Kaspersky Lab setzt die Veröffentlichung seiner analytischer Artikel über Entwicklungstendenzen der aktuellen IT-Gefahren fort. Die vorliegende Analyse ist den Ereignissen des zweiten Quartals des laufenden Jahres gewidmet. Der erste Teil dieses Berichts handelt handelt von der Richtungsänderung bei Netzattacken.
Von Alexander Gostev, Senior Viren-Analytiker, Kaspersky Lab
In den vergangenen Monaten wurden einige ernsthafte Hacker-Attacken verzeichnet, die eine klare Richtungsänderung der Angreifer aufzeigen.
Finanzgiganten, wie die Bank of America, die Sumitomo Bank oder die Abrechnungsdienstleister von MasterCard und Visa wurden im vergangenen Vierteljahr Opfer von Cyberverbrechen. In diesen Zusammenhang gehört auch der Skandal um das Spionage-Programm Hotworld, das in Netzen von mehr als 80 Organisationen in Israel und Großbritannien entdeckt wurde. Die Analyse dieser und einer Reihe weiterer, weniger bekannter Vorfälle, lässt folgende Schlussfolgerungen zu:
1. Die Verbrecher wenden sich endgültig von Massenattacken durch den Versand von Netz-Würmern oder Trojanern ab
Hierfür gibt es verschiedene Gründe: Zum einen hat die Antivirus-Industrie im Laufe einer Dekade wirksame Maßnahmen zum Schutz vor globalen Wurm-Epidemien entwickelt: Angefangen bei der Detektion erster Anzeichen für eine Epidemie (dem Auffinden einer Vielzahl von Kopien ein- und derselben Datei im E-Mail-Verkehr) bis hin zu höchsten Sicherheitsstufen wie Intrusion Detection-Systemen und Hardware-Firewalls. Zwischen dem ersten Sichten von Würmern im Netz bis zum Publizieren des "Gegenmittels" - der Antivirus-Signatur zum Erkennen des Wurms und der Reparatur befallener Systeme - vergehen maximal ein bis zwei Stunden, meist jedoch nur wenige Minuten. Die Effektivität derartiger Virus-Attacken wird so erheblich gemindert.
Zweitens: Selbst wenn es dem Wurm gelingen sollte, die verschiedenen Schutzmaßnahmen zu umgehen, beziehungsweise in nicht-geschützte Systeme einzudringen, und einige Tausend Anwender zu infizieren, steht er nun vor der Aufgabe, sich zu vermehren beziehungsweise Informationen zu stehlen und sie weiterzuleiten. Durch die Schadprogramm-Analyse lassen sich mittlerweile jedoch recht schnell diejenigen Server identifizieren, auf welche die gesammelten Informationen geschickt werden. Auch die Kanäle und Methoden zur Remote-Steuerung infizierter Rechner können heutzutage relativ einfach aufgedeckt werden. Mittels dieser Werkzeuge lassen sich Epidemien eindämmen, indem die Hacker-Server abgeschaltet werden.
Drittens: Geraten gestohlene Daten nun tatsächlich in die Hände von Verbrechern, stehen diese vor dem Problem, ihr Wissen in Geld umzusetzen. Auch das ist kein einfaches Unterfangen, zumal die Gefahr, belangt zu werden, in den letzten Jahren stark angestiegen ist.
2. Die Verbrecher wenden sich konkreten und größeren Zielen zu
Aufgrund der oben beschriebenen Probleme suchen Cyberverbrecher nun vermehrt nach anderen Zielen und Methoden zum Diebstahl und Verkauf von Informationen.
Am gefragtesten sind selbstverständlich Bankverbindungsdaten und persönliche Informationen, wie Kreditkartennummern, Sozialversicherungskennungen und Ähnliches. Es geht also vorzugsweise um Informationen, die von Dritten zur Geldbeschaffung benutzt werden können: zum Geldabheben, zum Fälschen von Dokumenten und Bankkarten, zur Nötigung und Erpressung.
An zweiter Stelle auf der Beliebtheitsskala steht mittlerweile die Industriespionage - Tendenz steigend. Angaben über Produkte von Mitbewerbern, deren finanzielles Standing, Mitarbeiterdaten und viele andere Informationen, welche früher abfotografiert, mitgeschrieben oder mittels Wanzen abgehört werden mussten, erhält der Spion heute über das Hacken interner Computernetze.
Hieraus ergibt sich ganz klar eine Verschiebung der von den Hackern anvisierten Ziele: Es ist eine Sache, die Internet-Zugangskennung oder ICQ-Passwort eines Computernutzers zu stehlen und es für fünf Euro zu verkaufen. Eine andere Sache ist es, eine Million Computer weltweit zu infizieren und 50.000 Kreditkarten-Nummern zu stehlen. Richtig problematisch wird es aber dann, wenn durch die Infizierung eines einzelnen Computers gleich mehrere Millionen Kreditkartennummern gestohlen werden.
Die Antivirus-Industrie hat im Laufe einer Dekade wirksame Maßnahmen zum Schutz vor globalen Wurm-Epidemien entwickelt
Analysiert man nun den Vorfall bei CardSystem Solutions und sieht sich die Daten an, die über die Massenmedien verbreitet wurden, kann man einige "Merkwürdigkeiten" erkennen:
- Das Spionage-Programm (Trojaner), das angeblich im Netz von CardSystem Solutions entdeckt wurde, ist bislang keinem Antivirus-Unternehmen zur Verfügung gestellt worden. Der Trojaner Hotworld dagegen war bereits zwei Tage nach seinem Auffinden in die Datenbanken beinahe aller Antivirusprogramme integriert.
- Dieser Trojaner war mit Sicherheit kein Keylogger (Tastatur-Spion) - es wurden wohl kaum 40 Millionen Kreditkarten-Nummern per Hand über die Tastatur des infizierten Computers eingegeben.
- Um Zugang zur Datenbank zu erhalten, in der die Kartennummern abgelegt waren, musste dieser Trojaner eigens für dieses Datenbankformat erstellt worden sein.
- Es ist außerdem unklar, über welche Kanäle die gestohlenen Informationen die Datenbank von CardSystem Solutions verlassen konnten.
Es ist verständlich, dass dieser Vorfall noch untersucht wird und die vollständigen Informationen wohl noch recht lange auf sich warten lassen werden. Unverständnis rufen jedoch Behauptungen einiger Medienvertreter hervor, hinter dieser Sache stünden "russische Hacker". Diese Aussagen würden angeblich dadurch bekräftigt, dass auf einigen russischen Webseiten gestohlene Kreditkarten-Nummern verkauft würden. Fraglich ist jedoch, woher die Journalisten wissen, welche Nummern genau gestohlen wurden, und dass diese Nummern während des Hacks bei CardSystems Solutions entwendet wurden - und nicht vielleicht mittels einer anderen, "traditionellen" Methode.
Hinter all den diesjährigen Schlagzeilen über Datenklau steckt eine neue Generation von Cyberverbrechern.
Wie dem auch sei: Hinter all den diesjährigen Schlagzeilen über Datenklau steckt eine neue Generation von Cyberverbrechern, die auf einem höheren Niveau operieren. Wir haben es hier mit Personen zu tun, die bereit sind, Tausende von Euro für Insider-Informationen über das zu attackierende Objekt auszugeben; Personen, die über tief greifendes technisches Know-How verfügen und um Methoden wissen, wie man mehrstufige IT-Schutzsysteme umgehen kann. Sie haben nichts mehr gemein mit denen, die Trojaner-Programme für zehn Euro pro Stück verkaufen oder dabei helfen, gestohlene Daten über allgemeinzugängliche Foren und Webseiten an den Mann zu bringen.
In letzter Zeit hört man immer häufiger von dieser Art von Hackern, was vor allem daran liegt, dass die ersten solcher Attacken von Erfolg gekrönt waren. Offensichtlich ist, dass die Sicherheits-Infrastruktur großer Finanzinstitute ein beliebtes Angriffsziel darstellt: Eine große Anzahl von Computern, heterogene Netzwerke, unterschiedlichste Zugangsrechte sowie eine Vielzahl von Mitarbeitern - all das sind Faktoren, die den Verbrechern ihr Tun erleichtern. In großen Netzwerken sind selbst bekannte Dokumente oft kaum auffindbar - ganz zu schweigen von Trojanern, die ihre Anwesenheit im System noch dazu kunstvoll maskieren.
Ein Problem bei derartigen Trojanerprogrammen ist ihre Einmaligkeit: Sie werden eigens für dezidierte Hacks geschaffen und sind damit Unikate. Es ist praktisch unmöglich, heuristische Methoden zur Erkennung solcher Trojaner zu entwickeln, wodurch sie schwerlich in die Antivirus-Datenbanken gelangen - im Unterschied zu Würmern, von denen es weltweit Millionen Kopien gibt. (rw)