Was Sicherheitsexperten den Schlaf raubt

Woche 38: Wenn Malware mal von Malware lernt

Uhr
von Coen Kaat

Gewissensbisse im russischen Untergrund, eine Hintertür kommt durch die Hintertür und eine Malware, die mit unsichtbarem Licht spricht. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Source: Ciolanescu / Shutterstock.com / Netzmedien)
(Source: Ciolanescu / Shutterstock.com / Netzmedien)

Wenn man nicht will, dass Daten gestohlen werden, sollte man die Geräte mit den vertraulichen Daten gar nicht erst an ein Netzwerk anschliessen. In der Informatik nennt man dies den Air Gap – auf Deutsch: den Luftspalt. Dieser trennt zwei Systeme physisch und logisch voneinander. Doch so sicher ist die Methode nicht.

Denn natürlich sind Cyberkriminelle und Sicherheitsforscher konstant damit beschäftigt, einen Weg zu finden, diesen Spalt zu überbrücken. Dabei haben sie auch immer wieder Erfolg. Das jüngste Beispiel kommt von einem Forschungsteam der Ben-Gurion-Universität des Negev.

Das Team entwickelte eine Malware, die sie passenderweise aIR-Jumper nannten – ein Wortspiel, das auf AIR und auf IR, die Abkürzung für Infrarot, verweist. Denn die Malware nutzt die Infrarotlichter von Netzwerkkameras, um Daten aus einem abgetrennten System herauszuschmuggeln.

Die Malware muss dafür auf einen Rechner gelangen, der mit modernen Überwachungskameras verbunden ist. Derartige Kameras verfügen heutzutage in der Regel über Infrarotlichter, um auch im Dunkeln etwas zu erkennen.

Um die Daten zu stehlen, muss die Malware sie zunächst in binären Code umwandeln. Diesen kommuniziert die Kamera anschliessend, indem sie ihr Infrarotlicht blinkten lässt. Auf dieselbe Weise könne die Malware über die Kamera auch Befehle empfangen.

Sollte jemand währenddessen zufällig in Richtung der Kamera blicken, würde ihm trotzdem nichts auffallen. Da Infrarotlicht ausserhalb des für Menschen sichtbaren Lichtspektrums liegt. Die ausführliche Forschungsarbeit ist online als PDF verfügbar.

Wenn Malware mal von Malware lernt

Der Banking-Trojaner Retefe ist nicht bekannt für seine geographische Verteilung. Tatsächlich fallen ihm nur selten Rechner ausserhalb der Schweiz, Österreich und Schweden zum Opfer. Stattdessen erregt der Trojaner neben seinem regionalen Fokus viel eher durch seine Wandlungsfähigkeit das Aufsehen von Sicherheitsexperten.

So wie auch jetzt. Denn scheinbar haben die Drahtzieher der jüngsten Retefe-Attacken einen Trick von Wannacry gelernt. Die Ransomware Wannacry hatte im Mai weltweit zahlreiche Systeme befallen. Das Erpresserschadprogramm konnte sich so rasch verbreiten, weil es die Eternalblue genannte Schwachstelle ausnutzte.

Genau diese nutzt nun auch Retefe, wie Proofpoint mitteilt. Die Schwachstelle ermöglicht es dem Schadprogramm, sich selber über das Netzwerk zu vervielfältigen. Dabei nutzt sie einen Programmierfehler im SMB-Netzwerkprotokoll von Windows aus. Im Gegensatz zu Wannacry vermehrt sich der neue Retefe-Stamm jedoch nicht unkontrolliert oder unbegrenzt.

Als Wannacry die Massen traf, hatte Microsoft die Sicherheitslücke bereits gepatcht. Ein Update, das die Sicherheitslücke schliesst, hatte Microsoft schon im März veröffentlicht. Viele Unternehmen versäumten jedoch, dieses auf ihre Geräte einzuspielen.

Nochmals zwei Monate später - als Notpetya dieselbe Schwachstelle ausnutzte – hatten noch immer viele Unternehmen ihre Systeme nicht aktualisiert. Wie viele jetzt dem erweiterten Retefe zum Opfer gefallen sind, schreibt Proofpoint nicht. Dass allfällige Opfer das nicht hätten kommen sehen, wird wohl niemand mehr als Ausrede gelten lassen.

Eine Hintertür, die durch die Hintertür reinkommt

Wer einen einfachen Weg sucht, die Netzwerke eines Unternehmens zu infiltrieren, lässt am besten das Unternehmen die ganze Arbeit machen. So funktionieren etwa sogenannte Supply-Chain-Attacken. Die Cyberkriminellen greifen dabei nicht das Unternehmen direkt an, sondern einen Zulieferer.

Genau das geschah diese Woche mit dem Tool CCleaner. Unbekannte hatten Malware in dem legalen nd seriösen PC-Optimierungsprogramm versteckt. Entdeckt hatten dies die Sicherheitsexperten von Ciscos Security-Einheit Talos.

Wie diese da hinein kam, ist nicht ganz klar. Entweder wurde der Anbieter, Piriform, gehackt oder vielleicht war es auch ein Insider-Job. Auf diese Weise schleusten die Angreifer eine Backdoor in die Systeme aller Unternehmen, welche die infizierte Version auf ihren Rechnern installierten.

Klar ist jedoch, dass die Version 5.33, die zwischen dem 15. August und dem 11. September auf der Website des Anbieters zum Download bereitstand, einen gefährlichen blinden Passagier beförderte. Die verseuchte Version ist mittlerweile nicht mehr erhältlich. Nur kurz zuvor, am 18. Juli, hatte der Sicherheitsanbieter Avast das Unternehmen übernommen.

Wie Costin Raiu, Director of Global Research & Analysis Team bei Kaspersky Lab, auf Twitter schrieb, sollen die Spuren nach China führen. Die Malware würde den gleichen Code nutzen, den man auch in diversen Hackingtools der chinesischen Gruppe Axiom finden könnte.

Wie Avast mitteilt, sollen rund 2,27 Millionen Nutzer betroffen sein. Zum Zeitpunkt der Mitteilung würden nur noch 730'000 einer der beiden betroffenen Distributionen (die 32-bit- und die Cloud-Version) nutzen. Das Unternehmen arbeite nun mit den Betroffenen zusammen an einer Lösung des Problems.

Wie Thehackernews schreibt, soll sich die Malware aber tiefer in das System verhaken, als man denkt. Einfach die verseuchte CCleaner-Version zu löschen, soll nichts bringen. Man müsse das ganze System auf eine frühere Version zurücksetzen.

Und der russische Untergrund zeigt Anzeichen von Gewissensbissen

Die Sicherheitsexperten von Flashpoint und Anomali haben einen Blick in den cyberkriminellen Untergrund geworfen. Dabei entdeckten sie etwas Spannendes: Auf russischen Schwarzmärkten diskutieren die Administratoren rege über die Verwendung von Ransomware. Teilweise mit ökonomischen Argumenten, teilweise aber auch mit ethischen Argumenten.

Ransomware - obwohl derzeit massiv verwendet - wurde zwar nie wirklich gern gesehen, wie es in dem Blogbeitrag heisst. Derartige Erpresserprogramme würden zu viel Aufmerksamkeit generieren und so die Machenschaften anderer Krimineller behindern. Zudem könnte die russische Regierung dadurch auch auf die Idee kommen, härter gegen Schwarzmärkte im Darknet vorzugehen.

Aber seit der Ransomware-Attacke auf das Hollywood Presbyterian Medical Center flammte die Diskussion regelrecht auf. Das Spital sah sich nach einem Ransomware-Angriff gezwungen, 40 Bitcoin zu zahlen, damit die medizinische Ausrüstung wieder funktioniert. Das sei der erste Cybercrime-Angriff, der Menschenleben ernsthaft in Gefahr gebracht hätte, heisst es in dem Blogeintrag.

"Ich wünsche mir aus tiefstem Herzen, dass die Mütter all dieser Ransomware-Verbreiter im Spital landen und dass die PCs, welche die Beatmungsgeräte kontrollieren, mit Ransomware infiziert werden", zitiert Proofpoint den Admin eines hochkarätigen Untergrundforums. Für die Gegenseite zählte hingegen nur der Erfolg. Sie wählten Ziele, die auf jeden Fall zahlen. Und das taten diese Ziele dann auch.

Wie Proofpoint schreibt, wechselte die Gegenseite folglich auch ihre Argumente und brachte anschliessend rein wirtschaftliche Gründe gegen Ransomware. So würde Ransomware etwa das Sicherheitsbewusstsein von potenziellen Opfern steigern. Aufgrund der Verbreitung von Ransomware seien viele Angriffsvektoren wie etwa über Word-Makros nun standardmässig blockiert.

Wie die Diskussion ausging, schreibt Proofpoint nicht. Knapp die Hälfte der Diskutierenden hätte sich aber dafür ausgesprochen, Ransomware aus dem Forum zu verbannen.

Webcode
DPF8_59125