Diese Bedrohungsprognosen wurden verfasst von Eoin Carroll, Taylor Dunton, John Fokker, German Lancioni, Lee Munson, Yukihiro Okutomi, Thomas Roccia, Raj Samani, Sekhar Sarukkai, Dan Sommer und Carl Woodward.
Während sich das Jahr 2018 dem Ende zuneigt, sollten wir wahrscheinlich dafür dankbar sein, dass es nicht vollständig von Ransomware dominiert wurde – auch wenn die Varianten GandCrab und SamSam gezeigt haben, dass diese Bedrohung weiterhin aktiv ist. In unseren Prognosen für 2019 liefern wir nicht mehr nur Einschätzungen zu den Entwicklungen einer konkreten Bedrohung. Stattdessen konzentrieren wir uns auf die aktuellen Entwicklungen auf dem Cyber-Schwarzmarkt, die unserer Meinung nach wahrscheinlich zu Trends und letztlich zu realen Bedrohungen führen werden.
Wir haben festgestellt, dass Cyber-Kriminelle auf dem Schwarzmarkt stärker zusammenarbeiten und ihre Produkte auf diese Weise effizienter entwickeln können. Cyber-Kriminelle gehen schon seit mehreren Jahren so vor, doch dieser Trend wird sich im Jahr 2019 erheblich verstärken. Das Katz-und-Maus-Spiel der Sicherheitsbranche mit den Ransomware-Entwicklern wird an Schärfe zunehmen, sodass Anbieter von Sicherheitslösungen schneller und effektiver als je zuvor reagieren müssen.
Soziale Medien gehören seit mehr als zehn Jahren zu unserem Alltag. In letzter Zeit missbrauchen ausländische Regierungen diese Plattformen zur Verbreitung von Falschinformationen. Wir erwarten, dass Kriminelle diese Taktik im Jahr 2019 für ihre eigenen Zwecke nutzen werden. Gleichzeitig wird die zunehmende Verbreitung von IoT-Geräten (Internet der Dinge) in Privathaushalten dazu führen, dass Kriminelle sie als potenzielle Geldquelle entdecken werden.
Eines ist gewiss: Wir sind stärker von Technologien abhängig als je zuvor. Berichten zufolge waren 50 Millionen Benutzer allein von Sicherheitsverletzungen bei Identitätsplattformen betroffen. Kompromittierungen sind längst nicht mehr auf eine einzige Plattform beschränkt. Da alles miteinander vernetzt ist, hängt Ihre Sicherheit vom schwächsten Glied dieses Netzwerks ab. In Zukunft müssen Sie daher genau wissen, welche Glieder am gefährdetsten sind.
– Raj Samani, Chief Scientist und McAfee Fellow, McAfee Advanced Threat Research
Twitter @Raj_Samani
Vorhersagen
Cyber-Schwarzmarkt konsolidiert sich durch vermehrte Partnerschaften, sodass Bedrohungen zunehmen
Künstliche Intelligenz als Zukunft der Verschleierungstechniken
Synergetische Bedrohungen werden zunehmen und erfordern kombinierte Gegenmaßnahmen
Datenexfiltrationsangriffe auf die Cloud
Sprachgesteuerte digitale Assistenten – der neue Vektor für Angriffe auf IoT-Geräte
Cyber-Kriminelle verstärken Angriffe auf belagerte Identitätsplattformen und Edge-Geräte
Cyber-Schwarzmarkt konsolidiert sich durch vermehrte Partnerschaften, sodass Bedrohungen zunehmen
Versteckte Hacker-Foren und Chat-Gruppen dienen als Markt für Cyber-Kriminelle, die hier Malware, Exploits, Botnets und andere illegale Dienste kaufen können. Mit diesen vorgefertigten Produkten können Kriminelle mit beliebiger Kompetenz und Erfahrung mit Leichtigkeit Angriffe starten. Wir sagen voraus, dass sich der Schwarzmarkt im Jahr 2019 konsolidieren wird, sodass wenige, dafür aber mächtigere Malware-as-a-Service-Familien aktiv zusammenarbeiten werden. Diese zunehmend leistungsfähigeren Marken werden immer raffinierteres Kryptowährungs-Schürfen, die schnelle Ausnutzung neuer Schwachstellen sowie die Zunahme bei Mobilgeräte-Malware und gestohlenen Kreditkarten- und Anmeldedaten noch weiter zunehmen lassen.
Wir gehen davon aus, dass weitere Partnerschaften mit den größten Familien entstehen werden. Der Grund dafür sind die einfache Zusammenarbeit sowie strategische Allianzen mit weiteren wichtigen Diensten wie Exploit-Kits, Crypter-Diensten, Bitcoin-Mixern und Malware-Schutz-Abwehrdiensten. Vor zwei Jahren erlebten wir beispielsweise, dass viele der größten Ransomware-Familien Partnerstrukturen anbieten. Auch heute tauchen immer wieder neue Ransomware-Typen auf, doch nur die wenigsten können langfristig bestehen, da sie nicht genügend Interessenten anlocken können, um gegen die großen Marken bestehen zu können. Diese wiederum bieten höhere Infektionsraten sowie höhere betriebliche und finanzielle Sicherheit. Im Moment bewerben die größten Familien aktiv ihre Angebote; das Geschäft floriert, da es sich um starke Marken handelt (siehe GandCrab), die mit weiteren wichtigen Diensten wie Geldwäsche oder das Verbergen von Malware zusammenarbeiten.
Schwarzmarktunternehmen können erfolgreich agieren, weil sie Teil eines vertrauensbasierten Systems sind. Es handelt sich vielleicht nicht um einen Fall von „Ehre unter Dieben“, doch die Kriminellen scheinen sich sicher zu fühlen und darauf zu vertrauen, dass sie im inneren Kreis ihrer Foren unangreifbar sind. Wir haben dieses Vertrauen schon früher gesehen. So galten beispielsweise beliebte Kreditkarten-Shops in den ersten zehn Jahren des neuen Jahrhunderts als eine der wichtigsten Quellen für Cyber-Kriminalität – bis große Polizeiaktionen das Vertrauensmodell zerstörten.
Da die Endgeräteerkennung immer stärker wird, bietet das anfällige Remote Desktop Protocol (RDP) den Cyber-Kriminellen eine weitere Angriffsmöglichkeit. Für das Jahr 2019 sagen wir voraus, dass Malware (insbesondere Ransomware) das RDP-Protokoll als Einfallstor für Infektionen verwenden wird. Aktuell bewerben die meisten Schwarzmarkt-Shops den RDP-Zugang für andere Zwecke als Ransomware und nutzen ihn typischerweise als Eintrittspunkt für den Zugang zu Amazon-Konten oder als Proxy für den Diebstahl von Kreditkartendaten. Gezielt agierende Ransomware-Gruppen und Ransomware-as-a-Service-Modelle (RaaS) werden RDP ausnutzen, und wir haben bereits äußerst erfolgreiche heimlich agierende Aktivitäten erlebt, die auf diese Weise vorgehen. Wenn die Angreifer ein System mit anfälliger RDP-Implementierung finden, attackieren sie es mit Ransomware und bewegen sich dann in den Netzwerken weiter, wobei sie entweder Glücksfunde nutzen oder Wurm-Funktionen einsetzen (EternalBlue). Es gibt Hinweise darauf, dass der Autor von GandCrab bereits an einer RDP-Option arbeitet.
Wir rechnen auch damit, dass Malware zum Schürfen von Kryptowährungen noch raffinierter wird und Auswahlmöglichkeiten für die auf dem angegriffenen Gerät geschürfte Währung bietet. Dabei wird eine Rolle spielen, wie leistungsfähig die Hardware ist (WebCobra) und welchen Wert eine Währung zu einem bestimmten Zeitpunkt hat.
Für das nächste Jahr sagen wir voraus, dass die Lebensdauer einer Schwachstelle von ihrer Entdeckung bis zum Missbrauch noch kürzer wird. Wir beobachten schon seit einiger Zeit, dass Cyber-Kriminelle in ihrem Entwicklungsprozess immer flexibler werden. Sie suchen in Online-Foren sowie in der CVE-Datenbank (Common Vulnerabilities and Exposures) nach Daten zu Fehlern, die sie in ihrer Malware nutzen können. Deshalb erwarten wir, dass Kriminelle manchmal nur einen Tag oder gar wenige Stunden benötigen werden, um Angriffe auf die neuesten Soft- und Hardware-Schwachstellen zu implementieren.
Wir rechnen damit, dass bei Diskussionen in Schwarzmarkt-Foren das Thema Mobilgeräte-Malware (insbesondere für Android) eine größere Rolle spielen wird. Dabei wird es um Botnets, Online-Banking-Betrug, Ransomware und das Umgehen von Zwei-Faktor-Authentifizierung gehen. Die Vorteile durch den Missbrauch der Mobilgeräte-Plattformen werden aktuell unterschätzt. Immerhin bieten Smartphones umfangreiche Zugriffsmöglichkeiten auf vertrauliche Informationen wie Bankkonten und eröffnen Cyber-Kriminellen somit ein enormes Potential.
Kreditkartenbetrug und die Nachfrage nach gestohlenen Kreditkartendaten werden auch weiterhin eine Rolle spielen, wobei sich der Schwerpunkt zu Online-Skimming-Operationen verlagern wird, bei denen Drittanbieter-Zahlungsplattformen großer E-Commerce-Webseiten angegriffen werden. Auf diesen Webseiten können Kriminelle mit einem Schlag unauffällig tausende aktuelle Kreditkartendaten stehlen. Außerdem gehen wir davon aus, dass in sozialen Medien nichts ahnende Benutzer rekrutiert werden, die wahrscheinlich gar nicht wissen, dass sie für Kriminelle arbeiten, wenn sie Waren weiterversenden oder Finanzdienste anbieten.
Wir rechnen mit einem wachsenden Markt für gestohlene Anmeldeinformationen, was durch die jüngsten großen Datenkompromittierungen sowie die häufig ungeeigneten Kennwortpraktiken der Benutzer erleichtert wird. Die Kompromittierungen führten beispielsweise zum Verkauf von Wählerstimmen sowie dem Hack von E-Mail-Konten. Solche Angriffe erfolgen tagtäglich.
– John Fokker
Künstliche Intelligenz als Zukunft der Verschleierungstechniken
Schon seit langem setzen Angreifer auf Verschleierungstechniken, um Sicherheitsmaßnahmen zu umgehen, Erkennung sowie Analysen zu vermeiden und auf diese Weise ihre Erfolgswahrscheinlichkeit zu verbessern. Packer, Crypter und weitere Tools sind häufig Teil des Arsenals von Angreifern. Tatsächlich ist ein kompletter Schwarzmarkt für Produkte und dedizierte Dienste zur Unterstützung von Cyber-Kriminellen entstanden. Wir sagen für 2019 voraus, dass Verschleierungstechniken aufgrund der einfachen Möglichkeiten zum Auslagern wichtiger Angriffskomponenten sowie durch den Einsatz künstlicher Intelligenz noch flexibler werden. Sie glauben, dass die Anti-Virenschutz-Branche jetzt schon sehr stark ist? Das ist nur der Anfang.
Im Jahr 2018 entdeckten wir neue Techniken zur Injektion von Prozessen wie „Prozess-Doppelgänger“ mit der SynAck-Ransomware sowie der PROPagate-Injektion durch das RigExploit Kit. Durch den Einsatz von Technologien wie künstliche Intelligenz werden Verschleierungstechniken neue Möglichkeiten finden, die Schutzmaßnahmen zu umgehen.
Unterschiedliche Umgehungen für unterschiedliche Malware-Formen
Im Jahr 2018 beobachteten wir das Auftauchen neuer Bedrohungen wie Miner für Kryptowährungen, die Ressourcen infizierter Geräte missbrauchen. Mit jeder Bedrohung werden neue raffinierte Verschleierungstechniken eingeführt:
- Schürfen von Kryptowährungen: Die Miner implementieren eine Reihe von Verschleierungstechniken. Ein Beispiel ist WaterMiner, der einfach den Schürfprozess unterbricht, wenn das Opfer den Task-Manager aufruft oder einen Malware-Schutz-Scan ausführt.
- Exploit-Kits: Zu den gängigen Verschleierungstechniken gehören Prozessinjektion oder die Manipulation des Speicherbereichs und das Hinzufügen von beliebigem Code. Die Injektion in den Arbeitsspeicher wird gern eingesetzt, um während der Ausbringung die Erkennung zu vermeiden.
- Botnets: Code-Verschleierung oder Disassemblierungsschutz-Techniken werden häufig bei großen Botnets eingesetzt, die tausende Geräte infizieren. Im Mai 2018 wurde AdvisorsBot entdeckt, der Junk-Code, gefälschte bedingte Befehle, XOR-Verschlüsselung und sogar API-Hashing nutzt. Da sich Bots meist weit verbreiten, implementierten die Autoren viele Umgehungstechniken, die ein Reverse Engineering erschweren sollen. Für die Kommunikation zwischen den Bots und Kontroll-Servern werden auch Verschleierungsmechanismen eingesetzt. Kriminelle nutzen Botnets als Proxys, für DDoS zur Miete sowie zur Verbreitung von Spam und anderen Malware-Formen. Kriminelle sind auf Verschleierungstechniken angewiesen, um Botnet-Abschaltungen zu verzögern oder zu vermeiden.
- Hochentwickelte hartnäckige Bedrohungen: Auf dem Cyber-Schwarzmarkt gekaufte gestohlene Zertifikate werden häufig bei gezielten Angriffen verwendet, um die Malware-Erkennung zu unterlaufen. Die Angreifer nutzen auch Low-Level-Malware wie Rootkits oder Firmware-basierte Bedrohungen. Beispielsweise entdeckte ESET im Jahr 2018 mit LoJax das erste UEFI-Rootkit. Sicherheitsforscher haben auch zerstörerische Funktionen gefunden, die zur Verhinderung von Forensikuntersuchungen dienen. Die Malware Olympic Destroyer nahm die Organisation der Olympischen Spiele ins Visier und löschte Ereignisprotokolle sowie Backups, um eine Untersuchung zu verhindern.
Künstliche Intelligenz (KI) als neue Waffe
In den letzten Jahren haben wir erlebt, dass Malware auf Verschleierungstechniken setzt, um Machine Learning-Module zu umgehen. Beispielsweise legte die Ransomware Cerber im Jahr 2017 legitime Dateien in Systemen ab, um das Dateiklassifizierungs-Modul zu überlisten. Die Ransomware PyLocky setzte 2018 auf InnoSetup, um die Malware zu verpacken und die Erkennung durch Machine Learning zu vermeiden.
Offensichtlich werden also von Kriminellen bereits Techniken zur Umgehung von KI-Modulen angewendet. Neu ist jedoch die Implementierung von künstlicher Intelligenz in der böswilligen Software selbst. Wir rechnen damit, dass Verschleierungstechniken zukünftig auf künstliche Intelligenz setzen werden, um die Zielauswahl zu automatisieren. Zudem werden sie vor dem Starten der nächsten Phase wahrscheinlich zunächst die infizierten Umgebungen untersuchen, um eine Erkennung zu vermeiden.
Eine solche Implementierung würde die Spielregeln in der Bedrohungslandschaft ändern. Wir sagen voraus, dass sie schon bald in „freier Wildbahn“ auftauchen wird.
– Thomas Roccia
Synergetische Bedrohungen werden zunehmen und erfordern kombinierte Gegenmaßnahmen
In diesem Jahr haben wir festgestellt, dass Cyber-Bedrohungen sich schneller als je zuvor anpassen und ihre Ziele ändern können. So ist zum Beispiel Ransomware effektiver geworden, und wird zudem als „Nebelwand“ eingesetzt. Cryptojacking hat enorm zugenommen, da es bessere und sicherere Rendite verspricht als andere Ransomware. Phishing ist immer noch stark vertreten und findet stets neue ausnutzbare Schwachstellen. Außerdem sind dateilose und opportunistische Bedrohungen noch schwerer zu greifen und aufzuspüren als je zuvor, und in der Kampagne gegen die Olympischen Winterspiele von Pyeongchang kam Steganographie-Malware zum Einsatz. Wir rechnen damit, dass Angreifer diese Techniken häufiger kombinieren werden, um mehrschichtige oder synergetische Bedrohungen zu erschaffen.
Was könnte schlimmer sein?
Bei Angriffen kommt meist nur eine Bedrohung zum Einsatz. Kriminelle Akteure konzentrieren ihre Bemühungen auf die Optimierung und Weiterentwicklung jeweils einer Bedrohung, um die Effektivität und Verschleierung zu verbessern. Wenn ein Angriff erfolgreich ist, wird er als Ransomware, Cryptojacking, Datenexfiltration usw. klassifiziert, und anschließend werden entsprechende Schutzmaßnahmen implementiert. Ab diesem Zeitpunkt wird die Erfolgswahrscheinlichkeit des Angriffs erheblich verringert. Wenn bei einem raffinierten Angriff jedoch nicht nur eine, sondern fünf effiziente Bedrohungen synergetisch zusammenarbeiten, kann das die Sicherheitslage erheblich verschärfen, da sich solche Angriffe deutlich schwerer identifizieren und beheben lassen. Da das eigentliche Ziel des Angriffs unbekannt ist, können die Details der einzelnen Bedrohungen in der Angriffskette das Gesamtbild verdecken.
Einer der Gründe für das Auftauchen synergetischer Bedrohungen ist die zunehmende Kompetenz der Kriminellen bei der Entwicklung von Frameworks, Kits und wiederverwendbaren Bedrohungskomponenten. Da die Angreifer ihre Initiativen im Rahmen eines Schwarzmarkt-Geschäftsmodells organisieren, können sie aus bestehenden Bausteinen größeren Nutzen herausschlagen. Dank dieser Strategie ist es ihnen möglich, mehrere Bedrohungen zu koordinieren, anstatt mit einer einzigen zu versuchen, ihre Ziele zu erreichen.
Ein Beispiel ist mehr wert als tausend Worte
Stellen Sie sich einen Angriff vor, der mit einer Phishing-Bedrohung beginnt – allerdings nicht wie bisher typisch mit Word‐Dokumenten. Stattdessen enthält die Phishing-E-Mail einen Videoanhang. Wenn Sie das Video öffnen, spielt Ihr Player das Video nicht ab, sondern fordert Sie auf, den Codec zu aktualisieren. Sobald Sie das Update ausführen, wird eine steganographische Polyglot-Datei (eine einfache GIF-Datei) auf Ihr System geladen. Da sie polyglott ist (also mehr als ein Format besitzt), kann die GIF-Datei einen Task planen, der ein dateiloses Skript abruft, das von einem kompromittierten System gehostet wird. Dieses im Arbeitsspeicher ausgeführte Skript analysiert Ihr System und entscheidet, ob eine Ransomware oder ein Kryptowährungs-Miner ausgeführt wird. Dies ist eine synergetische Bedrohung in Aktion.
Der Angriff wirft etliche Fragen auf: Womit haben wir es hier zu tun? Wie ist er zu klassifizieren – als Phishing 2.0, Stegware, eine dateilose und opportunistische Malware, Cryptojacking oder Ransomware? Die Antwort: Er ist alles gleichzeitig.
Dieser raffinierte aber durchaus durchführbare Angriff demonstriert, dass die Konzentration auf einen einzigen Bedrohungstyp nicht ausreicht, um einen Angriff zu erkennen oder abzuwehren. Wenn Sie versuchen, den Angriff in eine einzige Kategorie einzustufen, können Sie das Gesamtbild aus den Augen verlieren und sind dadurch weniger effektiv bei der Abwehr. Selbst wenn Sie den Angriff mitten in der Angriffskette unterbrechen, müssen Sie zur erfolgreichen Abwehr weiterer Versuche auch die erste und letzte Phase erkennen.
Neugier, Kreativität und Vernetzung der Schutzmaßnahmen
Zur Abwehr raffinierter Angriffe, die Bedrohungen geschickt synergetisch kombinieren, gehört das Hinterfragen jeder Bedrohung. War diese Ransomware-Infektion eventuell Teil einer größeren Kampagne? Könnte diese Phishing-E-Mail eine Taktik anwenden, für die unsere Mitarbeiter nicht geschult sind? Kennen wir das eigentliche Ziel des Angriffs wirklich?
Mit diesen Fragen im Hinterkopf können Sie nicht nur das Gesamtbild erkennen, sondern auch Ihre Sicherheitslösungen optimal nutzen. Wir rechnen damit, dass kriminelle Akteure ihre Angriffe synergetisch kombinieren werden – und die Cyber-Schutzmaßnahmen ebenso synergetisch agieren können.
– German Lancioni und Carl Woodward
Cyber-Kriminelle nutzen Desinformation in sozialen Medien und Erpressungskampagnen, um Marken zu schädigen
Die Wahlen wurden beeinflusst, Fake News sind immer noch ein Thema und unsere Follower in sozialen Medien sind alle von ausländischen Regierungen gesteuerte Bots. Zumindest kann man manchmal diesen Eindruck bekommen. Zu behaupten, dass die letzten Jahre für Social-Media-Unternehmen turbulent gewesen wären, ist eine Untertreibung. In dieser Zeit entwickelte sich ein Katz-und-Maus-Spiel: Automatisierte Konten werden stillgelegt, doch die Methoden der Gegner entwickeln sich weiter und führen zu Botnet-Konten, die legitimer wirken als je zuvor. Im Jahr 2019 rechnen wir mit einer Zunahme von Desinformationen und Erpressungskampagnen über soziale Medien, die Marken ins Visier nehmen und nicht von staatlichen Akteuren, sondern von kriminellen Gruppen durchgeführt werden.
Staatliche Stellen nutzen Bot-Bataillone, um Botschaften zu verbreiten oder die Meinung zu manipulieren, und ihre Effektivität ist erschreckend. Bots nehmen oft beide Seiten eines Themas ein, um die Debatte anzuheizen – und diese Taktik funktioniert. Botnet-Betreiber nutzen ein System von sich verstärkenden Knoten sowie Tests der Botschaften (einschließlich Hash-Tags) zur Ermittlung ihrer Erfolgsraten. Damit beweisen sie ein wirkliches Verständnis dafür, wie die öffentliche Meinung zu wichtigen Themen beeinflusst werden kann.
In einem Fall startete ein Twitter-Konto, das gerade einmal zwei Wochen alt war und 279 Follower hatte (von denen die meisten Bots waren), eine Kampagne gegen ein Unternehmen. Durch Verstärkung generierte das Konto in nur vier Wochen weitere 1.500 Follower, indem es einfach böswillige Inhalte über sein Ziel tweetete.
Aktivitäten zur Manipulation der öffentlichen Meinung sind gut dokumentiert, und die Bots sind sehr gut darin, Diskussionen zu steuern, um Ziele zu erreichen. Im kommenden Jahr rechnen wir damit, dass Cyber-Kriminelle im Rahmen solcher Kampagnen gezielt Marken angreifen und so Unternehmen erpressen werden. Damit sehen sich Unternehmen einer ernsthaften Bedrohung gegenüber.
– Raj Samani
Datenexfiltrationsangriffe auf die Cloud
Seit zwei Jahren setzen Unternehmen immer stärker auf Software-as-a-Service-Modelle (z. B. Office 365) sowie Platform-as-a-Service-Modelle (AWS und Azure), sodass sich heute deutlich mehr Unternehmensdaten in der Cloud befinden als je zuvor. Für 2019 erwarten wir eine deutliche Zunahme der Angriffe, die den Daten in die Cloud folgen.
Im Zuge der stärkeren Nutzung von Office 365 stellen wir eine wachsende Zahl von Angriffen auf den Dienst fest. Das gilt ganz besonders für Versuche, E-Mails zu kompromittieren. Zu den vom McAfee-Cloud-Team aufgedeckten Bedrohungen gehört das Botnet KnockKnock, das gezielt Systemkonten angreift, die meist nicht durch mehrstufige Authentifizierung gesichert sind. Zudem sind uns Exploits bekannt, die das Vertrauensmodell des OAuth-Standards (Open Authorization) ausnutzen. Einer der Exploits wurde von der russischen Cyber-Spionage-Gruppe Fancy Bear in Umlauf gebracht, die mit einer gefälschten Google-Sicherheits-App Phishing-Angriffe gegen Benutzer startete, um Zugriff auf Benutzerdaten zu erlangen.
Ebenso haben wir in den letzten Jahren zahlreiche schwerwiegende Datenkompromittierungen beobachtet, die auf falsch konfigurierte Amazon S3-Buckets zurückzuführen waren. Das ist ganz klar nicht der Fehler von AWS. Entsprechend dem Modell der gemeinsamen Verantwortung ist es die Aufgabe der Kunden, die IaaS/PaaS-Infrastruktur angemessen zu konfigurieren und ihre Unternehmensdaten und den Benutzerzugang korrekt zu schützen. Die Sache wird dadurch komplizierter, dass viele dieser fehlkonfigurierten Buckets nicht den angegriffenen Unternehmen selbst, sondern ihren Lieferanten gehören. Durch den einfachen Zugriff auf Tausende offene Buckets und Anmeldeinformationen entscheiden sich die kriminellen Akteure immer häufiger für diese einfachen Opfer.
Laut dem McAfee-Bericht zum Einsatz und zu den Risiken der Cloud sind 21 Prozent der Daten in der Cloud vertraulich, z. B. geistiges Eigentum und Kunden- sowie personenbezogene Daten. Da der Nutzerstamm für diese Daten im vergangenen Jahr um 33 Prozent zunahm, wissen Cyber-Kriminelle genau, wie sie weitere Ziele finden:
- Mit von der Cloud ausgehenden Angriffen auf schwache APIs oder nicht kontrollierte API-Endgeräte, um auf Daten in SaaS-, PaaS- und serverlosen Workloads zuzugreifen
- Mit erweiterter Spionage und Exfiltration von Daten in Cloud-Datenbanken (PaaS- oder kundenspezifische Anwendungen, die in IaaS bereitgestellt werden), wodurch sich der S3-Exfiltrationsvektor auf strukturierte Daten in Datenbanken oder Datenseen ausdehnen lässt
- Durch die Nutzung der Cloud als Sprungbrett für von der Cloud ausgehende Man-in-the-Middle-Angriffe (z. B. GhostWriter, wo aufgrund von Fehlkonfigurationen öffentlich schreibbare S3-Buckets ausgenutzt werden), um Cryptojacking- oder Ransomware-Angriffe im Rahmen anderer MITM-Angriffsvarianten einzusetzen
– Sekhar Sarukkai
Sprachgesteuerte digitale Assistenten – der neue Vektor für Angriffe auf IoT-Geräte
Technikbegeisterte statten ihr Zuhause immer weiter mit intelligenten Geräten aus – von Steckdosen bis zu Fernsehgeräten, von Kaffeemaschinen bis zu Kühlschränken sowie von Bewegungssensoren bis zur Beleuchtung. Dadurch wächst die Zahl der potenziellen Zugangspunkte zum Heimnetzwerk, zumal sehr viele IoT-Geräte nur unzureichend abgesichert sind.
Doch im nächsten Jahr werden sich sprachgesteuerte digitale Assistenten als perfekte Schlüssel für den Netzwerkzugang erweisen. Die Verkaufszahlen dieser Assistenten, die unter anderem die Verwaltung aller IoT-Geräte im Haushalt übernehmen, steigen – und in der Weihnachtszeit ist mit einer weiteren explosionsartigen Zunahme zu rechnen. Daher wird es für Cyber-Kriminelle noch attraktiver, über Assistenten an die wirklich interessanten Geräte im Netzwerk zu gelangen.
Derzeit ist der Markt für Sprachassistenten noch im Aufbau begriffen. Zahlreiche Marken versuchen den Markt auf vielfältige Weise zu dominieren, und bislang ist noch unklar, ob ein Gerät diese Dominanz erreichen wird. In diesem Fall würden die Medien die Sicherheitsfunktionen durchaus genau unter die Lupe nehmen – der Datenschutz wird bei der Einschätzung jedoch eine vorrangige Rolle spielen.
(Im vergangenen Jahr wiesen wir bereits darauf hin, dass Datenschutz bei privat genutzten IoT-Geräten ein großes Problem darstellt. Das wird sich nicht ändern, aber Cyber-Kriminelle werden sich mehr darauf konzentrieren, Botnets aufzubauen, Lösegeld zu fordern und mit der Zerstörung von privatem und geschäftlichem Eigentum zu drohen.)
Cyber-Kriminelle werden sich nicht die Chance entgehen lassen, die in Haushalten und Büros verwendeten Geräte zu kontrollieren. Doch während die Medien über Datenschutz- und Sicherheitsprobleme schreiben, schreiben Kriminelle fleißig Schadcode für Angriffe, die sich nicht nur gegen IoT-Geräte, sondern auch gegen digitale Assistenten richten.
Von Smartphones ist bereits bekannt, dass sie als Einfallstor für Bedrohungen dienen können. Im Jahr 2019 könnten sie noch größere Tore aufstoßen. Was Cyber-Kriminelle mit ungeschützten Geräten erreichen können, haben wir bereits anhand von zwei Bedrohungen gesehen: am Mirai-Botnet (das erstmals im Jahr 2016 zuschlug) und an IoT Reaper (2017). Beide IoT-Schadprogramme tauchten in mehreren Varianten auf und griffen vernetzte Geräte wie Router, Netzwerk-Video-Recorder und IP-Kameras an. Sie erweiterten ihre Reichweite durch das Knacken von Kennwörtern und Ausnutzen bekannter Schwachstellen, um weltweite Roboter-Netzwerke aufzubauen.
Für das nächste Jahr rechnen wir mit zwei Hauptvektoren für Angriffe auf IoT-Heimnetzwerkgeräte: Router und Smartphones/Tablets. Das Mirai-Botnet hat bereits gezeigt, dass Router unzureichend geschützt sind. Infizierte Smartphones, die schon jetzt Heimnetzwerkgeräte überwachen und steuern, werden zu den Hauptzielen der Cyber-Kriminellen gehören, die mit bekannten sowie neuen Techniken die Kontrolle zu übernehmen versuchen.
Da Smartphones und Tablets von den meisten Benutzern als vertrauenswürdig angesehen werden, sind sie für Malware‐Autoren das Mittel der Wahl, um durch Kennwortknacken und Schwachstellenausnutzung die Kontrolle über IoT-Geräte zu übernehmen. Diese Angriffe werden nicht als verdächtig auffallen, da der Netzwerkverkehr von vertrauenswürdigen Geräten ausgeht. Die Erfolgsrate der Angriffe wird steigen, und es wird schwer werden, die Angriffswege nachzuvollziehen. Ein infiziertes Smartphone kann Ursache für den nächsten Fall von gekaperten DNS-Einstellungen in Routern sein. Zudem warten Schwachstellen in Mobilgeräte- und Cloud-Apps nur darauf, ausgenutzt zu werden. Kriminelle werden dabei strategisch auf Smartphones setzen.
Infizierte IoT-Geräte werden den Aufbau von Botnets ermöglichen, die anschließend zum Starten von DDoS-Angriffen sowie zum Stehlen persönlicher Daten eingesetzt werden. Noch raffiniertere IoT-Malware wird sprachgesteuerte digitale Assistenten ausnutzen, um ihre verdächtigen Aktivitäten vor Benutzern und der Heimnetzwerk-Sicherheits-Software zu verbergen. Böswillige Aktionen wie das Öffnen von Türen und Verbinden mit Kontroll-Servern könnten durch Sprachbefehle der Benutzer („Spiele die Musik ab“ oder „Wie wird das Wetter heute“) ausgelöst werden. Dann werden möglicherweise infizierte IoT-Geräte selbst den Befehl geben: „Assistent, öffne die Hintertür!“
– Lee Munson und Yukihiro Okutomi
Cyber-Kriminelle verstärken Angriffe auf belagerte Identitätsplattformen und Edge-Geräte
Im Jahr 2018 wurden groß angelegte Datenkompromittierungen von Identitätsplattformen festgestellt, die eine zentrale und sichere Authentifizierung sowie Autorisierung für Benutzer, Geräte und Dienste über mehrere IT-Umgebungen hinweg anbieten. Zusätzlich wurden die erfassten Daten weiterverwendet, um den Opfern zusätzlich zu schaden. Für 2019 erwarten wir, dass große Social-Media-Plattformen zusätzliche Maßnahmen implementieren, um die Kundeninformationen zu schützen. Da die Zahl der Plattformen steigt, rechnen wir jedoch damit, dass sich Kriminelle weiter auf diese attraktiven datenreichen Umgebungen konzentrieren werden. Der Kampf zwischen Kriminellen und großen Plattformen wird zum nächsten großen Kriegsschauplatz.
Die Malware Triton, die Industriesteuerungssysteme angreift, hat die Möglichkeiten der kriminellen Akteure bereits eindrucksvoll demonstriert: Sie ist in der Lage, Produktionsumgebungen per Fernzugriff über angrenzende IT-Umgebungen anzugreifen. Kompromittierungen von Identitätsplattformen und „Edge-Geräten“ sind für Kriminelle hervorragend geeignet, um Remote-Angriffe auf Industriesteuerungssysteme zu starten, da diese statische Kennwörter für mehrere Umgebungen nutzen und Edge-Geräte aufgrund konzeptbedingter Einschränkungen häufig nicht die Sicherheitsanforderungen erfüllen. (Ein Edge-Gerät ist eine netzwerkfähige System-Hardware oder ein Protokoll innerhalb eines IoT-Produkts.) Wir erwarten, dass mehrstufige Authentifizierung und Identitäts-Intelligence in diesem neu ausbrechenden Kampf den besten Schutz bieten werden. Außerdem sagen wir voraus, dass Identitäts-Intelligence die mehrstufige Authentifizierung ergänzen wird, um die Möglichkeiten von Identitätsplattform zu verstärken.
Die Identität ist ein wesentlicher Baustein für die IoT-Absicherung. In diesen Ökosystemen müssen Geräte und Dienste vertrauenswürdige Geräte zuverlässig identifizieren, damit sie den Rest ignorieren können. Das in herkömmlichen IT-Systemen benutzerbasierte Identitätsmodell orientiert sich bei IoT-Systemen auf die Maschine. Aufgrund der Integration operativer Technologien und des unsicheren Designs der Edge-Geräte baut das IoT-Vertrauensmodell auf einem schwachen Fundament, das Vertrauen und peripheriebasierte Sicherheit voraussetzt.
Auf der Black Hat USA und DEFCON gab es 2018 insgesamt 30 Beiträge zur Ausnutzung von IoT-Edge-Geräten. Das ist eine starke Steigerung gegenüber den lediglich 19 Beiträgen im Jahr 2017. Das gewachsene Interesse bezog sich vor allem auf die Bereiche Industriesteuerungssysteme, Verbraucher, medizinische Geräte und „Intelligente Städte“ (siehe Abbildung 1). Intelligente Edge-Geräte unterstützen, in Kombination mit sehr schnellen Netzwerkverbindungen, die IoT-Ökosysteme, doch ihre wachsende Zahl gefährdet die Sicherheit dieser Systeme.
Abbildung 1. Die Zahl der Konferenzbeiträge zur Sicherheit von IoT-Geräten ist gestiegen und spiegelt die wachsende Bedrohung durch schlecht geschützte Geräte wider.
Die meisten IoT-Edge-Geräte bieten keine Selbstschutzfunktionen (z. B. Isolierung kritischer Funktionen, Speicherschutz, Firmware-Schutz, Minimierung der Berechtigungen oder standardmäßige Sicherheit), sodass Kriminelle das Gerät mit einem erfolgreichen Exploit leicht übernehmen können. IoT-Edge-Geräte leiden unter dem Problem, dass sich eine erfolgreiche Kompromittierung auf zahlreiche Geräte übertragen lässt, da die gleichen unsicheren Komponenten in zahlreichen Gerätetypen und Branchen eingesetzt werden (siehe Artikel zu WingOS und Reverse Engineering).
Die McAfee Advanced Threat Research-Teamexperten haben gezeigt, wie Protokolle medizinischer Geräte ausgenutzt werden können, um durch das angenommene Vertrauen die Gesundheit der Menschen zu gefährden und die Privatsphäre von Patienten zu kompromittieren. Diese Beispiele sind nur einige von vielen möglichen Szenarien, die uns zur Überzeugung führen, dass Kriminelle auf IoT-Edge-Geräte setzen werden, da diese zum Erreichen ihrer Ziele den Weg des geringsten Widerstands bieten. In den letzten zehn Jahren wurden die Server abgesichert, doch die IoT-Hardware kann längst noch nicht Schritt halten. Wenn wir die Motive und Möglichkeiten (Angriffsflächen und Zugriffsmöglichkeiten) der Angreifer kennen, können wir Sicherheitsanforderungen definieren, die sich nicht nur auf einen Angriffsvektor anwenden lassen.
Abbildung 2 zeigt eine Aufschlüsselung der Schwachstellentypen von IoT-Edge-Geräten. Dies macht die wichtigsten Angriffspunkte deutlich. Mit angemessenen Identitäts- und Integritätsfunktionen in der Edge-Hardware können wir sicherstellen, dass diese Geräte Angriffe abwehren können.
Abbildung 2. Unsichere Protokolle sind der Hauptangriffsvektor bei IoT-Edge-Geräten.
IoT-Sicherheit muss bei den Edge-Geräten beginnen – mit einem Modell, das kein Vertrauen voraussetzt. Zudem muss die Hardware so gestaltet werden, dass sie die zentrale vertrauenswürdige Komponente bildet und als Fundament für den Schutz vor Hack-and-Shack-Angriffen und anderen Bedrohungen fungiert. McAfee sagt voraus, dass die Zahl der Kompromittierungen von Identitätsplattformen und IoT-Geräten durch die Einführung von intelligenten Städten und zunehmenden Aktivitäten von Industriesteuerungssystemen im Jahr 2018 steigen wird.
– Eoin Carroll
Bleiben Sie auf dem Laufenden
Folgen Sie uns, um alle Neuigkeiten von McAfee und zu aktuellen Sicherheitsbedrohungen für Privatanwender und Mobilgeräte zu erfahren.
