Kaspersky Lab

 

Artikel

28.02.2014

Neue Gefahren für Unternehmen

Via Spear-Phishing und Wasserloch-Attacken ins Unternehmensnetzwerk

Wenn es um IT-Sicherheit geht, kämpfen Unternehmen an vielen Fronten. Innerhalb der vergangenen zwei Jahre ist die Zahl der erkannten ernstzunehmenden Cyberattacken rapide angestiegen [1].

Immer häufiger fallen kommerzielle Unternehmen Cyberattacken zum Opfer. Laut einer von Kaspersky Lab und dem Marktforschungsunternehmen B2B International durchgeführten Umfrage [2] waren 91 Prozent der befragten Unternehmen mindestens einmal pro Jahr einer Cyberattacke ausgesetzt. 36 Prozent wurden durch Phishing attackiert. Neun Prozent der Unternehmen gerieten ins Visier zielgerichteter Angriffe.

Der häufigste Angriffsweg in ein Unternehmensnetzwerk erfolgt via Spear-Phishing. Spear-Phishing ist eine zielgerichtete Form des Phishings. Dazu wird eine E-Mail an eine bestimmte Person in einer Zielorganisation versendet, in der Hoffnung, dass diese auf einen in der E-Mail enthaltenen gefährlichen Link klickt oder einen Anhang öffnet, der den Code der Angreifer ausführt und ihnen dabei hilft, einen Fuß in die Tür des Unternehmens zu bekommen. Jüngstes Beispiel für eine hochprofessionelle Spear-Phishing-Attacke ist die von Kaspersky Lab aufgedeckte Cyberspionage-Kampagne „The Mask“ [3]. Dabei wurden über Jahre sensible Informationen ausspioniert.

Je maßgeschneiderter eine Spear-Phishing-Attacke, desto erfolgsversprechender ist sie. Cyberkriminelle spionieren beispielsweise durch Tricks, wie das so genannte Social Engineering Informationen über Mitarbeiter oder sogar firmeninterne Passwörter aus. Dabei geben sie sich beispielsweise als Arbeitskollege oder Schulfreund aus und erschleichen sich mit Informationen, die sie zuvor gesammelt haben (etwa in Sozialen Netzwerken), das Vertrauen von Angestellten. Über Facebook oder Xing erhält man Informationen über Mitarbeiter und Unternehmen frei Haus.

Wasserloch-Attacken haben sich etabliert

Neben Spear-Phishing macht Kaspersky Lab in jüngster Zeit einen neuen Angriffsvektor aus, der Cyberkriminellen die Tür in ein anvisiertes Netzwerk ebnen soll: die so genannte Wasserloch-Attacke [4]. Wasserloch-Angriffe sind relativ neu im Repertoire der Cyberkriminellen. Die Methode: Die Angreifer kompromittieren dabei legitime Webseiten und versehen diese mit einem Schadcode. Es handelt sich hierbei um Webseiten, die von bestimmten Mitarbeitern eines Unternehmens oder einer Organisation häufig besucht werden. Je glaubwürdiger die Seite ist, desto besser für die Angreifer.

Die Attacken richten sich dabei an Schwachstellen in Browsern und deren Plugins. Ist ein Angriff erfolgreich, wird Schadsoftware – meist Backdoors – auf den Rechnern des anvisierten Opfers platziert. Die Angreifer haben sich so im Unternehmensnetzwerk eingenistet und können dort gespeicherte sensible Informationen oder Zugangsdaten abgreifen.

Idealerweise verwenden die Angreifer ein Zero-Day-Exploit, also eine noch unbekannte Schwachstelle. Die Experten von Kaspersky Lab haben festgestellt, dass bei den bisher beobachteten Wasserloch-Angriffen insbesondere Sicherheitslücken in Java ins Visier genommen wurden.

Hier ein Beispiel für eine Wasserloch-Attacke: Im vergangenen Jahr hat Kaspersky Lab ein Flash-Player-Exploit auf der Webseite der „Tibetan Homes Foundation“ entdeckt, einer wohltätigen Institution, die tibetanische Flüchtlingskinder unterstützt. Es zeigte sich, dass diese Webseite kompromittiert wurde, um Backdoors zu verbreiten, die mit gestohlenen Zertifikaten signiert waren. Ein Beispiel für eine Wasserloch-Attacke wie aus dem Lehrbuch: Die Cyberkriminellen hatten die von ihren Opfern bevorzugten Webseiten ausgekundschaftet und diese gehackt, um deren Computer zu infizieren.

Wasserloch-Attacken sind also ein zusätzlicher Weg um neben bisher bekannten Methoden wie Spear-Phishing gezielt in ein Netzwerk zu gelangen. Kaspersky Lab geht davon aus, dass in Zukunft vermehrt Angriffe über Wasserlöcher im Web erfolgen werden. Als Gegenmaßnahme sollten Unternehmen ein effektives Patch-Management betreiben, um den Zeitrahmen einer etwaigen Verwundbarkeit so klein wie möglich zu halten. Zudem hilft der Einsatz von Sicherheitssoftware wie Kaspersky Endpoint Security for Business [5] mit effektiven, proaktiven Schutzmaßnahmen in Form von Heuristiken, verhaltensbasierten Analysen oder dedizierten Anti-Exploit Maßnahmen.

Neuer Spear-Phishing-Trend: Cybersöldner für zielgerichtete Attacken

Die Jahresanalysen von Kaspersky Lab haben im Bereich Spear-Phishing einen weiteren Trend ergeben: Für zielgerichtete Angriffe werden so genannte Cybersöldner eingesetzt, die für chirurgisch präzise Attacken angeheuert werden [6] .

Wie Cybersöldner vorgehen, wurde bei der Cyberspionage-Kampagne „Icefog“ deutlich, die Kaspersky Lab im vergangenen Jahr aufdecken konnte. Bei dieser zielgerichteten Attacke gegen Ziele in Südkorea, Taiwan, Japan, USA, Europa und China operierten die Angreifer ebenfalls mittels Spear-Phishing-E-Mails.

Was machte Icefog so besonders im Vergleich zu anderen Cyberspionage-Attacken? Erstens ist Icefog Teil eines aufkommenden Trends – Angriffe kleiner Gruppen von Cybersöldnern, die schnell zuschlagen und danach sofort wieder verschwinden. Zweitens greifen die Verbrecher ganz gezielt eine Lieferkette an. Diese kann aus Regierungsinstitutionen, Militärlieferanten, Reedereien, Telekommunikationsanbieter, Satellitenbetreiber, Industrie- und Hightech-Unternehmen sowie Massenmedien bestehen. Drittens setzten die Cybersöldner auf maßgeschneiderte Cyberspionage-Tools für Windows und Mac OS X. Zudem konnten sie die kompromittierten Computer im Falle der Operation Icefog direkt kontrollieren.

Kaspersky Lab geht davon aus, dass die Zahl der Angriffe durch Cybersöldner künftig steigen wird, da sich nach und nach ein Schwarzmarkt für Advanced Persistent Threat (APT)-Dienstleistungen bildet.

 

[1] vgl. http://www.viruslist.com/de/analysis?pubid=200883838

[2] vgl. http://media.kaspersky.com/en/business-security/Kaspersky_Global_IT_Security_Risks_Survey_report_Eng_final.pdf

[3] vgl. http://newsroom.kaspersky.eu/de/texte/detail/article/kaspersky-lab-enthuellt-cyberspionage-kampagne-the-mask/[4] vgl. http://www.viruslist.com/de/analysis?pubid=200883834#_Toc373346263

[5] vgl. http://www.kaspersky.com/de/business-security

[6] vgl. http://www.viruslist.com/de/analysis?pubid=200883834#_Toc373346259

 

Photo


  • JPG

  • JPG

  • JPG

  • JPG

  • JPG

Ihr Pressekontakt

Florian Schafroth

E-Mail senden

Tel. +49-(0)89-74 72 62-43
Fax +49-(0)89-74 72 62-17

Kaspersky Lab on the Web

Virenanalysten-Blogs