7 Mai 2019
Cyber-News von der dunklen Seite – SAS 2019.
Hallo zusammen!
Es folgt ein weiterer Beitrag aus meiner Serie „gelegentliche iNews„, alias „Cyber-News von der dunklen Seite“ – dieser Artikel beschäftigt sich mit einigen der Vorträge, die ich mir letzten Monat auf unserem jährlichen Security Analyst Summit in Singapur ansehen durfte.
Unsere jährliche SAS-Konferenz zeichnet sich vor allem durch die höchstinteressanten Vorträge unserer geladenen Experten aus aller Welt aus, bei der Analysten, im Gegensatz zu anderen geopolitisch korrekten Konferenzen, Entdeckungen über jede beliebige Cyberbedrohung mit dem Publikum teilen; und das völlig unabhängig von dem Ursprung dieser Bedrohungen. Denn Malware ist und bleibt Malware, und Nutzer haben ein Recht darauf, vor allen ihrer Arten geschützt zu werden, ohne Rücksicht auf die erklärte Bedeutung der Absichten der dahinterstehenden Organisationen, Gruppen etc. Erinnern Sie sich noch an den „Bumerangeffekt„?
Und wenn bestimmte Medienkanäle als Reaktion auf diese prinzipientreue Position offensichtlich Lügen über uns verbreiten, dann sei es so. Und es sind nicht nur unsere Prinzipien, die angegriffen werden, weil wir praktizieren, was wir predigen: Wir sind der Konkurrenz weit voraus, wenn es um die Anzahl gelöster Cyberspionage-Operationen geht. Und wir planen nicht, unsere Einstellung und Position in irgendeiner Weise zum Nachteil unserer Nutzer zu ändern.
Im Anschluss folgt eine Zusammenfassungen der großartigsten Untersuchungen und Analysen, die Cyber-Experten aus aller Welt auf dem diesjährigen SAS vorgetragen haben. Darf ich vorstellen? Die interessantesten, schockierendsten, gruseligsten und verrücktesten Vorträge der SAS-Konferenz 2019:
1. TajMahal
Im vergangenen Jahr haben wir einen Angriff auf eine diplomatische Organisation aus Zentralasien entdeckt. Natürlich sollte es für eine solche Organisation keine Überraschung sein, dass Cyberkriminelle besonderes Interesse an ihr zeigen. Es ist kein Geheimnis, dass Informationssysteme von Botschaften, Konsulaten und diplomatischen Vertretungen für andere Staaten und ihre Geheimdienste oder generell für Bösewichte mit ausreichenden technischen Fähigkeiten und finanziellen Mitteln schon immer von Interesse waren. Ja, wir alle haben Spionageromane gelesen. Aber in diesem Fall gab es eine interessante Neuigkeit: Und zwar wurde für die Angriffe auf diese Organisation ein zweiter, wahrhaftiger ‚TajMahal‘ errichtet – und zwar in Form einer APT-Plattform mit unzähligen Plug-ins (das Ausmaß war selbst für uns überraschend), die für jegliche Arten von Angriffsszenarien unter Verwendung verschiedener Tools verwendet wurden.
Die Plattform besteht aus zwei Hauptpaketen: Tokyo und Yokohama. Bei Tokyo handelt es sich um die primäre Backdoor, die darüber hinaus die Zustellfunktion des letzteren Schadprogramms erfüllt. Yokohama hat eine sehr umfangreiche Funktionalität: den Diebstahl von Cookies, das Abfangen von Dokumenten aus der Druckerwarteschlange, die Aufzeichnung von VoIP-Anrufen (einschließlich WhatsApp und FaceTime), das Erstellen von Screenshots und vieles mehr. Das TajMahal-Framework ist seit mindestens fünf Jahren aktiv und seine Komplexität lässt vermuten, dass es entweder noch weitere, bisher unbekannte Opfer oder weitere Versionen dieser Malware gibt – oder möglicherweise beides.
Weitere Details zu diesem ausgereiften APT-Framework finden Sie hier.
2. Gaza-Cybergang
Wir haben erstmals im Jahr 2015 über die Gaza-Cybergang berichtet, obwohl dieses arabischsprachige, politisch motivierte Kollektiv interagierender Gruppen von Cyberkriminellen bereits seit 2012 aktiv ist. Ihren Fokus legt(e) die Cybergang dabei hauptsächlich auf Ziele im Nahen Osten und in Zentralasien. Die Mehrheit der Angriffe fanden in den palästinensischen Gebieten, Jordanien, Israel und dem Libanon statt. Besonderes Interesse zeigte die Gaza-Cybergang bislang an Botschaften, Regierungsstellen, Medien und Journalisten, Aktivisten, politischen Parteien und Einzelpersonen sowie Bildungseinrichtungen, Banken, Gesundheitsorganisationen und Vertragsunternehmen.
Die Gruppe besteht aus mindestens drei Untergruppen, die ähnliche Absichten und Zielsetzungen verfolgen, aber unterschiedliche Werkzeuge und Techniken einsetzen. Über zwei der Gruppen – mit erstzunehmenden technischen Fähigkeiten – haben wir bereits hier und hier berichtet. Die dritte Untergruppe – MoleRATs – wurde erstmals auf dem SAS 2019 vorgestellt und ist maßgeblich an der Operation SneakyPastes beteiligt gewesen (SneakyPastes leitet sich von der starken Nutzung von Paste-Sites durch die Angreifer ab).
Ihre mehrstufigen Angriffe beginnen mit maßlosem Phishing: eine E-Mail zu einem aktuellen politischen Thema, die scheinbar irgendeine Art von Verhandlungsprotokollen oder Korrespondenzen einer scheinbar legitimen, respektierten Organisation enthält. Ein ungeschulter Büroangestellter öffnet derartige Anhänge, ohne darüber nachzudenken. Sobald dieser Fall eintritt, startet die auf den ersten Blick harmlose (aber tatsächlich mit Malware versehene) Datei eine Reihe von Infektionsversuchen. Sobald sich die Cyberkriminellen im System befinden, verbergen sie die Präsenz der Malware vor AV-Lösungen und gehen dann schrittweise in weitere Angriffsstadien über.
Schlussendlich wird auf dem Zielgerät ein RAT installiert, der nicht nur ein Ass im Ärmel hat: er kann Dateien ganz einfach herunter- und hochladen, Anwendungen ausführen, nach Dokumenten suchen und Daten verschlüsseln. Er findet zudem alle .pdf-, .doc-, .docx-, und .xlsx-Dateien auf dem System, speichert diese in Ordnen für temporäre Dateien, klassifiziert, archiviert und verschlüsselt diese und sendet sie dann über Domain-Strings an den C&C-Server. Und so, meine Damen und Herren, funktioniert Spionage im Jahr 2019!
Sie möchten mehr darüber erfahren? Kein Problem!
3. Finanzbetrug und digitale Klone
Wenn Sie glauben, dass all unsere Untersuchungen lediglich Angriffe betreffen, die scheinbar direkt aus einem Detektiv-, Spionage- oder Sci-Fi-Roman stammen, denken Sie noch einmal genauer darüber nach. Denn die dritte Untersuchung, von der ich Ihnen erzählen möchte, betrifft unglaublich viele Menschen. Eine ganz simple Form des Cybercrimes, die so alltäglich geworden ist, dass die Medien einfach nicht mehr darüber berichten. Obwohl das mehr als angebracht wäre! Die Rede ist vom guten alten Finanzbetrug. Laut einer zuverlässigen Quelle beliefen sich die Verluste durch Kreditkartenbetrug im Jahr 2018 auf rund 24 Milliarden US-Dollar. Ja -Sie haben richtig gelesen : M-I-L-L-I-A-R-D-E-N! Zum Vergleich: Das jährliche Budget der NASA liegt bei rund 21,5 Milliarden US-Dollar, während die Olympischen Spiele in Tokio 25 Milliarden Dollar kosten!
Für den heutigen, modernen Kreditkartenbetrug wurde ein neuer Begriff erfunden: Carding. Obwohl Banken und Zahlungssysteme dem Thema Sicherheit besondere Aufmerksamkeit schenken, entwickeln die Betrüger ständig neue Tools, um Geld über Bankkarten zu stehlen.
Unser Experte Sergey Lozhkin berichtete auf dem SAS 2019 über eine völlig andere Art des Finanzbetrugs. Er entdeckte einen ganzen Markt namens Genesis im Darknet, auf dem gestohlene „digitale Fingerabdrücke“ gekauft und verkauft werden. Hierbei handelt es sich im Wesentlichen um Datenpakete mit dem Online-Verhalten eines Nutzers sowie seinem digitalen Fingerabdruck – der Verlauf besuchter Seiten, Informationen über das Betriebssystem, den Browser und so weiter. Wofür all das benötigt wird? Nun ja, es sind eben Daten wie diese, die von verschiedenen Online-Systemen zur Nutzerverifizierung zum Schutz vor Betrug verwendet werden. Wenn also ein digitaler Fingerabdruck mit dem vorher verwendeten Fingerabdruck übereinstimmt, „erkennt“ die Sicherheitslösung die Person und genehmigt die Transaktion – beispielsweise einen Kauf im Onlineshop oder eine Überweisung via Online-Banking. Der Preis für einen solchen digitalen Fingerabdruck variiert je nach Datenvolumen zwischen fünf und 200 US-Dollar.
Wie werden solche Fingerabdrücke gesammelt ? Mit der Verwendung verschiedener Schadprogramme. So kann sich Malware beispielsweise auf Ihrem Computer einschleichen und unbemerkt alle erreichbaren Daten sammeln – während Sie davon rein gar nichts bemerken.
Zudem haben Betrüger eine andere Methode entwickelt, um Schutzlösungen zu täuschen und zu umgehen: sie geben sich vor dem System als völlig neuer Nutzer aus. Dies kann mithilfe eines speziellen Dienstes namens Sphere erfolgen, mit dem eine digitale ID samt ihrer Parameter zurückgesetzt werden kann. Somit ist der Kriminelle in den Augen der Schutzlösung völlig „clean“.
Was können wir dagegen tun? Zum einen müssen sich Banken kontinuierlich über die neuesten Cyber-Betrugsmethoden informieren und ausnahmslos die Zwei-Faktor-Authentifizierung verwenden. In Zukunft werden sie wahrscheinlich auch noch biometrische Daten, Fingerabdrücke, Iriserkennung usw. als zusätzliche Schutzmaßnahme auf ihre Liste schreiben müssen. In der Zwischenzeit möchten wir Ihnen zum wahrscheinlich zehntausendsten Mal folgenden Rat mit auf den Weg geben: Gehen Sie vorsichtig mit Ihren Daten (Passwörter, Bankkartennummern, Verwendung von Computern an öffentlichen Orten und Gebrauch von öffentlichen WLAN-Hotspots) um. Und verwenden Sie eine gute Sicherheitslösung, die alle schädlichen Faktoren erkennt, die es möglicherweise auf Ihre digitale Identität abgesehen haben.
4. „The secret power of YARA“
Gegen Ende des diesjährigen SAS hielt Vitaly Kamluk eine Pecha-Kucha-Präsentation (20 Folien á 20 Sekunden) über die Fähigkeiten von YARA (eine Art Suchmaschine, die nach Attributen in ausführbaren Dateien sucht).
In diesem Vortrag namens „The Secret Power of YARA“ wandte er seine speziellen Jedi-Kräfte auf dieses spezifische Tool an… das Endergebnis war ein ASCII-Art-Kunstwerk! Das Publikum konnte seinen Augen kaum trauen. Aber das war noch längst nicht alles – unter Anwendung zusätzlicher Magie, übernahm im selben ASCII-Regime plötzlich der erste Teil der Computerspiel-Serie DOOM den Bildschirm! Das Publikum war gebannt, hypnotisiert, fasziniert … Sehen Sie selbst!
5. Was, wenn …
Im abschließenden SAS-Vortrag gab der Direktor unseres GReAT, Costin Raiu, dem Publikum die Gelegenheit, über theoretisch mögliche Methoden der Malware-Penetration und über mögliche Verschleierungsmethoden auf tiefster Hardwareebene nachzudenken. Was machen wir, wenn diese Hypothesen tatsächlich zur Realität werden? Und wie kann die Cybersicherheitsbranche darauf reagieren? Darum ging es bei Costins Präsentation – eine Art Benutzerhandbuch für Start-ups auf diesem Terrain.
Das waren die „Greatest Hits“ des SAS 2019. Wir freuen uns schon auf nächstes Jahr!
PS: Auf der SAS-Konferenz 2019 wurden rund 70 Präsentationen gehalten, und dies hier waren lediglich die „Auserwählten“, die es ins Finale geschafft haben. Ich könnte Ihnen nicht von allen Vorträgen auf diesem Blog berichten, aber in Kürze sollte das vollständige Konferenzvideo auf unserem YouTube-Kanal zur Verfügung stehen!