Was Sicherheitsexperten den Schlaf raubt

Woche 35: Traue keiner kostenlosen Malware

Uhr
von Coen Kaat

Locky bricht mit Konventionen, Sicherheitsforschern geht ein Lichtlein auf und FDA ruft Herzschrittmacher aus Angst vor Hackern zurück. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Source: Ciolanescu / Shutterstock.com / Netzmedien)
(Source: Ciolanescu / Shutterstock.com / Netzmedien)

Die Welt wird immer digitaler. Und wir mit ihr. Früher war es noch etwas Besonderes, den technologischen Fortschritt etwa in Form eines Smartphones immer bei sich zu tragen. Heute dringt der digitale Wandel zunehmend in den menschlichen Körper ein.

So sind moderne Herzschrittmacher beispielsweise bereits kleine interne und auch vernetzte Computer. Eigentlich sollte diese Technologie den Arzt über das Wohlbefinden seiner Patienten informieren. Einige Sicherheitsforscher der US-Firma White Scope demonstrierten jedoch, wie sich diese Radiosignale abfangen lassen – mit handelsüblichen Equipment, das zwischen 15 und 3000 US-Dollar kostet.

So konnten die Forscher die Herzschrittmacher auch umprogrammieren. Mit diesem Zugriff wäre es theoretisch möglich, die Batterien zu entleeren oder auch die Herzfrequenz des Patienten zu beeinflussen.

Aus Angst vor Hackerangriffen auf die Herzen der US-Bevölkerung rief die Lebensmittelüberwachungs- und Arzneimittelbehörde der Vereinigten Staaten (FDA) nun sechs Herzschrittmacher-Modelle des Health-Tech-Unternehmens Abbott zurück. Fast eine halbe Millionen Patienten sind davon betroffen.

Die Betroffenen können jedoch aufatmen. Sie müssen nicht erneut unters Messer, sondern können ein Update auf ihre bereits implantierten Geräte laden. Danach müssen externe Geräte zunächst authentifiziert werden, bevor sie Zugriff erhalten. Das Update bringt zudem noch weitere Features, wie der Hersteller mitteilt. Darunter etwa Datenverschlüsselung und die Möglichkeit, die Netzwerkfunktionen zu deaktivieren.

Locky bricht mit Konventionen

Locky ist erneut wieder da. Eigentlich scheint die Ransomware nie wirklich weg zu sein. Die Sicherheitsexperten von Malwarebytes entdeckten nun aber eine neue Verbreitungsmethode. Diese nutzt dabei einen besonders raffinierten Trick, wie das Unternehmen mitteilt.

Die Ransomware wird in gross angelegten Spam-Kampagnen verschickt. Jede Mail enthält einen Anhang. Wenn aber das ahnungslose Opfer diesen anklickt, passiert nichts. Stattdessen öffnet sich eine Word-Datei. Der Nutzer wird aufgefordert, diverse Makros zu aktivieren. Tut das Opfer dies, geschieht wieder nichts.

Irgendwann erkennt das Opfer, dass es nichts zu sehen gibt und schliesst die Datei. Doch dann ist es schon zu spät. Indem er das Dokument schliesst, gibt er der Malware unwissentlich den Startschuss: Der Rechner wird infiziert.

Weswegen betreibt die Malware den ganzen Aufwand, mag man sich fragen. Auf diese Weise, wie Malwarebytes schreibt, entgeht die Ransomware Sandbox-Technologien, an denen sie normalerweise scheitern würde.

Für das Opfer ändert sich dadurch jedoch herzlich wenig. Alles was er am Ende hat, ist ein verschlüsselter Rechner und die Aufforderung, ein Lösegeld zu zahlen.

Sicherheitsforschern geht ein Lichtlein auf

Der Funkstandard Zigbee macht es möglich, die Lichter daheim ohne aufzustehen mit seinem Smartphone ein- und auszuschalten. Namhafte Grössen wie etwa Philips mit seinen Hue- und Osram mit den Lightify-Produkten setzen auf diesen Standard. Ferner nutzen auch GE und Ikea den Standard.

Zigbee ermöglicht aber nicht nur dem Nutzer, seine Lampen aus der Ferne anzuknipsen. Auch Hacker könnten kontrollieren, ob es drinnen hell oder dunkel ist. Dies demonstrierte ein Team aus Sicherheitsforschern der Friedrich-Alexander-Universität und der Universität Mannheim.

Das Team fand eine Sicherheitslücke in den Zigbee-Lampen. Den Forschern gelang es, verschiedene Lampen der vier erwähnten Hersteller während mehrerer Stunden blinken zu lassen. Auch manipulierten sie die Lampe so, dass die Nutzer sie nicht mehr ein- und ausschalten konnten. Ein einzelner Funkbefehl aus über 100 Meter Entfernung genügte.

Verursacht wird das Problem durch Touchlink-Commissioning. Das Feature ist eigentlich dazu da, neue Geräte einem bestehenden Netzwerk hinzuzufügen. Die inhärenten Sicherheitsmassnahmen seien jedoch unzureichend. Dadurch werden die Lampen angreifbar.

Diese Spielerei mit Licht mag harmlos klingen. Doch sollte die Gefahr dieser Schwachstelle nicht unterschätzt werden. Derselbe Zigbee-Standard findet sich auch in vielen Smarthome-Geräten wieder. Darunter etwa Heizanlagen, Türschlösser oder Alarmanlagen.

Wie die Friedrich-Alexander-Universität mitteilt, reagierten einige Hersteller bereits auf das Problem. Sie stellten ein Update bereit, dass die Effekte der Angriffe deutlich verringert. Dennoch empfehlen die Sicherheitsforscher, Touchlink Commissioning in allen zukünftigen ZigBee-3.0-Produkten zu deaktivieren. Die Forschungsarbeit ist online als PDF-Datei erhältlich.

Und das Nicht-Schnäppchen der Woche: Cobian RAT

Man würde meinen, wer im Darknet nach Schadprogrammen sucht, um andere PCs zu kapern, wäre zumindest ein wenig paranoid und auf der Hut vor just derartiger Malware. Doch das stimmt wohl nicht so. In den dunkelsten Ecken des Webs tauchte nämlich ein Schadprogramm auf. Die Sicherheitsexperten von Zscaler tauften diese Cobian RAT. Der Autor der Malware bot sie in diversen Märkten im Darknet kostenlos an.

Die Abkürzung RAT steht für Remote Access Trojan. Wie die Bezeichnung vermuten lässt, verfügt Cobian über sämtliche Features, die man braucht, um die Kontrolle über einen fremden Rechner zu übernehmen: Die Malware speichert Tastenanschläge, spioniert heimlich mittels Webcam und kann beliebigen Code aus der Ferne ausführen.

Auf den ersten Blick scheint Cobian nichts Besonders. Mit der Malware können geizige Hacker problemlos andere Rechner infizieren und für eigene Zwecke missbrauchen. Doch tief im Innersten von Cobian, versteckt in einer verschlüsselten Bibliotheksdatei, lauert eine finstere Überraschung.

Diese Überraschung wartet, bis der Hacker nicht hinsieht. Dann nimmt Cobian Kontakt auf mit dem Command-and-Control-Server des ursprünglichen Autors. Dieser erhält so die volle Kontrolle über die infizierten Rechner. Falls nötig, kappt er anschliessend die Verbindung zum geizigen Hacker komplett. Outsourcing im Cybercrime.

Wie gross diese Cobian-Zombie-Armee ist, verraten die Sicherheitsexperten von Zscaler nicht. Sie würden die Situation jedoch überwachen.

Webcode
DPF8_55450