Folgend auf den ersten und zweiten Quartalsrückblick 2019 beleuchten wir auch für die aktuell zurückliegenden Monate einen Auszug relevanter Ereignisse und Statistiken. Nicht nur die Zahl der Meldungen zeigt, dass wir einen relativ ruhigen Sommer hatten. Doch mittlerweile sind die Cybergangster aus dem Urlaub zurück.
Malware-Bedrohungslage
Die Top10 der von ESET geblockten Angriffsversuche in Deutschland, Österreich und der Schweiz wäre nichts ohne unseren „alten Bekannten“. Der Exploit CVE-2017-11882, der uns bereits in einem anderen Artikel untergekommen ist, belegt auch nach über einem halben Jahr konstante Mittelfeldplätze in der Bedrohungslage. Nicht oder selten gepatchte Microsoft Office Installationen machen ihm die Arbeit unnötig leicht. Insgesamt hat sich in der Statistik nicht allzu viel getan. Ebenfalls immer noch in den „Charts“ weit vorn ist die Adware Subprop.
Interne Untersuchungen konnten zeigen, dass die Macher hinter Emotet nicht nur sehr professionell vorgehen, sondern auch einen guten Urlaub zu schätzen wissen. Überwachte Darknet-Foren und Admin-Panels, sowie der stark zurückgegangene Malware-Output konnten dies belegen. Allerdings ist jeder schöne Urlaub irgendwann einmal vorbei und nun treibt die Spam-Malware umso erbarmungsloser ihr Unwesen. ESET erkennt Emotet bereits auf den Verbreitungswegen, weswegen wir keine „direkte“ Emotet Erkennung, aber dafür zum Beispiel „DOC/Abnormal“ in den Top10 finden. Manipulierte Office-Dateien sind ein Hauptverbreitungsweg der Schädlinge. Wie man sich gut vor Emotet schützen kann, haben wir hier zusammengefasst.
FSB mit interessantem Datenverlust
Der FSB, seines Zeichens Nachfolgeorganisation des berühmt-berüchtigten KGB, ist wohl einer am besten ausgestatteten und kompetentesten Inlands-Geheimdienste der Welt. Wie aber auch die Kollegen am anderen Ende des Pazifiks durch Edward Snowden erfahren konnten, nützen die sichersten, eigenen Systeme und Netzwerke nicht viel, wenn es möglich ist, externe Dienstleister erfolgreich anzugreifen oder für einen Angriff zu missbrauchen. Im aktuellen Fall, der vom russischen Ableger der BBC berichtet wurde, ist es unbekannten Angreifern gelungen, 7,5 Terabyte an Daten vom FSB-Dienstleister SyTech zu stehlen. Während manche davon sprechen, dass keine „größeren Staatsgeheimnisse“ gestohlen wurden, haben es die anderen, veröffentlichten Informationen in sich. Sie zeigen ein recht umfassendes Bild der Aktivitäten des Geheimdienstes. So gibt es ein spezielles Programm zu Deanonymisierung von Aktivisten durch den Betrieb eigener Tor-Exit-Nodes, Programme zum massenhaften Datensammeln in und durch Soziale Netzwerke, sowie Erkenntnisse über die zum Einsatz kommenden Tools, sollte das Russische Netz vom restlichen Internet getrennt werden sollen. Letzteres ist als „Verteidigungsmaßnahme“ vor noch nicht allzu langer Zeit von der Russischen Regierung beschlossen worden.
Die wichtigste Frage, die sich hier stellt ist, warum alle diese Informationen nicht verschlüsselt gespeichert wurden? Wieder einmal hätte hier eine gute Encryption-Strategie den Diebstahl sinnlos werden lassen.
LibreOffice stopft kritische Lücke
Immer wieder liest man von erfolgreichen Malware-Attacken durch Makros in Microsoft Office Dokumenten. Zum Glück gibt es kostenlose Open Source Alternativen wie OpenOffice oder LibreOffice. Dass dies nicht automatisch bedeutet, dass diese hundertprozentig sicher sind, haben wir im Juli durch eine Warnung des BSI Angreifer konnten durch manipulierte Dokumente mittels LibreOffice beliebigen Code auf den Opfer-Rechnern ausführen. Das beliebte Argument: „mit Linux/macOS wäre das nicht passiert“, gilt hier übrigens nicht – die Warnung bezieht sich explizit auf alle Bertriebssysteme auf denen LibreOffice angeboten wird. Zum Glück stehen jedoch Updates mit Version 6.2.5 zur Verfügung – diese müssen nur durch die Nutzer eingespielt werden!
Apple Watch als Wanze
Apple schafft es erneut auch in diesem Rückblick vertreten zu sein. Diesmal stand die Privatsphäre der Nutzer auf dem Spiel, die die Walkie-Talkie-Funktion zum Versand von Sprachnachrichten mittels Apple Watch benutzt haben. Verschiedene, jedoch nicht näher erläuterte, Umstände erlaubten Angreifern, so das gekoppelte iPhone abzuhören, auch bei Nutzern, die ihr Einverständnis zur Kontaktaufnahme noch nicht gegeben hatten. Apple sah sich daraufhin gezwungen, das Walkie-Talkie-Feature, das bereits seit Release 5 von 2018 an Bord war, gänzlich serverseitig abzuschalten. Glücklicherweise betont der Hersteller, dass ihm keine Fälle bekannt seien, in denen diese Schwachstelle ausgenutzt worden wären.
Erfahren hat der Techgigant aus Cupertino durch sein eigenes Bug-Bounty-Programm, dass es den Findern von möglichen Schwachstellen erlaubt, diese verantwortungsbewusst zu melden und dafür in der Regel auch einen nicht gerade kleinen „Finderlohn“ zu kassieren.
Google zahlt für Sicherheit
Der oben genannte Finderlohn für Schwachstellen ist nicht allein auf Apple anwendbar. Google etwa beschäftigt mit „Project Zero“ nicht nur ein eigenes Team zum Finden von Schwachstellen, sondern lobt ebenfalls ein hohes „Kopfgeld“ für extern gefundene Verwundbarkeiten der eigenen Angebote aus. Neben Android ist das wohl verbreitetste Tool von Google der Chrome Browser. Das „Tor zur Internetwelt“ steht immer wieder im Visier von Angreifern. Das liegt an der hohen Verbreitung einerseits, dem hoch komplexen Aufgabengebiet andererseits und natürlich auch der Pflicht, möglichst kompatibel und offen für Erweiterungen zu sein. Zudem bildet er die Grundlage für ein ganzes Betriebssystem – ChromeOS. Dementsprechend wichtig ist es, hier für Sicherheit zu sorgen.
Googles Bug-Bounty-Programm hat im zurückliegenden Quartal ebenfalls ein Update erhalten.
Schafft man es nachzuweisen, dass man im Gast-Modus auf einem ChromeOS Gerät „System Persistance“ erlangt, sich also dauerhaft einnisten kann, winken dem ehrlichen Finder bis zu 150000 US-Dollar. Nachgewiesene Ausbrüche aus der Sandbox des Browsers können immer noch bis zu 30000 Dollar einbringen. Durchaus lukrativ also.
Generell betreiben große Hersteller von Betriebssystemen oder anderer, kritischer Software einen entsprechend großen Aufwand zum Finden und Beheben von Lücken. Dass sich die Hersteller auch Hilfe von außen holen, und diese immer besser vergüten, ist nur zu begrüßen.
Fazit
Der dritte Anschnitt des Jahres verlief insgesamt etwas ruhiger, was aber noch kein Grund zur Freude ist. Es zeigt einzig und allein, dass Cybercrime ein Geschäftszweig ist – inklusive geregelter Arbeitszeiten und Urlaube. Außerdem gehört dazu, wirtschaftlich arbeiten zu müssen. Wenn also die potentiellen Opfer selbst im Urlaub sind, lohnt es sich für die Gangster nicht, Ressourcen und Aufwand in Angriffe zu stecken, die bei keinem ankommen. Man kann gespannt sein, wie sich das vierte Quartal entwickelt – inklusive aller Betrügereien rund um Halloween, Black Friday und natürlich dem Weihnachtsshopping. Das wird dann aber der nächste Rückblick beleuchten.
