Sicherheitswoche 37: Bugzilla-Einbruch, Carbanak und sicher versteckte C&C-Server

Das Beste der Security-News: der Bugzilla-Datendiebstahl, die Rückkehr von Carbanak und C&C-Server, die per Satellit versteckt werden.

Die wichtigsten Sicherheitsnachrichten der vergangenen Woche in unserer News-Reihe:

— Der Datendiebstahl bei Bugzilla zeigt erneut, wie wichtig es ist, dass Passwörter stark UND einzigartig sind.
— Die Hacker-Kampagne Carbanak, die für den Diebstahl von Millionen von Dollar verantwortlich war, taucht in Europa und den USA erneut auf.
— Untersuchungen von Kaspersky Lab decken eine neue Mehtode auf, wie Command&Control-Server bei Cyberspionage-Attacken nicht nur versteckt, sondern sogar unauffindbar versteckt werden.

Wie immer, hier noch die Regeln der Sicherheits-News: Das Threatpost-Team wählt jede Woche drei wichtige Neuigkeiten aus, die ich hier ganz rücksichtslos kommentiere.

In der letzten Woche fragte ich die Leser, wie oft sie ihre Router aktualisieren. Die Mehrheit der 210 Teilnehmer (31 Prozent) aktualisiert die Firmware ihrer Router alle paar Jahre einmal oder sogar noch seltener, und 28 Prozent haben ihren Router noch nie aktualisiert.

Einbruch in die Bugzilla-Datenbank

Der Artikel. Die FAQ zum Angriff.

Im letzten Beitrag habe ich das Thema verantwortungsbewußter Veröffentlichung von Fehlern angesprochen und Fälle vorgestellt, bei denen es wünschenswert beziehungsweise nicht wünschenswert ist, wenn Informationen über entdeckte Fehler direkt veröffentlicht werden. Der Einbruch in die Fehlerdatenbank von Mozilla ist ein weiteres Beispiel dafür, wenn eine Sicherheitslücke besser noch nicht öffentlich gemacht worden wäre.

Es ist bekannt, dass das Problem noch nicht gelöst worden ist. Im August veröffentlichte Mozilla einen Patch für Firefox, der den Fehler im eingebauten PDF Viewer beseitigte. Der Fehler wurde von einem Anwender entdeckt, der dadurch zum Opfer eines Exploits wurde und die Sicherheitslücke meldete. Der Eintrittspunkt für den Angreifer war dabei ein speziell erstelltes Banner, das dem Täter erlaubt, die persönlichen Daten des Anwenders zu stehlen.

Ich habe den Eindruck, dass die Entwickler schon von dem Fehler wussten und bereits am Patch arbeiteten. Bugzilla enthielt bereits Informationen zu dem Fehler, wobei diese aber im privaten Teil des Systems gespeichert waren. Dann wurden Verdächtigungen laut, dass auf diese Daten unerlaubterweise zugegriffen worden war, die sich in der vergangenen Woche als wahr herausstellten. Es gab keinen „Einbruch“ an sich: Die Angreifer identifizierten einen Nutzer mit höheren Rechten, fanden dessen Paswort in einer anderen kompromittierten Datenbank und zufälligerweise passte das Passwort auch auf die Bugzilla-Datenbank.

Dadurch konnten die Angreifer auf die geheime Fehlerdatenbank zugreifen – und das schon seit Anfang September 2013. Wie das detaillierte FAQ zu dem Fall beschreibt, hatten die Angreifer während dieser Zeit Zugriff auf Informationen zu 185 Fehlern, von denen 53 kritische Fehler waren. 43 Sicherheitslücken waren bereits geschlossen, als die Täter auf die Datenbank zugriffen. Von den verbleibenden Fehlern wurden wahrscheinlich Informationen zu zwei Sicherheitslücken gestohlen, bevor diese etwa eine Woche später geschlossen wurden; theoretisch hätten fünf Lücken für eine Woche bis zu einem Monat lang ausgenutzt werden können, bevor es einen Patch dafür gab. Die verbleibenden drei Sicherheitslücken hätten 131, 157 beziehungsweise 335 Tage lang missbraucht werden können, bevor es die entsprechenden Patches gab. Wobei die Mozilla-Entwickler „keinen Hinweis darauf haben, dass diese Sicherheitslücken auch wirklich ausgenutzt wurden“. Von über 50 Fehlern wurde nur einer in-the-wild verwendet.

Die Moral ist hier ganz klar, und ich würde am liebsten auf eine improvisierte Bühne steigen und ausrufen: „Freunde! Brüder und Schwestern! Ladies and Gentlemen! Verwendet bitte einzigartige Passwörter für jeden einzelnen Dienst, den Ihr nutzt!“ Wobei das natürlich nicht so einfach ist, wie es sich anhört – dazu kann man gut einen Passwort-Manager brauchen. Und selbst dann muss man die Passwörter aller genutzten Dienste und Webseiten ändern und stärken. Unsere Daten zeigen, dass leider nur sieben Prozent der Anwender einen Passwort-Manager verwenden.

Neue Carbanak-Versionen greifen Europa und USA an

Der Artikel. Die Kaspersky-Forschungsarbeit vom Februar. Eine aktuelle Forschungsarbeit von CSIS.

Lassen Sie mich zu Beginn unsere Mitteilung zum „großen Diebstahl“ vom Februar zitieren:

„Die Angreifer konnten Geld auf ihre eigenen Bankkonten transferieren und den Kontoauszug so manipulieren, dass der Angriff nicht einmal von robusten Sicherheitssystemen entdeckt werden konnte. Dieser Angriff hätte nie funktioniert, wenn die Täter nicht die Kontrolle über die internen Systeme der Banken gehabt hätten. Deshalb nutzten die Cyberkriminellen nach dem Einbruch eine Reihe von Technologien um wichtige Informationen über die Infrastrukturen und Arbeitsweisen der Banken zu sammeln, sogar per Video.“

Zusammen mit den Strafverfolgungsbehörden stellten wir fest, dass der Schaden, der den Banken durch den Carbanak-Angriff zugefügt wurde, in die Milliarden ging, und dass über 100 große Finanzinstitute davon betroffen waren. Aber das war im Februar… Doch nun haben dänische Forscher von CSIS Ende August eine neue Modifikation von Carbanak entdeckt. Der Unterschied zu älteren Versionen ist nicht recht groß: Unter anderem nutzt die neue Version eine statische IP-Adresse für die Kommunikation mit dem C&C-Server anstelle eines Domain-Namens. Die für den Datendiebstahl verwendeten Plugins sind dagegen die gleichen.

Laut CSIS greift die neue Carbanak-Version große Unternehmen in Europa und den USA an.

Turla APT: So verstecken die Täter den C&C-Server mithilfe von Satelliten

Der Artikel. Ein weiterer Artikel. Die Forschungsarbeit.

Die Advanced Persistent Threat (APT – fortgeschrittene, andauernde Bedrohung) Turla wird schon seit einiger Zeit von verschiedenen Sicherheitsforschern untersucht, auch von Kaspersky Lab. Im letzten Jahr veröffentlichten wir eine detaillierte Forschungsarbeit zu den Methoden, die die Täter nutzen, um in die Computer der Opfer einzudringen, Daten zu stehlen und diese zu den Command&Control-Servern zu schicken. Jede Stufe dieser komplexen Kampagne nutzte eine Reihe spezieller Tools, inklusive Spear Phishing mit infizierten Dokumenten, die Zero-Day-Lücken ausnutzen, infizierter Webseiten, verschiedener Daten-Mining-Module, kritischer Daten und einem äußerst fortschrittlichen Netzwerk mit C&C-Servern. Dadurch fielen der Kampagne bis zum vergangenen August bereits mehrere Hundert Firmen in 45 Ländern zum Opfer, vor allem in Europa und dem Nahen Osten.

In der vergangenen Woche veröffentlichte nun der Kaspersky-Experte Stefan Tanase Daten zur letzten Stufe des Angriffs, bei der die gestohlenen Daten an einen C&C-Server gesendet werden. Um das Daten-Mining zu ermöglichen, nutzt Turla – wie viele andere APT-Gruppen auch – verschiedene Methoden, unter anderem Abuse-Resistant-Hosting. Doch sobald die fraglichen Daten auf einem bestimmten C&C-Server landen, steigt die Wahrscheinlichkeit, von den Strafverfolgungsbehörden erwischt oder zumindest vom Service-Provider blockiert zu werden, egal wie viele Proxys die Täter nutzen.

Und da kommt das Satelliten-Internet ins Spiel. Der Vorteil dabei ist, dass die Server in Reichweite des Satelliten überall aufgebaut und überall hin verschoben werden können. Allerdings hat das immer noch einen Haken: Um einen bidirektionalen Satellitenkanal mit entsprechender Leistung aufzubauen, müssen Tonnen von Geld gezahlt werden. Zudem würde einen der dafür nötige Papierkram ebenfalls wieder verraten, wenn einmal eine Spur entdeckt wurde. Doch die von Tanase entdeckte Methode geht noch anders vor:

Es gibt das so genannte „Satelliten Fishing“, bei dem eine leicht modifizierte Software auf dem Satelliten-Terminal Datenpakete nicht ablehnt, die nicht für einen bestimmten Nutzer reserviert sind, sondern diese sammelt. Dadurch kann der „Fischer“ die Daten, Dateien und Webseiten von jemand anderem stehlen. Das funktioniert unter einer Bedingung: Wenn der Kanal nicht verschlüsselt ist. Der Turla-Angriff nutzt diese Methode mit einer kleinen Veränderung: Wenn der Datenverkehr durchsucht wird, identifiziert der Angreifer die IP-Adresse des Opfers und bringt die kompromittierten Computer dazu, ihre Daten an diese IP-Adresse zu schicken, die einem legitimen, gutartigen und unwissenden Besitzer eines Satelliten-Terminals gehört.

Während des Angriffs nutzen die Hacker spezielle Kommunikations-Ports, die auf normalen Systemen standardmäßig geschlossen sind und damit Datenpakete eigentlich ablehnen. Allerdings können die Täter, die den Datenverkehr durchsuchen, diese Daten abgreifen, ohne ihren Aufenthaltsort preiszugeben.

Übrigens haben alte Funktelefone die Sprache ebenfalls nicht verschlüsselt, da die Emfpangsgeräte, die auf diesen Frequenzen funktionierten, recht teuer waren. Doch schon nach einiger Zeit tauchten alle Arten von Breitband-Empfängern auf, die günstiger waren. Das ist natürlich ein schlechter Vergleich, da das Datensammeln auf „Turla-Art“ damit recht teuer gewesen wäre. Doch unter dem Strich ist klar, dass Satelliten-Internetsysteme fehleranfällig sind, und das von Angreifern ausgenutzt werden kann. Es gibt keine Pläne, diese Sicherheitslücke zu schließen, und man kann noch nicht sagen, wie sich das Ganze weiterentwickeln wird.

Dadurch stimmt der ungefähre Standort der C&C-Server von Turla mit der Reichweite des Satellitenbetreibers überein:

Und da verliert sich die Spur.

Was sonst noch passiert ist:

Eine weitere Android-Ransomware wurde entdeckt. Sie kommuniziert per XMPP mit ihren C&C-Servern. Chats und Instant Messenger wurden bereits für die Kommunikation verschiedener PC-Schadprogramme verwendet, und diese Meldung zeigt, dass auch mobile Schadprogramme diesen Weg einschlagen. Allerdings viel füher als PC-Schädlinge.

Eine weitere Reihe von Patches für kritische Sicherheitslücken in Google Chrome wurden veröffentlicht (wir empfehlen, dass Sie Ihren Browser aktualisieren).

Die drahtlosen Festplatten von Seagate enthalten eine Reihe ernster Fehler: unverschlüsselten Zugriff per Telnet und ein fest einprogrammiertes Passwort für den Root-Zugriff. Das ist wirklich recht kritisch, und wir haben das schon letzte Woche beim Thema Router angesprochen. Die Moral: Alles, das per WLAN arbeitet, sollte äußerst gut geschützt werden. Und heutzutage kann alles mögliche WLAN-Daten senden, sogar Kameras.

Oldies:

Manowar-273

Ein harmloser Resident-Virus, der normalerweise .COM- und .EXE-Dateien befällt, wenn diese ausgeführt werden (die Datei COMMAND.COM wird über den Lehigh-Algorithmus infiziert). Der Virus enthält den Text: „Dark Lord, I summon thee! MANOWAR“.

Iron-Maiden

Ein sehr gefährlicher, nicht-residenter Virus, der normalerweise .COM-Dateien des aktuellen Katalogs infiziert. Im August 1990 konnte er – je nach Timing – zwei zufällige Sektoren auf Festplatten löschen. Er enthält den Text: „IRON MAIDEN“.

Zitat aus „MS-DOS-Computerviren“ von Eugene Kaspersky, 1992, Seiten 70 und 75.

Hinweis: Diese Kolumne spiegelt die persönliche Meinung des Autors wider. Diese kann, muss aber nicht mit der Position von Kaspersky Lab übereinstimmen. Das ist Glücksache.

Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
  • Für alle anderen Länder