Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Most Popular Analysis



Spam-Lieferservice: Gefahr garantiert



Spam im August 2014



Untersuchung von Einbruchsfällen in Online-Bezahlsysteme



Die Raubtiere des Internets



Die Epic Turla Operation: Aufklärung einiger Mysterien rund um Snake/Uroburos
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Kaspersky Security Bulletin 2011/2012. Entwicklung der IT-Bedrohungen im Jahr 2011 und Ausblick auf das Jahr 2012

1.03.2012   |   Ihr Kommentar

Alexander Gostev
Senior Virenanalyst, Kaspersky Lab
Costin Raiu
Head of Research & Development, Kaspersky Lab Romania
  1. Entwicklung der IT-Bedrohungen im Jahr 2011 und Ausblick auf das Jahr 2012
  2. Statistik für das Jahr 2011
  3. Spam im Jahr 2011

Die Top 10 im Jahr 2011: Ein ‚explosives’ Jahr in Sachen Sicherheit

Müssten wir das Jahr in einem einzigen Wort zusammenfassen, so könnte man das Wort „explosiv“ wählen. Die Vielzahl der Vorfälle, Geschichten, Fakten, neuen Trends und überraschenden Akteuren ist so groß, dass die Erstellung einer Top-10-Liste mit Sicherheits-Stories aus dem Jahr 2011 eine kaum zu bewältigende Herausforderung darstellt. Das Ziel dieser Auflistung besteht eher darin, diejenigen Ereignisse ins Gedächtnis zu rufen, die auf die wichtigsten Trends oder das Aufkommen neuer Hauptakteure auf der Sicherheitsszene hingedeutet haben. Die Analyse dieser Ereignisse liefert uns eine Vorstellung darüber, was uns 2012 erwartet.

1. Ansteigender „Hacktivismus“

Fast jeder hat schon einmal von Anonymous, LulzSec und vielleicht auch von TeaMp0isoN gehört haben. 2011 waren diese Gruppierungen gemeinsam mit anderen aktiv an diversen Operationen gegen Strafverfolgungsbehörden, Banken, Regierungen, Sicherheitsfirmen und große Softwareentwicklungsunternehmen beteiligt. Manchmal gemeinsam, in anderen Fällen gegeneinander arbeitend, traten diese Gruppen durch Vorfälle wie den Einbruch in die Netze der UNO, des Sicherheitsüberwachungsunternehmens Stratfor, des Subunternehmers des FBI IRC Federal, des US-Verteidigungsunternehmens ManTech und der CIA in Erscheinung. Interessanterweise offenbarten ein paar dieser Vorfälle wie der Stratfor-Hack schwerwiegende Sicherheitsprobleme, darunter die Speicherung von CVV-Nummern in unverschlüsseltem Format oder die Verwendung extrem schwacher Kennwörter durch Administratoren.

Insgesamt ist der Anstieg des Hacktivismus einer der bedeutendsten Trends 2011 und wird sich zweifellos auch 2012 mit ähnlichen Vorfällen fortsetzen.

2. Der HBGary-Federal-Hack

Obwohl eng mit dem ersten Punkt verknüpft, soll dieser Hacker-Einbruch als eigene Geschichte behandelt werden. Im Januar 2011 brachen Hacker von Anonymous über einen SQL-Injection-Angriff in den Webserver von HBGary Federal ein (hbgaryfederal.com). Es gelang ihnen, mehrere MD5-Hashes für Kennwörter zu extrahieren, die dem CEO des Unternehmens, Aaron Barr, sowie dem COO, Ted Vera, gehörten. Leider waren die von beiden verwendeten Kennwörter äußerst simpel aufgebaut: sechs Kleinbuchstaben und zwei Ziffern. Mit Hilfe dieser Passwörter verschafften sich die Angreifer Zugriff auf unternehmenseigene Forschungsdokumente und auf zehntausende, auf Google Apps gespeicherte Mails.

Ich denke, dass diese Geschichte von Bedeutung ist, da sie eine interessante Situation demonstriert, nämlich wie sich die Verwendung schwacher Kennwörter in Verbindung mit veralteten Softwaresystemen plus der Nutzung der Cloud in einen Sicherheits-Albtraum verwandeln kann. Hätten der CEO und der COO starke Passwörter benutzt, wäre wahrscheinlich nichts von alldem eingetreten. Hätten sie die Multi-Faktor-Authentifizierung auf Google Apps aktiviert, wären die Angreifer nicht in der Lage gewesen, auf den Superuser-Account zuzugreifen und die ganzen Unternehmensmails zu kopieren. Hierbei ist es wichtig zu erwähnen, dass selbst im Falle von vorhandenen besseren Sicherheitsmaßnahmen die Möglichkeit nicht gänzlich ausgeschlossen werden kann, dass extrem hartnäckige Hacker nicht doch einen anderen Weg in die Server gefunden hätten. Dank ihrer Beharrlichkeit und Entschlossenheit in Kombination mit unendlich viel Zeit sitzen die Angreifer oft am längeren Hebel.

3. Der Advanced Persistent Threat

Auch wenn dieser Begriff bei vielen Sicherheitsexperten verpönt ist, hat er seinen Weg in die Medien gefunden und hat durch Vorfälle wie den Einbruch bei dem Sicherheits-Hersteller RSA oder die eindrucksvollen Geschichten um die Operationen NightDragon, Lurif und Shady Rat eine extrem hohe Popularität erlangt. Der interessante Punkt hierbei ist, dass viele dieser Aktionen keineswegs besonders ausgefeilt waren. Andererseits gab es zahlreiche Fälle, bei denen Zero-Day-Exploits verwendet wurden wie beispielsweise bei dem RSA-Einbruch. Hier nutzten die Angreifer die Schwachstelle CVE-2011-0609 im Adobe Flash Player aus, um bösartigen Code auf dem Zielcomputer auszuführen. Eine weitere Zero-Day-Lücke war CVE-2011-2462, ein Sicherheitsleck im Adobe Reader, das für gezielte Angriffe auf das US-Sicherheitsunternehmen ManTech ausgenutzt wurde.

Bei diesen Attacken sind mehrere Punkte bemerkenswert: In vielen Fällen spielten Zero-Day-Schwachstellen in Adobe-Software eine Rolle. Zahlreiche dieser Angriffe richteten sich gegen Ziele in den USA, insbesondere gegen Firmen, die mit dem US-Militär oder der US-Regierung zusammenarbeiten. Das Interessante an der Lurid-Attacke lag darin, dass sie vorwiegend gegen Länder in Osteuropa wie Russland oder die GUS-Staaten gerichtet war. Diese Angriffe bestätigen das Aufkommen schlagkräftiger nationalstaatlicher Akteure und die Etablierung von Cyberspionage als gängige Praxis. Zusätzlich schienen viele dieser Angriffe miteinander verknüpft zu sein und wiesen bedeutende globale Verzweigungen auf. Der RSA-Einbruch beispielsweise fiel dadurch auf, dass die Angreifer die Datenbank der SecurID-Tokens gestohlen hatten, die später bei einem anderen hochrangigen Angriff verwendet wurde.

4. Die Comodo- und DigiNotar-Vorfälle

Am 15. März 2011 wurde eine Tochterfirma von Comodo gehackt, ein im Bereich von Sicherheitssoftware und digitalen SSL-Zertifikaten tätiges Unternehmen. Mit großer Schnelligkeit nutzten die Angreifer die vorhandene Infrastruktur des Unternehmens aus, um neun gefälschte digitale Zertifikate für Webseiten wie mail.google.com, login.yahoo.com, addons.mozilla.com und login.skype.com zu generieren. Während der Analyse des Vorfalls gelang es Comodo, den Angreifer als von der IP-Adresse 212.95.136.18 in Teheran aus operierend zu identifizieren.

Was jedoch seine Größenordnung betrifft, so war dieser Vorfall eine Bagatelle verglichen mit dem Einbruch bei DigiNotar. Am 17. Juni 2001 hatten Hacker damit begonnen, in den DigiNotar-Servern herumzustöbern und schafften es in den darauffolgenden fünf Tagen, Zugang zu ihrer Infrastruktur zu erhalten und über 300 falsche Zertifikate zu erzeugen. Der Hacker hinterließ eine Nachricht in Form eines digitalen Zertifikats in persischer Sprache: „Großartiger Hacker, ich werde jede Verschlüsselung knacken, I break your head!“. Weitere stichhaltige Beweise für die Verbindung zum Iran lieferte einige Tage später ein Man-in-the-Middle-Angriff auf mehr als 100.000 Gmail-Nutzer aus dem Iran, bei dem die gefälschten Zertifikate verwendet wurden.

Die Angriffe auf Comodo und DigiNotar zeigen, dass bereits ein Vertrauensverlust in die Zertifizierungsstellen (CA) stattgefunden hat. In Zukunft wird eine Kompromittierung von CAs noch häufiger zu beobachten sein. Zudem ist es sehr wahrscheinlich, dass immer mehr digital signierte Malware in Umlauf sein wird.

5. Duqu

Im Juni 2010 stieß der Sicherheitsforscher Sergey Ulasen vom weißrussischen Unternehmen VirusBlokada auf ein erstaunliches Schadprogramm, das anscheinend gestohlene Zertifikate nutzte, um seine Treiber zu signieren, sowie ein Zero-Day-Exploit, das .Ink-Dateien zur Replizierung in einer typischen Autorun-Manier verwendete. Diese Malware erlangte weltweite Berühmtheit unter dem Namen Stuxnet, ein Computerwurm, der eine spezielle, direkt gegen das iranische Atomprogramm gerichtete Payload enthielt. Stuxnet kaperte die Siemens-SPSs bei der iranischen Atomanlage Natans und programmierte sie in sehr spezieller Weise um, was ein einziges Ziel verfolgte: die Sabotage des Urananreicherungsprozesses in Natans. Als wir damals den Code sahen, mit dem die für die Steuerung der Zentrifugen mit einer Drehzahl von 64.000 verantwortlichen SPSs umprogrammiert worden waren, dachten wir, dass es unmöglich sei, etwas derartiges zu schreiben, ohne Zugang zu den Originalschaltplänen und dem Quellcode zu haben. Aber wie konnten die Angreifer an etwas so sensibles wie den Custom Code gelangen, der diese milliardenschwere Anlage steuert?

Eine mögliche Antwort ist der Trojaner Duqu. Der von denselben Leuten, die sich für Stuxnet verantwortlich zeichneten, entwickelte Schadcode wurde im August 2011 von dem ungarischen Forschungslabor CrySyS entdeckt. Zu Beginn war nicht bekannt, auf welche Weise Duqu seine Ziele infizierte. Später wurden dann Microsoft Word-Dokumente identifiziert, die eine als CVE-2011-3402 bekannte Schwachstelle als Vehikel für die Einschleusung von Duqu ausnutzten. Hinsichtlich seines Zwecks unterscheidet sich Duqu erheblich von Stuxnet. Bei diesem Trojaner handelt es sich tatsächlich um ein hochentwickeltes Angriffs-Toolkit, das für den Einbruch in ein System genutzt werden kann, wo es anschließend systematisch Daten abgreift. Es lassen sich neue Module hochladen und starten, ohne Spuren im Dateisystem zu hinterlassen. Die hochgradig modulare Architektur zusammen mit der geringen Opferzahl weltweit ließen Duqu jahrelang unentdeckt bleiben. Wir konnten Duqus Aktivitäten bis August 2007 zurückverfolgen. In sämtlichen von uns analysierten Vorfällen verwendeten die Hacker eine Infrastruktur aus gehackten Servern, um die Daten – manchmal hunderte von Megabyte – aus den PCs der Opfer zu entwenden.

Duqu und Stuxnet stehen für die modernste Art der Cyberkriegsführung und lassen darauf schließen, dass wir in ein Zeitalter des kalten Cyberkriegs eintreten, in dem sich die Supermächte gegenseitig bekämpfen, ohne durch die Grenzen des realen Kriegs eingeschränkt zu sein.

6. Der Hack des Sony PlayStation Network

Am 19. April 2011 entdeckte Sony, dass sein PlayStation Network (PSN) gehackt worden war. Zunächst informierte das Unternehmen die Öffentlichkeit nur sehr zögerlich über die Geschehnisse und ließ verlauten, dass der Dienst, der am 20. April ausgesetzt worden war, ein paar Tage später wieder aktiviert sein würde. Erst am 26. April bestätigte das Unternehmen den Diebstahl von persönlichen Daten, darunter möglicherweise auch Kreditkartennummern. Drei Tage später tauchten Berichte auf, nach denen anscheinend 2,2 Millionen Kreditkartennummern in Hackerforen zum Verkauf angeboten worden waren. Am 1. Mai war das PSN immer noch nicht erreichbar und neben der Tatsache, dass ihre Kreditkartennummern einem Diebstahl zum Opfer gefallen waren, waren viele Nutzer wütend, die von ihnen bezahlten Spiele nicht spielen zu können. Im Oktober 2011 geriet das PSN wieder in die Schlagzeilen, diesmal wegen 93.000 kompromittierter Accounts, die Sony zur Verhinderung eines weiteren Missbrauchs sperren musste.

Der Hack des Sony PSN war 2011 eine Riesengeschichte, denn er machte deutlich, dass im Cloud-Zeitalter Persönliche Informationen bequem an einem Ort zugänglich sind, auf den über schnelle Internet-Verbindungen zugegriffen wird und die Daten im Falle einer Fehlkonfiguration oder Sicherheitsproblemen ohne Umschweife gestohlen werden können. Nun war es schließlich soweit, dass 77 Millionen Benutzernamen und 2,2 Millionen Kreditkarten als normale Beute in der Cloud-Ära betrachtet wurden.

7. Der Kampf gegen Cyberverbrechen und die Zerschlagung von Botnetzen

Auch wenn die Angreifer im PSN-Vorfall noch nicht ermittelt werden konnten, war 2011 definitiv ein schlechtes Jahr für die vielen Cyberkriminellen, die erwischt und rund um die Welt von den Strafverfolgungsbehörden festgenommen wurden. Als Beispiele seien nur die Festnahme der ZeuS-Gang, die Zerschlagung der DNSChanger-Bande und die Stilllegung der Rustock-, Coreflood- und Kelihos/Hilux-Botnetze genannt. Diese Beispiele illustrieren einen sich immer stärker abzeichnenden Trend: Die Zerschlagung einer Bande von Cyberverbrechern hat weitreichende Folgen für weltweite kriminelle Aktivitäten und sendet ein starkes Signal an die verbleibenden Gangs, dass sie ihren Machenschaften nicht länger ohne Risiko nachgehen können.

Ein besonderer Fall, auf den wir an dieser Stelle näher eingehen möchten, ist die Zerschlagung des Kelihos-Botnetzes, die Kaspersky Lab in enger Zusammenarbeit mit der Microsoft Digital Crimes Unit durchgeführt hat. Kaspersky Lab startete für das Botnetz eine Sinkholing-Operation, wobei täglich viele zehntausend infizierte Computer gezählt wurden. Genau an diesem Punkt beginnt die große Diskussion: Da wir die Abläufe des Update-Prozesses des Botnetzes kennen, könnte Kaspersky Lab beziehungsweise eine Strafverfolgungsbehörde allen betroffenen Nutzern ein eigenes Update bereitstellen und sie darüber im Laufe des Prozesses informieren oder sogar eine automatische Reinigung ihrer Rechner vornehmen. In einer auf unserer Securelist-Seite durchgeführten Umfrage sprach sich eine überwältigende Mehrheit von 83 Prozent der Befragten dafür aus, dass Kaspersky Lab ein „Säuberungstool, das die Infektionen entfernt“ forcieren soll, obwohl eine derartige Vorgehensweise in den meisten Ländern illegal wäre. Aus naheliegenden Gründen haben wir dies nicht getan, aber die Geschichte zeigt die weiten Grenzen der heutigen Rechtssysteme auf, wenn es darum geht, Cyberkriminalität wirksam zu bekämpfen.

8. Die Zunahme von Android-Malware

Im August 2010 identifizierten wir den ersten Trojaner für die Android-Plattform mit der Bezeichnung Trojan-SMS.AndroidOS.FakePlayer.a, der sich als Media Player App tarnte. In weniger als einem Jahr nahm die Anzahl der Android-Malware explosionsartig zu und wurde zur am meisten verbreiteten mobilen Malware. Im dritten Quartal 2011 wurde dieser Trend offenkundig, als wir über 40 Prozent der gesamten mobilen Malware entdeckten, die wir 2011 überhaupt feststellten. Schließlich erreichten wir im November 2011 mit der Entdeckung von mehr als 1.000 schädlichen Samples die kritische Masse – diese Zahl entspricht fast der gesamten Menge an mobiler Malware, die wir in den vergangenen sechs Jahren entdeckt hatten!

Die gewaltige Popularität von Malware für Android lässt sich auf mehrere Faktoren zurückführen, wobei das Wachstum von Android selbst besonders hervorzuheben ist. Zweitens macht die frei und kostenlos erhältliche Dokumentation über die Android-Plattform die Entwicklung von Schadcode für Android ziemlich einfach. Drittens kritisieren viele den Android Market wegen seines schwachen Kontrollverfahrens, das es für Cyberkriminelle zu einem Kinderspiel macht, schädliche Programme hochzuladen. Während für das iPhone nur zwei bekannte Schadprogramme existieren, kommen wir in unserer Malware-Kollektion inzwischen auf fast 2.000 Android-Trojaner.

9. Der CarrierIQ-Vorfall

CarrierIQ ist eine kleine, 2005 gegründete Firma in Privatbesitz, die ihr Geschäft von Mountain View in Kalifornien aus betreibt. Laut Unternehmenswebseite ist CarrierIQ-Software auf mehr als 140 Millionen Smartphones in aller Welt installiert. Zwar besteht der erklärte Zweck von CarrierIQ darin, „diagnostische“ Daten aus mobilen Terminals zu sammeln, allerdings demonstrierte der Sicherheitsforscher Trevor Eckhart, in welchem Maße die von CarrierIQ abgegriffenen Daten über den erklärten einfachen „diagnostischen“ Zweck hinausgehen – einschließlich solcher Dinge wie Keylogging oder das Beobachten der auf einem mobilen Gerät aufgerufenen Webseiten.

CarrierIQ ist in einer typischen Command-and-Control-Architektur eingebaut, wo Systemadministratoren die Art der Daten festlegen können, die von den Smartphones gesammelt werden und welche Informationen „nach Hause“ gesendet werden. Da es sich um ein in den USA ansässiges Unternehmen handelt, könnte CarrierIQ verpflichtet werden, US-Vollzugsbehörden einen Großteil der gesammelten Daten offenzulegen, sofern eine richterliche Anordnung vorliegt. Diese Gesetzeslage bewirkt, dass das Programm prinzipiell als staatseigenes Spionage- und Überwachungstool eingesetzt werden könnte. Unabhängig davon, ob dies wirklich der Fall ist oder nicht, sind viele User zu dem Schluss gekommen, dass es das Beste ist, CarrierIQ von ihren Smartphones zu entfernen. Unglücklicherweise gestaltet sich die Entfernung kompliziert und läuft bei iPhones, Android-Geräten und BlackBerrys unterschiedlich ab. Bei Android ist es zum Beispiel notwendig, das Gerät zu rooten, um das Programm loszuwerden. Alternativ haben Nutzer stattdessen maßgeschneiderte Android-Firmware wie Cyanogemod aufgespielt.

Der CarrierIQ-Vorfall zeigt, dass wir überhaupt keine Kenntnis darüber haben, welche Programme genau auf unseren Mobilgeräten laufen oder wie groß die Kontrolle des Mobilfunkbetreibers über unsere Hardware ist.

10. MacOS-Malware

Zwar sind wir uns vollkommen darüber im Klaren, dass wir uns selbst in die Schusslinie bringen, indem wir das Thema Malware für MacOS X auch nur erwähnen, aber dennoch sind wir der Meinung, dass es auch in dieser Hinsicht eine wichtige Geschichte aus dem Jahr 2011 gibt, die nicht vergessen werden sollte. Produkte namens MacDefender, MacSecurity, MacProtector oder MacGuard, bei denen es sich um gefälschte Antivirenprodukte für MacOS handelt, tauchten erstmals im Mai 2011 auf und erfreuten sich schnell großer Beliebtheit. Verteilt über Blackhat-SEO-Tricks in Google-Suchanfragen nutzen diese Programme Social-Engineering-Methoden, um die User zum Download, zur Installation und schließlich zur Bezahlung der „Vollversion“ zu bringen. Meistens entdecken diejenigen, die 40 US-Dollar für die angebliche Vollversion gezahlt haben, später, dass sie in Wirklichkeit 140 US-Dollar losgeworden sind und diesen Betrag manchmal sogar mehrmals gezahlt haben.

Die Übertragung von PC-Bedrohungen (gefälschte Antiviren-Programme sind eine der am meisten verbreiteten Malware-Kategorien für PCs) auf Macs ist ein wichtiger Trend des Jahres 2011. Neben den gefälschten Antiviren-Programmen für MacOS verdient auch die Trojanerfamilie DNSChanger eine besondere Erwähnung. Erstmalig identifiziert um das Jahr 2007, kompromittieren diese kleinen Trojaner das System auf eine sehr simple Weise: Sie ändern die DNS-Einstellungen so, dass sie zu den Servern der Betrüger führen. Anschließend deinstallieren sich die Schädlinge wieder selbst. Daher ist es möglich, dass ein Computer mit einem DNSChanger infiziert wird, die DNS-Einstellungen geändert werden und dessen Nutzer trotzdem glaubt, sein Rechner sei eigentlich frei von irgendwelchen Schädlingen. In Wirklichkeit missbrauchen die Kriminellen die DNS-Kommunikation, um den Anwender gefälschte Webseiten aufrufen zu lassen, Klickbetrug zu betreiben und Man-in-the-Middle-Angriffe zu fahren.

Glücklicherweise gelang es dem FBI im November 2011 mit der Verhaftung von sechs estnischen Staatsangehörigen, die Hintermänner der DNSChanger-Malware unschädlich zu machen. Laut Aussage des FBI hatten sie in den vergangenen vier Jahren über vier Millionen Computer in mehr als 100 Ländern infiziert und einen – illegalen – Gewinn von rund 14 Millionen US-Dollar generiert. Diese Vorfälle zeigen, dass Malware für MacOS ebenso real wie für PCs ist und dass selbst moderne Sicherheitsmaßnahmen keinen Schutz vor sorgsam ausgearbeiteten Social-Engineering-Methoden bieten. Es besteht kein Zweifel daran, dass wir auch in Zukunft weiterhin die missbräuchliche Nutzung beider Plattformen beobachten werden können.

Fazit

Zusammenfassend lässt sich sagen, dass diese zehn Geschichten in der Galaxie der Sicherheitsvorfälle 2011 nur ein winziges Staubkörnchen sind. Wir haben sie ausgewählt, da sie auf die wichtigsten Akteure des Jahres 2011 hinweisen, die zweifellos auch weiterhin eine Hauptrolle im Cybersicherheits-Blockbuster, der uns ins Haus steht, einnehmen werden. Das sind die Hacktivisten-Gruppierungen, Sicherheitsunternehmen, der Advanced-Persistent-Threat in Form von Supermächten, die sich gegenseitig mittels Cyberspionage bekämpfen, die größten Software- und Spieleentwickler wie Adobe, Microsoft, Oracle und Sony, Strafverfolgungsbehörden, herkömmliche Cyberkriminelle, Google – über das Android-Betriebssystem – und Apple wegen seiner MacOS X Plattform. Die Beziehungen zwischen diesen Akteuren mögen kompliziert sein, voller Dramen, viele Top-Secret-Details enthalten und ebenso geheimnisvoll daherkommen wie im Spielfilm. Eins aber ist sicher: Genau dieselben Stars werden wir auch 2012 in den wichtigsten Sicherheits-Blockbustern wieder antreffen.

Prognosen für das Jahr 2012

Cyberwaffen

Im Jahr 2011 haben praktisch alle großen Länder der Welt ihre Bereitschaft zur Schaffung und Anwendung von Cyberwaffen demonstriert. Das massenhafte Interesse, das im Jahr 2010 mit der Entdeckung des Wurms Stuxnet aufkam, führt dazu, dass einige Staaten nun den gegen sie geführten Einsatz von Cyberwaffen mit einem realen kriegerischen Konflikt gleichsetzen. Dabei vergessen sie die wichtigsten Besonderheiten einer solchen Art von Bedrohung.

Stuxnet war eine einzigartige Erscheinung, ein „explosives“ Programm, das für den Einsatz zu einer ganz bestimmten Zeit an einem ganz bestimmten Ort entwickelt wurde. Dabei war eine kriegerische Lösung des Problems praktisch ausgeschlossen. In Zukunft werden solche Cyberwaffen nach Art von Stuxnet ebenfalls Einzelexemplare bleiben – dabei hängt deren Erscheinen vollständig von dem Verhältnis zwischen konkreten Ländern ab.

An der Entwicklung einer solchen Cyberwaffe sind immer zwei Seiten beteiligt: das Auftraggeber- oder Entwicklerland und das potenzielle Opfer, mit dem ein so verschärfter Konflikt besteht, dass eine Lösung unumgänglich, der militärische Weg aber ausgeschlossen ist. Eine Analyse derartiger Konflikte macht es möglich, ähnliche Vorfälle für die Zukunft vorherzusagen.

Das oben Gesagte gilt für Cyberwaffen à la Stuxnet, das heißt für Sabotage-Programme. Wesentlich weiter verbreitet werden vermutlich simplere Cyberwaffen sein: „Beetles“, „logische Bomben“ und ähnliche, die sich für die Zerstörung von Daten in einem gewünschten Moment eignen. Derartige Software kann auf einer konstanten Basis entwickelt und ebenso konstant und systematisch eingesetzt werden. Zudem können Militärs, Strafverfolgungsbehörden und Geheimdienste Outsourcer mit der Entwicklung solcher Bedrohungen beauftragen – Privatfirmen, denen man zuweilen gar nicht mitteilt, in wessen Auftrag sie eigentlich handeln.

Insgesamt könnten sich im Jahr 2012 Cyberkonflikte zwischen den traditionellen Konfliktparteien entwickeln: USA/Israel – Iran, USA/Westeuropa – China.

Massenhaft zielgerichtete Attacken

Nachdem wir im letzten Jahr das Auftauchen neue Schadprogramm-Quellen und Cyberattacken seitens neuer Akteure beobachten konnten, erwarten wir im Jahr 2012 einen deutlichen Anstieg zielgerichteter Bedrohungen und einer Zunahme der öffentlich bekannt werdenden Vorfälle. Die Erkennung von Attacken wird sehr viel effektiver als früher, so dass die Zahl der öffentlich bekannten Angriffe steigen wird. Das Problem der Erkennung und Abwehr zielgerichteter Attacken hat bereits einen neuen Zweig der Sicherheitsbranche hervorgebracht. Große Unternehmen, die regelmäßig Angriffen ausgesetzt sind, rufen immer wieder kleinere Privatfirmen zur Hilfe, die diese Fälle untersuchen sollen. Die wachsende Konkurrenz unter diesen Schutz-Dienstleistern zieht eine gründlichere Aufklärung der aufgedeckten Fälle nach sich.

Das gestiegene Schutzniveau und die steigende Zahl der Sicherheitsfirmen zwingt die Attackierenden dazu, ihre Angriffsmethoden in vielerlei Hinsicht zu ändern. Zum gegenwärtigen Zeitpunkt machen sich viele Gruppen, die zielgerichtete Attacken organisieren, häufig noch nicht einmal die Mühe, spezielle Schadprogramme zu entwickeln, sondern verwenden bereits fertige Schädlinge, die noch nicht mal von ihnen selbst stammen. Ein gutes Beispiel hierfür ist der Trojaner PoisonIvy, der ursprünglich in Schweden entwickelt wurde, doch dann zu einem beliebten Werkzeug chinesischer Hacker wurde. Das Gegenbeispiel ist der Trojaner Duqu, der für jeden konkreten Angriff modifiziert wird und ausgesuchte Steuerungsserver verwendet.

Die traditionelle Angriffsmethode via E-Mail mit Hilfe angehängter Office-Dokumente, die Exploits zu Sicherheitslücken enthalten, wird mit der Zeit immer weniger effektiv. Immer häufiger wird über den Browser angegriffen. Selbstverständlich hängt die Effektivität dieser Methoden auch von der Zahl der erkannten Sicherheitslücken in populären Programmen wie Browser, Office-Anwendungen und Multimediasystemen ab.

Das Spektrum der Unternehmen und Wirtschaftsbranchen, die als Angriffsziel dienen, wird größer. Derzeit stehen die meisten Vorfälle mit wirtschaftlichen oder staatlichen Strukturen in Zusammenhang, die mit der Entwicklung von Waffen zu tun haben, aber auch mit Finanzstrukturen, wissenschaftlich-technischen Instituten und Forschungsunternehmen. Im Jahr 2012 werden Unternehmen aus den Bereichen Energie, Transportwesen, Lebensmittelindustrie, Pharmazie sowie große Internet-Dienste und IT-Sicherheitsfirmen einem erhöhten Risiko ausgesetzt sein. Auch geografisch werden sich die Angriffe erweitern: Neben westeuropäischen Ländern und den USA, die derzeit die wichtigste Zielscheibe für Attacken darstellen, werden osteuropäische Länder, der Nahe Osten und Südostasien hinzukommen.

Mobile Bedrohungen

Android

Das Interesse von Virenautoren an Android wird weiter steigen. Im Jahr 2012 werden sie ihre Bemühungen im Wesentlichen auf die Entwicklung von Schadprogrammen für diese Plattform konzentrieren. Die Tendenz des zweiten Halbjahres 2011 lässt erahnen, dass sich die Schadprogrammschreiber in nächster Zukunft nicht auf ein anderes mobiles Betriebssystem einschießen werden.

Zunahme der Zahl von Attacken unter Ausnutzung von Sicherheitslücken

In diesem Jahr werden Cyberkriminelle aktiv verschiedene Exploits zur Verbreitung von Schädlingen einsetzen, aber auch Schädlinge, die Exploits enthalten, die zur Erhöhung der Privilegien und zum vollständigen Zugriff auf das Betriebssystem verwendet werden. Im Jahr 2011 waren praktisch alle Attacken, bei denen Exploits zum Einsatz kamen, auf die Erhöhung der Privilegien im Betriebssystem ausgerichtet. Im Jahr 2012 werden wir es allerdings mit Attacken zu tun bekommen, bei denen Exploits zur Infektion des Betriebssystems angewendet werden. Mit anderen Worten, es werden die ersten Drive-by-Download-Attacken auftreten.

Zunahme von Schadprogrammen in offiziellen App-Shops, in erster Linie im Android Market

Bedenkt man, dass die Überprüfung neuer Anwendungen durch Google nach den zahlreichen aufgespürten Schädlingen im Android Market keine wesentlichen Veränderungen mit sich gebracht hat, werden die Virenschreiber kaum aufhören, Schadsoftware auf offizielle Quellen zu laden. Höchstwahrscheinlich werden die ersten Massenwürmer für Android erscheinen, die sich via SMS verbreiten, indem sie Links auf ihre Datei versenden, die in irgendeinem App-Shop untergebracht wurde. Zudem werden wahrscheinlich die ersten mobilen Botnetze auf dieser Plattform in Erscheinung treten.

Im Jahr 2011 haben einige Gruppen von Virenschreibern mobile Schädlinge praktisch am Fließband produziert und im Jahr 2012 wird sich dieser Trend nur noch ausweiten. Das bedeutet also, dass wir es höchstwahrscheinlich mit einer vollwertigen Industrie für mobile Schadprogramme zu tun bekommen werden.

Andere Plattformen

Symbian: Die lange Zeit bei Anwendern und Virenschreibern populärste Plattform wird ihre gehobene Position sowohl auf dem Markt der mobilen Betriebssysteme als auch unter Cyberkriminellen einbüßen. Daher erwarten wir keine nennenswerte Zahl neuer Schädlingen für diese Plattform.

J2ME: Wie gehabt wird für Java 2 Micro Edition eine nicht geringe Zahl von Schädlingen erscheinen (genauer gesagt SMS-Trojaner). Dabei bleibt deren Menge aber entweder auf dem aktuellen Niveau oder sie verringert sich.

Windows Mobile: Diese Plattform war unter Virenschreibern noch nie besonders beliebt und das Jahr 2011 bildete hier keine Ausnahme. Es würde uns nicht wundern, wenn die Zahl der Schadprogramme für diese Plattform im Jahr 2012 an den Fingern einer Hand abzuzählen sein wird.

Windows Phone 7: Es ist wahrscheinlich, dass die ersten Proof-of-Concept-Schädlinge für diese Plattform auftauchen.

iOS: Seit dem Erscheinen zweier Schädlinge im Jahr 2009, die sich gegen gehackte Geräte unter iOS richteten, hat sich nicht viel getan. Auch für das Jahr 2012 sind keinerlei Veränderungen zu erwarten – allerdings nur, wenn Apple seine Politik zur Verbreitung von Software nicht ändert.

Vermutlich wird ein nicht geringer Teil der Schädlinge, die im Jahr 2012 für andere Betriebssysteme als Android erscheinen, für zielgerichtete Attacken verwendet werden. Ein krasses Beispiel für solche Attacken sind Angriffe unter Verwendung von ZitMo und SpitMo (Zeus- und SpyEye-in-the-Mobile).

Mobile Spionage: Der Diebstahl von auf Mobiltelefonen gespeicherten Daten und die Verfolgung einer Person mit Hilfe ihres Handys und Geolokalisierung werden zu einer weit verbreiteten Erscheinung, die über die Grenzen der üblichen Anwendung dieser Technologien durch Strafverfolgungsbehörden und Detekteien hinausgeht.

Attacken auf Online-Banking-Dienste

Attacken auf Online-Banking-Systeme werden zu einer der wichtigsten Erscheinungen (wenn nicht zur wichtigsten überhaupt), auf Grund derer normale Anwender ihr Geld verlieren. Die Zahl derartiger Verbrechen nimmt weltweit zu, ungeachtet aller technischen Maßnahmen, die die Banken ergreifen. Die Zahl der Vorfälle wird in den asiatischen Ländern schneller steigen als in anderen Regionen der Erde. Der Grund dafür liegt in der rasanten Entwicklung solcher Dienste in Südostasien und China. Zudem sind in dieser Region viele cyberkriminelle Gruppierungen angesiedelt, die bisher auf andere Arten von Attacken spezialisiert sind – in erster Linie auf Angriffe auf die Nutzer von Online-Games. Darüber hinaus sind asiatische Cyberkriminelle bekannt für Phishing-Attacken auf die Kunden europäischer und amerikanischer Banken.

Nun, da die Zahl lokaler Dienstleistungen für den elektronischen Zahlungsverkehr und Finanzdienstleistungen zunimmt, werden die Angriffe auf lokale Banken und Anwender mit Hilfe von lokal ausgerichtetem Phishing und spezialisierten Trojanern deutlich zunehmen. Höchstwahrscheinlich werden sich derartige Attacken nicht nur gegen PC-User, sondern auch gegen mobile Nutzer richten. Neben Südostasien und China sind auch Angriffe auf mobile Bezahlsysteme in ostafrikanischen Ländern möglich.

Das Privatleben der Anwender

Der Schutz von Anwenderdaten oder deren Privatlebens und ganz allgemein von Informationen wird nach und nach zu einem der wichtigsten Themen in der IT-Sicherheitsbranche. Mit den Vorfällen des Jahres 2011, bei denen Daten russischer Anwender von den Webseiten von Mobilfunkanbietern und elektronischen Handelssystemen gestohlen wurden, der Geschichte um die Carrier-IQ-Software, der Speicherung von Geolocation-Daten auf dem iPad/iPhone, dem Abfließen von Daten der Kunden verschiedener Systeme in Südkorea sowie dem Hack des Sony PlayStation Network sind nur die wichtigsten und Aufsehen erregendsten Fälle des vergangenen Jahres genannt. Auch wenn die Gründe für diese Fälle unterschiedlich sind, so sind doch Umfang und Inhalt der Daten Glieder ein und derselben Kette. Immer mehr Unternehmen auf der ganzen Welt versuchen, so viele Informationen wie möglich über ihre Kunden zu sammeln.

Leider geht dieses Sammeln von Daten zumeist nicht mit den notwendigen Maßnahmen zum Schutz der zusammengetragenen Informationen einher. Die Entwicklung von Cloud-Technologien trägt ihren Teil zu potenziellen Datenlecks bei: Cyberkriminellen eröffnet sich ein zusätzliches Angriffsobjekt – die Datenzentren, in denen die Informationen verschiedener Unternehmen gespeichert sind. Das Abfließen von Daten aus Cloud-Diensten könnte dieser Technologie selbst und der Idee der Cloud-Speicher einen empfindlichen Schlag versetzen, da sie im Wesentlichen auf dem Vertrauen der Anwender basiert.

Auch Systeme nach Art von CarrierIQ, die Anwenderdaten sammeln, werden im Jahr 2012 mit Sicherheit ausgenutzt werden. Mobile Provider, Software-Hersteller und Internet-Dienste werden nicht auf die potentiellen Vorteile verzichten, die sich aus dem Besitz von Anwenderdaten ergeben.

Hacktivismus

Der Hacktivismus – also ein Hackerangriff, mit dem Protest zum Ausdruck gebracht werden soll – erlebt eine Renaissance und tritt in eine neue Entwicklungsstufe ein. Die zahlreichen Hacks und Attacken auf unterschiedliche staatliche und kommerzielle Strukturen auf der ganzen Welt werden auch im Jahr 2012 fortgesetzt, auch wenn das unweigerlich die Strafverfolgungsbehörden auf den Plan rufen wird und die Hacker mit einer Gefängnisstrafe rechnen müssen.

Immer häufiger werden die Aktionen der Hacktivisten politischen Charakter tragen – das wird der entscheidende Unterschied zu den Angriffen des Jahres 2011 sein, die sich im Wesentlichen gegen Unternehmen richteten oder „just for lulz“ durchgeführt wurden.

Hacktivismus kann allerdings auch genutzt werden, um andere Attacken zu verschleiern, als Ablenkungsmanöver, falsche Fährte oder „sichere“ Methode, ein interessantes Objekt zu hacken. Im Jahr 2011 kam es im Rahmen von Hacktivisten-Attacken mehr als einmal zum Verlust sensibler Informationen, sowohl kommerzieller Art als auch die nationale Sicherheit betreffend, was zweifellos auch das Ziel klassischer zielgerichteter Attacken ist. In diesen Fällen erwiesen die Hacktivisten (möglicherweise ungewollt) anderen Gruppen einen großen Dienst, die die Angriffsmethoden und die gestohlenen Informationen zu ganz anderen Zwecken und zur Durchführung anderer Attacken nutzen konnten.

Quelle:
Kaspersky Lab
Weiterführende Links
Artikel
Entwicklung der IT-Bedrohungen im zweiten Quartal 2013
Kaspersky Security Bulletin 2012: Spam im Jahr 2012
Kaspersky Security Bulletin 2012. Cyberwaffen
Kaspersky Security Bulletin: Statistik für das Jahr 2012
Kaspersky Security Bulletin: Entwicklung der IT-Bedrohungen im Jahr 2012
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen