Trends und Vorhersagen Blick in die Glaskugel der APTs

Autor / Redakteur: Vicente Diaz / Peter Schmitz

Gezielte Angriffe, wie die Triton-Malware oder Olympic Destroyer haben 2018 für viel Aufsehen gesorgt. Die Angriffe bewegten sich immer mehr weg vom Diebstahl von Daten, hin zur Zerstörung von Daten oder der Kontrolle von IT-Infrastruktur. Security-Experten von Kaspersky Lab haben sich Gedanken darüber gemacht, was auf uns im Jahr 2019 an fortschrittlichen Cyberangriffen zu kommt.

Firmen zum Thema

Olympic Destroyer war einer der berüchtigtsten Fälle zerstörerischer Malware des Jahres 2018. Viele Angreifer implementieren auch 2019 solche Funktionen in ihre Kampagnen.
Olympic Destroyer war einer der berüchtigtsten Fälle zerstörerischer Malware des Jahres 2018. Viele Angreifer implementieren auch 2019 solche Funktionen in ihre Kampagnen.
(Bild: Pixabay / CC0 )

Vicente Diaz, IT-Sicherheitsforscher bei Kaspersky Lab, hat sich mit den Trends im APT-Bereich (Advanced Persistent Threat) beschäftigt und erläutert, was im Jahr 2019 in Sachen fortschrittlicher und andauernder Cybergefahren für Unternehmen und Organisationen alles anstehen könnte.

Prognose 1: Keine großen APTs mehr

Wie bitte? Wie kann es sein, dass – obwohl wir scheinbar täglich von neuen Bedrohungen erfahren – die erste Vorhersage das genaue Gegenteil aussagt?

Der Grund: Die Entdeckung hochkomplexer, von Regierungen finanzierte Angriffe erfordern oft eine jahrelange Vorbereitung. Die logische Konsequenz für Angreifer ist es, neue und immer komplexere Techniken zu entwickeln, die noch schwieriger zu entdecken und ihren Urhebern noch schwerer zuzuordnen sind.

Die einzige Anforderung ist ein Verständnis der von der Branche genutzten Attribuierungsmethoden und für die Erkennung von Gemeinsamkeiten der Attacken und der dafür verwendeten Artefakte, was scheinbar kein großes Geheimnis mehr zu sein scheint. Mit genügend Ressourcen kann eine einfache Lösung für einen Angreifer darin bestehen, verschiedene Aktivitäten gleichzeitig am Laufen zu haben, die nur schwer demselben Ursprung oder derselben Bedrohung zuzuordnen sind. Gut ausgestattete Angreifer können neue innovative Methoden implementieren, während sie die alten weiter aufrechterhalten. Natürlich steigt die Chance, dass alte Bedrohungen entdeckt werden. Die neuen zu finden, ist jedoch eine weitaus größere Herausforderung.

Anstatt immer raffiniertere Kampagnen zu entwickeln, ist es für manche Akteure mit den richtigen Mitteln zudem wohl effizienter, direkt die Infrastrukturen und Unternehmen anzugreifen, in denen ihre eigentlichen Opfer zu finden sind. Hierzu zählen beispielsweise Internetanbieter (Internet Service Provider).

Manche Vorgänge werden einfach an verschiedene Gruppen und Unternehmen „outgesourct“, die unterschiedliche Tools und Techniken einsetzen. Hierdurch gestaltet sich die Attribuierung äußerst schwierig. Das könnte gerade bei Angriffen, die von Regierungen finanziert werden, Auswirkungen auf die Entwicklung von APT-Kampagnen haben. Denn Technologien und Tools stammen in diesem Szenario meist aus dem privaten Sektor und stehen für alle Interessenten zum Kauf bereit, ohne dass der Angreifer die technischen Details oder Konsequenzen kennen muss. All das zeigt, dass wir wahrscheinlich kaum noch große und komplexe Angriffe entdecken, sondern dass Angreifer auf neue Methoden setzen werden.

Die APT-Vorhersagen für 2019 im Video.

Prognose 2: Netzwerkhardware und das Internet der Dinge im Fokus

Fast jeder Angreifer hat schon einmal Methoden und Tools eingesetzt, die darauf abzielen, Netzwerkhardware anzugreifen. Ein Beispiel hierfür ist die Kampagne VPNFilter, bei der Angreifer Malware zum Aufbau vielseitiger Botnets einsetzten.

Doch die Idee geht bei gut ausgestatteten Cyberkriminellen noch weiter: Warum sich auf das Zielunternehmen konzentrieren, wenn man auch direkt die zugrundeliegende Infrastruktur angreifen kann? Soweit wir wissen, waren entsprechende Versuche bisher noch nicht erfolgreich, doch die bisherigen Beispiele wie Regin zeigen, wie verlockend ein solches Maß an Kontrolle für Angreifer ist.

Schwachstellen in Netzwerkhardware ermöglichen Cyberkriminellen unterschiedliche Angriffsvektoren. Sie können mit umfangreichen Infektionen Botnets aufbauen, die sie später für unterschiedliche Ziele einsetzen, oder sie zielen mit unauffälligeren Angriffen auf ausgewählte Ziele ab. In dieser zweiten Gruppe müssen wir auch „malwarelose“ Angriffe berücksichtigen, bei denen schon das bloße Öffnen eines VPN-Tunnels zum Spiegeln oder Umleiten des Datenverkehrs Angreifern die erforderlichen Informationen bieten kann.

Alle diese Netzwerkelemente können zudem Teil des riesigen Internet of Things (IoT) sein, in dem Botnets scheinbar unaufhaltsam wachsen. Diese Botnets können in den falschen Händen unglaublich leistungsfähig sein, wenn es beispielsweise darum geht, kritische Infrastrukturen zu stören.

Prognose 3: Öffentliche Vergeltungsmaßnahmen

Eine der größten Fragen in Sachen Diplomatie und Geopolitik dreht sich um aktive Cyberangriffe. Die Antwort ist nicht einfach und hängt neben anderen Aspekten davon ab, wie schwer und offensichtlich der Angriff ist. Nach Angriffen wie dem auf das Democratic National Committee (DNC) – die nationale Organisation der Demokratischen Partei der Vereinigten Staaten – hat sich die Lage jedoch verschärft.

Aufgrund der hohen medialen Aufmerksamkeit spektakulärer Cyberangriffe, wie zum Beispiel des Hacks von Sony Entertainment Network oder auch der DNC-Attacke, wurde eine ganze Reihe Verdächtiger benannt. Die Folge: Gerichtsverfahren und die öffentliche Zurschaustellung der vermeintlichen Urheber des Angriffs. Diese lässt sich wiederum nutzen, um im Rahmen einer Diskussion um schwerwiegendere diplomatische Folgen Meinungen zu beeinflussen.

Die Angst vor Manipulation und Intransparenz spielt den Angreifern in die Karten. Sie können diese Angst, Unsicherheit und Zweifel subtil ausnutzen – wie es bei einigen Angriffen, beispielsweise der Shadowbrokers, bereits der Fall war.

Was werden wir in Zukunft also erleben? Diese neue Art der Propaganda wurde wahrscheinlich in den vergangenen Angriffen nur ausgetestet. Wir glauben, dass dies erst der Anfang ist, uns hier künftig noch einiges erwartet und dass diese Methode auf verschiedenste Weise eingesetzt werden wird: beispielsweise in False-Flag-Angriffen, also Attacken unter „falscher Flagge“, wie Olympic Destroyer, für die der mögliche Ablauf und das eigentliche Ziel bis heute ungeklärt sind.

David Emm, ebenfalls IT-Sicherheitsforscher bei Kaspersky Lab, erklärt im folgenden Video, was im Jahr 2018 im APT-Bereich herausstach.

Prognose 4: Viele neue Player

Einfach ausgedrückt, lässt sich die Welt der APTs in zwei Gruppen aufteilen, klassische, gut ausgestattete und weit fortgeschrittene Akteure und eine Gruppe motivierter Newcomer, die sich ebenfalls ein Stück vom Kuchen sichern wollen.

Die Einstiegshürde war noch nie niedriger: interessierten Kriminellen stehen Hunderte effektive Tools, neu entwickelte geleakte Exploits und alle erdenklichen Frameworks zur Verfügung. Ein weiterer Vorteil für Kriminelle ist, dass diese Tools die Zuordnung von Bedrohungen nahezu unmöglich machen und sich bei Bedarf leicht anpassen lassen. Diese Ausgangssituation weist darauf hin, dass wir vermutlich viele neue Gruppen sehen werden, die im APT-Spiel mitmischen wollen.

Prognose 5: Negative Ringe

Nach Meltdown, Specter, AMDFlaws und all den zugehörigen Schwachstellen stellten wir uns folgende Frage: Wo findet sich die gefährlichste Malware? Und obwohl wir bisher kaum Bedrohungen entdeckt haben, die Schwachstellen unterhalb Ring 0 ausnutzen, ist schon die bloße Vorstellung erschreckend. Denn solche Angriffe wären für nahezu alle aktuellen Sicherheitsmechanismen unsichtbar.

Im Fall von SMM gab es seit 2015 mindestens einen öffentlich verfügbaren Point of Compromise (PoC). SMM ist eine CPU-Funktion, die sogar ohne Ring-0-Prozesse vollständigen Remotezugriff auf einen Computer bieten kann, einschließlich Zugriff auf den Arbeitsspeicher. Hier stellt sich natürlich die Frage, ob entsprechende Malware bisher nur nicht gefunden wurde, weil sie so schwer zu entdecken ist. Denn diese Funktion bietet einfach zu viele Möglichkeiten, als dass Cyberkriminelle sie ignorieren.

Deshalb sind wir uns sicher, dass verschiedene Gruppen schon seit Jahren versuchen, entsprechende Mechanismen auszunutzen – vielleicht sogar erfolgreich. Ähnliches erleben wir bei Virtualisierungs-/Hypervisor- beziehungsweise bei UEFI-Malware. Bei beiden haben wir PoCs gefunden und HackingTeam hat sogar das UEFI- Persistenzmodul veröffentlicht, das seit mindestens 2014 verfügbar war. Doch auch hier sind in der Praxis bisher keine Fälle aufgetreten.

Werden wir also jemals eines dieser seltenen Exemplare finden? Oder wurde diese Schwachstelle einfach noch nicht ausgenutzt? Letzteres scheint eher unwahrscheinlich.

Prognose 6: Mehr Spear-Phishing-Attacken gegen Mitarbeiter

Die wahrscheinlich am wenigsten überraschende Vorhersage dreht sich um Spear-Phishing. Wir glauben, dass der bisher erfolgreichste Angriffsvektor in naher Zukunft sogar noch an Bedeutung gewinnen wird. Der Schlüssel zum Erfolg dieser Methode ist die Fähigkeit, das Opfer neugierig zu machen. Und dank aktuell riesiger Datenlecks bei verschiedenen Social-Media-Plattformen können Angreifer diese Methode weiter ausbauen.

Die Daten aus Angriffen auf Social-Media-Giganten wie Facebook, Instagram, LinkedIn und Twitter stehen heute für jeden auf dem Schwarzmarkt zur Verfügung. In manchen Fällen ist es weiterhin unklar, welche Daten genau die Angreifer gestohlen haben. Sie können jedoch private Nachrichten und sogar Anmeldedaten umfassen. Für Social-Engineering-Angreifer sind diese Daten eine wahre Goldgrube. So nutzen manche Cyberkriminelle die gestohlenen Anmeldedaten aus, um unter dem Namen ihres Opfers einen engen Kontakt auf einer Social-Media-Plattform anzuschreiben. Hierbei erwähnen sie Privates aus vergangenen Nachrichten, um die Erfolgschancen eines Phishing-Angriffs deutlich zu erhöhen. Dieser Ansatz lässt sich auch mit klassischen Scouting-Technologien kombinieren, bei denen Angreifer ihr Ziel mehrfach überprüfen, um sicherzustellen, dass es sich um das richtige Opfer handelt, und so die Verteilung (und Erkennung) von Malware minimieren.

Bei Dateianhängen stellen die meisten Angreifer vor Auslösen schädlicher Aktivitäten sicher, dass eine menschliche Interaktion vorliegt, um automatische Erkennungssysteme zu umgehen. Tatsächlich gibt es verschiedene Initiativen, die maschinelles Lernen einsetzen, um die Effektivität von Phishing zu optimieren.

Prognose 7: Verheerende Destroyer

Olympic Destroyer war einer der berüchtigtsten Fälle potenziell verheerender Malware des Jahres 2018. Doch viele Angreifer implementieren regelmäßig entsprechende Funktionen in ihre Kampagnen. Solche Angriffe, die große Schäden anrichten, bieten Angreifern viele Vorteile, insbesondere um Ablenkungen zu schaffen und nach dem Angriff Protokolle oder Beweise verschwinden zu lassen.

Manche dieser Angriffe haben geostrategische Ziele, die aktuelle Konflikte betreffen, wie wir es in der Ukraine erlebt haben, oder verfolgen politische Interessen wie bei den Attacken auf verschiedene Ölfirmen in Saudi-Arabien. In manchen anderen Fällen sind sie auch das Ergebnis von Hacktivismus oder die Aktivitäten einer vom eigentlichen Angreifer beauftragten Gruppe, da dieser selbst unentdeckt bleiben möchte.

Die Gemeinsamkeit all dieser Attacken ist, dass sie für Angreifer einfach zu gut sind, um nicht eingesetzt zu werden. Regierungen können sie als Gegenschlag einsetzen, der irgendwo zwischen diplomatischer Reaktion und Kriegsakt liegt. Und manche experimentieren tatsächlich in diese Richtung. Die meisten Angriffe werden vorab genauestens geplant. Dies umfasst die anfängliche Auskundschaftung des Opfers und das eigentliche Eindringen in ein System.

Industrielle Kontrollsysteme und kritische Infrastrukturen sind für solche Angriffe besonders anfällig. Auch wenn von der IT-Sicherheitsbranche und Regierungen in den vergangenen Jahren viel Arbeit in die Verbesserung der IT-Sicherheit in diesem Umfeld getan wurde, so sind wir noch weit von einem Idealzustand entfernt. Deshalb glauben wir, dass wir – obwohl solche Attacken nie wirklich weit verbreitet sind – im nächsten Jahr einige Attacken mit zerstörerischem Potential erleben werden, insbesondere bei Gegenschlägen auf geopolitische Entscheidungen.

Prognose 8: Supply-Chain-Angriffe

Supply-Chain-Angriffe sind einer der gefährlichsten Angriffsvektoren der vergangenen Jahre. Es gibt leider keine einfache Antwort auf diese Angriffsart. Obwohl sie sich perfekt für Angriffe auf ganze Branchen (ähnlich wie bei Watering-Hole-Angriffen) oder sogar ganze Länder (wie bei NotPetya) eignet, ist sie für gezieltere Angriffe nicht optimal, da das Erkennungsrisiko höher ist.

Darüber hinaus haben wir willkürlichere Angriffe erlebt, wie zum Beispiel die Injektion schädlicher Codes in öffentliche Software-Repositories für allgemeine Bibliotheken. Letztere Methode kann in sorgfältig zeitlich gesteuerten Angriffen eingesetzt werden, wenn diese Bibliotheken in einem bestimmten Projekt verwendet werden – mit anschließender Entfernung des schädlichen Codes aus dem Repository.

Lässt sich diese Art von Angriff also auf gezieltere Weise einsetzen? Bei Software scheint dies schwieriger, da überall Spuren hinterlassen werden und die Malware wahrscheinlich an verschiedene Kunden verteilt werden würde. Realistischer ist der Einsatz in Fällen, in denen der Anbieter exklusiv für einen bestimmten Kunden arbeitet.

Wie sieht es mit Hardware-Implantaten aus? Stellen sie eine realistische Möglichkeit dar? Dieses Thema wurde in letzter Zeit kontrovers diskutiert. Obwohl wir an Snowdens Leaks gesehen haben, wie sich Hardware auf dem Weg zum Kunden manipulieren lässt, scheint diese Methode nur für sehr einflussreiche Akteure möglich zu sein. Und selbst diese unterliegen hierbei diversen Einschränkungen.

In Fällen, in denen der Käufer einer bestimmten Bestellung bekannt ist, ist es für den Angreifer meist einfacher, die Hardware am Ursprung anstatt auf dem Weg zum Kunden zu manipulieren. Es ist nur schwer vorstellbar, dass alle technischen Kontrollen in der Herstellungskette umgangen werden können, um eine solche Manipulation durchzuführen. Wir wollen die Möglichkeit nicht ausschließen, aber hierzu wäre wahrscheinlich die Mitarbeit des Herstellers erforderlich.

Insgesamt stellen Supply-Chain-Angriffe einen effektiven Infektionsvektor dar, von dem wir in Zukunft vermutlich mehr hören werden. Hardware-Implantate halten wir jedoch für äußerst unwahrscheinlich. Und sollten sie doch einmal auftreten, werden wir es wohl nie erfahren.

Prognose 9: Der mobile Bereich

Die Entwicklung mobiler Gefahren wird 2019 deswegen interessant, weil wir in diesem Bereich unterschiedliche Geschwindigkeiten feststellen, die diese gefühlt langsame Infektionswelle mit sich bringt. Wir müssen nicht erwähnen, dass alle Akteure Mobile-Komponenten in ihren Kampagnen implementieren. Warum sollten sie auch nur auf PCs abzielen? Tatsächlich gibt es viele Beispiele für Android-Artefakte, aber auch einige Verbesserungen bei Angriffen auf iOS.

Obwohl erfolgreiche Infektionen bei iPhones den Einsatz mehrerer Zero-Day-Schwachstellen erfordern, sollte man stets daran denken, dass Angreifer mit ausreichend Ressourcen entsprechende Technologien einkaufen können, um sie in kritischen Angriffen einzusetzen. Manche private Unternehmen behaupten, auf jedes iPhone zugreifen zu können, das ihnen physisch vorliegt. Andere, weniger gut ausgestattete Gruppen finden kreative Möglichkeiten, die Sicherheit dieser Geräte zu umgehen, zum Beispiel mit MDM-Servern (Mobile Device Management), die Opfer nach erfolgreichem Social Engineering auf ihren Geräten ausführen und über die Angreifer schädliche Apps installieren können. Hier ist es interessant, ob Angreifer durch den iOS-Bootcode, der Anfang des Jahres geleakt wurde, Vorteile erhalten oder ob sie neue Möglichkeiten finden, ihn auszunutzen.

So oder so erwarten wir in den kommenden Monaten zwar keinen großen Ausbruch zielgerichteter Malware für Mobilgeräte, aber anhaltende Aktivitäten durch fortschrittliche Angreifer, die versuchen, Zugang zu den Geräten ihrer Opfer zu erhalten.

(ID:45680327)