Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Ungeladene Gäste

Незваные гости

Andere Ausgaben dieser Rubrik (19)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Böse Überraschung

Gelesen: 378 Kommentare: 6 Rating: 8

Dienstag, 2. Februar 2021

Wenn von Malware-Infektionen die Rede ist, denkt man vor allem an E-Mails, Wechselmedien und infizierte Websites. Diese Eindringungswege werden von Cyberkriminellen am häufigsten genutzt. Aber diese Methoden haben einen wesentlichen Nachteil für Hacker: Es kann nie garantiert werden, dass der Nutzer, der über entsprechende Berechtigungen verfügt, den der E-Mail angehängten Trojaner auch tatsächlich ausführt. Der Nutzer könnte besonders vorsichtig sein. Die infizierte E-Mail könnte vom Antispam abgefiltert werden. Außerdem kann es strikte Einschränkungen für den Start von Anwendungen auf dem PC geben.

In diesem Fall könnte man versuchen, den Rechner zu hacken, indem man das Passwort ermittelt oder eine Schwachstelle ausnutzt. Aber das Passwort kann sicher und die Schwachstellen können durch Patches beseitigt worden sein.

Es gibt auch andere Eindringungswege. Cyberkriminelle können z.B. nicht auf den Rechner eines bestimmten Nutzers, sondern in das lokale Netzwerk des Entwicklers einer auf dem Rechner eingesetzten Anwendung eindringen. Eine Eindringung reicht, um die Computer aller Kunden dieses Softwareentwicklers, auf denen entsprechende Updates installiert werden, zu infizieren. Eine reiche Auswahl an potenziellen Opfern!

Die Not Petya-Epidemie (Trojan.Encoder.12544) wurde zum ersten großen Angriff auf einen Softwareentwickler. Die Cyberkriminellen hackten das ukrainische Unternehmen Intellect Service, das das System des elektronischen Dokumentenverkehrs M.E.Doc entwickelte. Damals gaben wir Empfehlungen, wie solche Angriffe verhindert werden können. Es ist schon einige Jahre her, aber Angriffe auf Softwareentwickler werden immer wieder unternommen.

Was den Angriff auf M.E.Doc mit dem Trojaner Trojan.Encoder.12544 angeht, behaupteten die Entwickler von M.E.Doc in einem Interview für Reuters, dass ihre Anwendung keine bösartige Funktionalität enthält.

Kommentare sind hier überflüssig...

Cyberkriminelle hackten den amerikanischen Softwarehersteller SolarWinds und integrierten Malware in das Update seiner Software Orion. Der Hackerangriff wurde nach dem Leck der Software erkannt, die das IT-Unternehmen FireEye verwendet. Die Untersuchung des Vorfalls zeigte, dass die Malware mit dem Update von SolarWinds in das Netzwerk von FireEye eingedrungen war. Gleichzeitig wurde die Nachricht über den Diebstahl vertraulicher Daten des Finanzministeriums der Vereinigten Staaten und der Nationalen Verwaltung für Telekommunikation und Information (USA) veröffentlicht. Beide waren Kunden von SolarWinds.

Einige Anwendungen von SolarWinds werden in Minsk (Weißrussland) entwickelt. In der Niederlassung sind etwa 100 Programmierer tätig. Sie können an Orion gearbeitet haben.

SolarWinds bestätigte die Infektion von Orion – Software zur zentralen Verwaltung und Überwachung von IT-Ressourcen (Server, Workstations, Mobil- und IoT-Geräte etc.) in großen Netzwerken. Die Malware wurde von März bis Juni 2020 an mehr als 300.000 Kunden des Unternehmens (darunter Ciscо und Apple) geliefert.

Bemerkenswert ist, dass die Malware (sie wurde SUNBURST benannt) nicht sofort aktiv wurde. Erst 12 bis 14 Tage nach der Installation begann sie, ihre bösartigen Aktivitäten auszuführen. Diese Methode wird oft in Schadprogrammen für Android verwendet. Cyberkriminelle hoffen darauf, dass der Nutzer vergisst, was er installiert hat. Eine weitere interessante Tatsache: Der Trojaner enthält eine Blacklist mit Software. Falls die Malware einen Prozess aus dieser Liste auf dem Gerät erkennt, führt sie keine bösartigen Aktivitäten aus. Wenn der Trojaner einen Dienst aus der Blacklist erkennt, versucht er, dessen Startmodus auf „Disabled“ zu setzen und das System dadurch zu blockieren.

FireEye berichtete, dass die Netzwerke vieler Kunden von SolarWinds weltweit kompromittiert wurden: in Nordamerika, Europa, Asien etc. Auch russische Unternehmen wurden betroffen. Es besteht die Ansicht, dass es die russischen Unternehmen waren, auf die die Hacker es abgezielt hatten. Alle anderen Betroffenen sollen zufällige Opfer geworden sein. Interessant ist, dass laut dem Bericht, den SolarWinds bei der United States Securities and Exchange Commission (SEC) einreichte, etwa 18.000 (von 33.000) Kunden des Unternehmens, die Orion nutzten, das bösartige Update heruntergeladen hatten. Wovon zeugt das? Die restlichen 15.000 Kunden aktualisierten Orion (und höchstwahrscheinlich andere genutzte Anwendungen) seit mindestens einem halben Jahr nicht und sollen wohl viele Sicherheitslücken haben.

Nach der Erkennung der Infektion wurde der United States National Security Council (NSC) einberufen, um mögliche Auswirkungen des Diebstahls von Daten des Finanzministeriums und der Nationalen Verwaltung für Telekommunikation und Information (USA) zu erörtern. Es werden wohl neue Empfehlungen erarbeitet.

Beim Angriff auf eine Lieferkette handelt es sich nicht um ein neues Hackverfahren. Schon 2011 berichtete Doctor Web über einen ähnlichen Vorfall. Eine der Apotheken im Süden Russlands wurde betroffen. Damals konnten unsere Spezialisten das Botnetz Dande unter Kontrolle stellen und sein Verhalten im Laufe von einem halben Jahr überwachen. Gleich nach der Nachricht über den Angriff auf SolarWinds wurde über eine neue Cyberattacke berichtet. Diesmal wurde die Software des Softwareentwicklers Amital gehackt. Es wurden Dutzende von Unternehmen aus Israel betroffen, die im Bereich der Lieferung und des Imports von Waren tätig sind.

Ob Daten von den staatlichen Einrichtungen der USA gestohlen wurden, ist nicht bekannt. FireEye wurden Tools für Penetrationstests gestohlen und veröffentlicht. Solche Tools können auch für den Hack von Unternehmensnetzwerken genutzt werden. FireEye behauptet, dass die Tools weder verbreitet noch von Cyberkriminellen genutzt wurden. Mal sehen.

M.E.Doc empfiehlt Nutzern nach wie vor, den Virenscan für die Produkte des Unternehmens zu deaktivieren. Diese Empfehlung wurde auch auf der Seite des technischen Supports von SolarWinds veröffentlicht, aber später gelöscht.

Die Sicherheit bei SolarWinds lässt zu wünschen übrig. Sogar nach der Veröffentlichung der Nachricht über den Hackerangriff blieben einige infizierte Updates zum Herunterladen auf dem Server von SolarWinds verfügbar.

#Hackerangriff #Malware #Sicherheitsupdates

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

  1. Starten Sie Anwendungen, wenn möglich, nicht mit Administratorrechten.
  2. Starten Sie Serversoftware auf virtuellen Workstations oder Containern.

Nutzen Sie den Präventivschutz von Dr.Web, um verdächtiges Softwareverhalten zu erkennen. Diese Komponente überwacht alle Aufrufe von Systemressourcen durch Anwendungen. Und die Komponente „Anwendungssteuerung“ zeigt an, welche Anwendungen auf dem Rechner gestartet werden.

Außerdem möchten wir Sie daran erinnern, dass Doctor Web Dienstleistungen zur Softwareanalyse beliebiger Komplexität anbietet.

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer