Cybercrime

Gerade war ich dabei diese Seite zu schreiben, ruft ein Kunde an: Er würde jetzt seit zwei Stunden mit Microsoft telefonieren. Die hätten angerufen, weil sie festgestellt hätten, dass auf seinem Rechner Schadsoftware gefunden worden wäre. Und – er solle seinen Rechner keinesfalls ausschalten ;-((

Ich habe ihm geraten, den PC herunterzufahren bzw den Stecker zu ziehen. Bei den Banken anzurufen und in der Mailbox das Passwort zu ändern (falls der Zugriff darauf noch klappt).

Ich habe jetzt den Rechner hier und kann ein noch recht junges Backup einspielen. Dann mach‘ ich mich an eine forensische Untersuchung des PC’s.

Ökosystem in der Natur und im Cyberspace

Ein gesundes Ökosystem zeichnet sich durch Vielfalt/Diversität aus. Es ist widerstandsfähig gegen allerlei Bedrohungen durch Schädlinge und Veränderungen der Umwelt.

In der Sächsischen Schweiz haben wir die Folgen der Fichten-Monokultur gesehen: Hektarweise toter Wald – vom Borkenkäfer gefressen.

Borkenkäfer-Schaden

Monokulturen im Cyberspace können ähnliche Folgen haben. Ein Schädlingsbefall legt ein ganzes Ökosystem lahm.

Beispiel 1: 2015 Cyberangriff auf Stromnetze

Im Dezember 2015 drangen Angreifer in die Computernetzwerke von ukrainischen Stromversorgern ein. Sie nutzten dazu manipulierte Microsoft-Office Dokumente, die mit Schadsoftware präpariert waren. Diese Dokumente wurden per Phishing-E-Mails an Mitarbeiter der Firmen verschickt. Dadurch wurde die Schadsoftware im Verwaltungsnetz aktiv. In monatelanger Arbeit wurmten sich die Angreifer in das Produktionsnetz vor und schalteten im Dezember koordiniert die Netze ab. Über 200.000 Kunden waren über Stunden ohne Strom.

Beispiel 2: 2017 Cyberangriff in der Ukraine

Den Cyberverbrechern gelang es, das Softwareupdate der staatlich vorgeschriebenen Buchhaltungs-Software zu manipulieren. Alle Firmen und Institutionen, die in der Ukraine Buchhaltungspflichtig sind und das Update eingespielt haben waren von dem Angriff betroffen: Die Festplatten der Computer wurden gelöscht. Neben ukrainischen Firmen waren auch international aktive Firmen betroffen. Die Windows-Computer von Maersk (eine dänische Reederei, Schaden: 300 Millionen US-Dollar), Beiersdorf (deutsche Pharma-Firma), Merck Sharp & Dohme (Pharma-Firma USA) und vielen anderen waren betroffen.

Beispiel 3: 2020 Attacken mit Solarwinds Produkt ‚Orion‘

Der vorläufig umfangreichste (aufgedeckte) Hack erfasst Akteure rund um die Welt. Angegriffen und kompromittiert wurden Rechnernetzwerke von Behörden und Firmen weltweit. Betroffen waren (sind?) Ministerien der US-Regierung, die Firma Microsoft, das Unternehmen FireEye, VMware und viele andere, darunter auch Siemens, Nestle und die Sparkasse Hagen. (Betroffene Firmen, Liste bei Wikipedia) Auch deutsche Behörden könnten betroffen sein, denn auch sie nutzten die Software ‚Orion‘ von Solarwinds, die als Einfallstor des Angriffs gilt.

Der Ablauf des Angriffs – (was man davon weiß)
Ich beschreibe den Angriff anhand der Veröffentlichungen auf
‚heise.de – Security‘
  • 09.12.2020
    Heise berichtet, dass die Firma FireEye gehackt wurde. FireEye: „Experten und Lösungsanbieter in der Cybersicherheit“ so heißt es auf der Webseite. Die Angreifer haben vermutlich Software der Firma gestohlen
  • 14.12.2020
    Heise berichtet, dass die Software ‚Orion‘ von Solarwinds gehackt wurde. Orion ist eine Plattform auf der Firmen ihre Netzwerke managen können. Tausende Firmen weltweit nutzen diese Software.
  • 21.12.2020
    Heise berichtet, dass über die Plattform ‚Orion‘ 18.000 Nutzer mit einer ‚Sunburst‘ und einer ‚Supernova‘ getauften Backdoors infiziert worden sind.
  • 20.01.2021
    Heise berichtet, dass weitere Schadsoftware auf der ‚Orion‘-Plattform gefunden wurden. Man taufte sie ‚Teardrop‘, ‚Sunspot‘ und ‚Raindrop‘.

Ziel der Angreifer war wohl sich nachhaltig Zugang zu den Systemen der Opfer zu verschaffen. Bereits seit 2017 wird über Schachstellen in Orion diskutiert und bereits 09.2019 gab es erste Hinweise auf ein Eindringen bei Orion. Also: Seit vielen Monaten können unbefugte in den Netzwerken ihrer Opfer nach Herzenslust stöbern, Daten kopieren, Daten verändern und weitere Schadsoftware installieren.

Wie bei dem 2017er Angriff in der Ukraine gelang es den Angreifern ein Update der Orion-Software zu kompromitieren. Alle Kunden, die das Update installiert haben wurden kompromittiert.
Den Angreifern gelang es sogar bei Microsoft den Windows-Quellcode einzusehen.

Lesenswert: „Ein Hackerangriff, der um die Welt geht“ bei Spektrum.de

Jetzt will ich mal spekulieren

Was, wenn die Angreifer den Windows-Quellcode nicht nur einsehen könnten, sondern auch verändern – oder wenn sie sich Zugang verschafften zu den Windows-Update Systemen. Nicht auszudenken was passieren könnte: ein weltweiter Ausfall aller Windows-Computer.

Microsoft Windows wird schon lange wegen mangelhafter Sicherheit kritisiert. Dennoch setzen fast alle Akteure auf dieses Betriebssystem und auf die aus gleichem Hause stammende Office-Suite.

Was fehlt noch? Wie geht es weiter?

Noch sind nicht alle Gedanken notiert, nicht alle Informationen ausgewertet. Kurzfristig fehlt noch:

  • Liste der häufigsten Angriffe auf Computer
  • IT-Ökosystem


Quellen und Links
Betrüger erbeuten 20.000 Euro von Rentnerin
Hackerangriff auf die ukrainische Stromversorgung 2015
Hackerangriff in der Ukraine 2017
Attacken per SolarWinds, Heise 20.01.2021
Ein Hackerangriff, der um die Welt geht Spektrum der Wissenschaft 15.01.2021

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert