorganisationen in Russland sowie Biologie- und Chemie-Laboratorien im Bereich Gefahrenabwehr Phishing-Mails, deren angehängte Dokumente Kaspersky mit Teilen der "Olympic Destroyer"-Schadsoftware vom Februar 2018 in Verbindung brachte. Um die Empfänger dazu zu verleiten, den Anhang zu öffnen, bedienten sich die Angreifer einer öffentlich verfügbaren Einladung des Labors Spiez für eine internationale Konferenz. Als Absender nannten die Angreifer ebenfalls das Labor Spiez und das Bundesamt für Bevölkerungsschutz.
Mehrfachverwendung von Passwörtern kommt Kriminellen gelegen
Ferner widmet sich der Bericht ungewollten Datenabflüssen. Wie Melani schreibt, verwenden nach wie vor viele Nutzer das gleiche Passwort für mehrere Online-Dienste. Kriminellen kommt das gelegen, da es ihnen ermöglicht, die gesammelten Login-Daten aus den diversen Datenabflüssen bei verschiedensten Internetdienstleistern systematisch einzusetzen.
In einem Fall wurden knapp eine Million solcher gestohlener Log-in-/Passwort-Kombinationen benutzt, um zu versuchen, sich in ein Online-Portal einzuloggen. Im besagten Fall stammten die missbräuchlich verwendeten Zugangsdaten aus teilweise sehr alten Abflüssen bei anderen Anbietern. Bereits im Halbjahresbericht für die zweite Hälfte 2017 befasste sich Melani mit gestohlenen Datensätzen. Lesen Sie hier mehr dazu.
So verwenden Kriminelle gestohlene Daten
Als unmittelbare Vorgehensweise, um aus Datenabflüssen Geld zu machen, nennt Melani die direkte Erpressung des Unternehmens, bei dem die Daten gestohlen wurden. Weiter liessen sich mit abgeflossenen Daten personalisierte E-Mails generieren, welche die Erfolgschancen bei Phishing-Mails erheblich erhöhten. Als Beispiel dafür dient der Datenabfluss bei der Firma Epsitec. Die Angreifer stahlen E-Mail-Adressen, Telefonnummern und Postadressen von rund 35'000 Kunden und verwendeten diese, um den hartnäckigen Banking-Trojaner "Refete" zu verbreiten.
"Da Nutzerinnen und Nutzer unerwarteten und unpersönlichen E-Mails immer misstrauischer begegnen, müssen sich Kriminelle einiges einfallen lassen. Eine persönliche Anrede oder der Bezug zu einem bestehenden Firmenkontakt können dabei helfen, das Opfer zum Öffnen einer angefügten Datei zu verleiten", so der Bericht. Es sei daher zu erwarten, dass Kriminelle in Zukunft vermehrt auf diese Methode setzen würden.
Den Download für den Halbjahresbericht 2018 finden Sie hier.
Zum Nachschlagen und Nachlesen:
Wer mehr zum Thema Cybercrime und IT-Sicherheit lesen will, kann dies im IT-Security-Blog von IT-Markt auf www.it-markt.ch/security tun. Der Blog wird laufend aktualisiert.
Das kleine IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.
Das Who’s who der Malware gibt einen schnellen Überblick darüber, was hinter den Namen der einzelnen Schadprogrammen steckt. Mehr auf www.it-markt.ch/MalwareABC.