Cybercrime Totenkopf 725880445 500

Sicherheitsforscher haben die Entdeckung der APT (Advanced Persistent Threat) Slingshot gemeldet. Als Angriffsvektor bei dieser anspruchsvollen Cyberspionagekampagne dienten kompromittierte Router des Herstellers Mikrotik. 

Vectra hat sich diese aktuelle Cyberbedrohung näher angesehen, um aufzuzeigen, wie sich Unternehmen vor solchen Angriffen besser schützen können. Zudem haben die Sicherheitsexperten ergründet, wie diese Router gehackt wurden und welche Lektionen daraus abgeleitet werden können.

Dazu erklärt Gérard Bauer, VP EMEA bei Vectra: "Angesichts der Komplexität, der gut getarnten Vorgehensweise und der funktionsreichen Konstruktion von Slingshot dürften die Akteure über umfassende technische Fähigkeiten verfügen. Die Angriffsziele, darunter Einzelpersonen und Regierungsbehörden, deuten auf einen nationalstaatlich initiierten Angriff hin."

Welche Lektionen können aus diesem Angriff abgeleitet werden?

  • Produktentwickler müssen ihr digitales Supply Chain-Risiko besser verwalten. Hier gilt es, Fragen zu stellen, einschließlich, wie und wo Softwarebibliotheken und -module, die in ihren Produkten zum Einsatz kommen, kompromittiert werden könnten und wie dies erkannt werden kann. Welche Qualitätssicherung gibt es bei der Auswahl und Verwendung von Drittanbieter-Code und welche Herkunft hat der Code? Gibt es reguläre Maßnahmen wie eine digitale Signatur und Zertifikate zur Validierung des Codes und wurde nichts manipuliert?
  • Patchen, Patchen, Patchen. Es ist eine altbekannte Weisheit, aber sicherzustellen, dass immer die neuesten Code-Versionen verwendet werden, reduziert das Risiko bekannter Sicherheitslücken.
  • Verbindungen und Benutzer im Heimnetz weisen in der Regel eine geringe Verteidigung auf, weshalb sie von Kriminellen oft ins Visier genommen werden. Angreifer können einen kompromittierten PC benutzen, um in eine Unternehmensumgebung zu gelangen. Mobilität und BYOD bringen Risiken mit sich, die eine rasche Erkennung und Reaktion auf die subtilen Indikatoren für Kompromittierungen innerhalb des Unternehmensnetzwerks erfordern. Die meisten Unternehmen verfügen über eine Perimeterabwehr (meist Firewalls) und eine Antiviren-Endpunktlösung auf ihren PCs. Viele Unternehmen bleiben jedoch blind für schädliche Aktivitäten, die in ihrem internen Netzwerk stattfinden, wenn Angreifer die Daten orchestrieren, umkonfigurieren und verschieben, sich Privilegien aneignen sowie Daten stehlen oder manipulieren. Die Tatsache, dass Slingshot eine sechs Jahre alte Kampagne ist, zeigt, dass die Lücke in der Bedrohungserkennung besonders bei fortschrittlichen Angriffen nach wie vor besteht.
  • IoT- und Infrastrukturgeräte sind oft leichter zu kompromittieren und zum Koordinieren von Angriffen zu verwenden. Sub-OS-Root-Kits umgehen vollständig die Sicherheitskontrollen auf Betriebssystemebene, und viele IoT-Geräte haben schlechte Sicherheitsarchitekturen. Abgesehen davon, dass Betriebssystem und Firmware auf dem neuesten Stand gehalten werden, ist es wichtig, bösartiges Verhalten von IoT- und Infrastrukturgeräten zu erkennen. Die Sicherheitsforscher von Vectra demonstrierten beispielsweise, wie man eine IP-Kamera in eine Netzwerk-Backdoor verwandelt, ohne deren Betrieb zu beeinträchtigen.

Wie können sich Unternehmen gegen diese Art von Angriffen verteidigen?

Kein Verteidigungsansatz ist vollkommen. Aus diesem Grund müssen Unternehmen ihre Erkennungs- und Reaktionsfähigkeiten ausbauen, um sicherzustellen, dass sie über eine anpassungsfähige Sicherheitsarchitektur verfügen, die Bedrohungen schnell erkennt und darauf reagiert. Eine gesunde Paranoia ist notwendig, was bedeutet, zu einer „Wir sind bereits kompromittiert“-Mentalität überzugehen.

Während herkömmliche Signaturansätze beim Aufspüren zuvor nicht gesehener und unbekannter Bedrohungen nutzlos sind, gibt es mehrere Möglichkeiten, um unsichtbare APTs zu entdecken, die im Unternehmen aktiv sind. Dazu ist ein verhaltensbasierter Ansatz erforderlich, um die sehr schwachen Kompromittierungssignale zu erkennen, die auf die Aktivität von Angreifern nach dem Eindringen innerhalb des Netzwerks hinweisen. Die Herausforderung besteht darin, dass die Aufgabe arbeitsintensiv, langsam und wenig effektiv ist, wenn sie manuell durchgeführt wird. Unternehmen, die diese „Erkennungslücke“ angehen, tendieren daher zunehmend zu automatisierten Tools zur Bedrohungssuche, die autonom operieren können.

Mithilfe von KI können Unternehmen verborgenes Verhalten von Angreifern erkennen, korrelieren und Beweise liefern sowie den Kontext des Angriffs abrufen. All dies lässt sich in den Reaktionsprozess für Sicherheitsvorfälle integrieren, um die Einleitung von Gegenmaßnahmen teilweise oder vollständig zu automatisieren. In dieser Hinsicht kann KI den Sicherheitsanalytikern Zeit einsparen, um schnelle, fundierte Entscheidungen zu treffen und gleichzeitig eine agile Reaktion auf aktive Bedrohungen zu ermöglichen. Auf diese Weise lässt sich die Verweildauer von Angreifern – und letztlich das Geschäftsrisiko – effektiv reduzieren.

Wie können sich Privatnutzer vor diesem Angriff schützen?

Private Nutzer, die zu Hause eine Internetverbindung herstellen, müssen ihre Geräte-Firmware und ihr Betriebssystem stets auf dem neuesten Stand halten. Dasselbe gilt für ihre Computer, zusätzlich zum Einsatz eines zuverlässigen Antiviren-Tools.

vectra.ai
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Baby Monitor

Schwachstelle im iBaby-Monitor M6S identifiziert

Sicherheitsforscher bei Bitdefender haben zahlreiche Schwachstellen im iBaby-Monitor M6S gefunden, einer beliebten Baby-Monitor-Kamera. Die bis heute vom Hersteller nicht gepatchten Schwachstellen ermöglichen Angreifern den Zugriff auf in die Cloud…
Hacker Cloud

Neue Angriffsart Cloud Snooper kommuniziert via Firewalls

Die Security-Experten der SophosLabs haben eine neue Cyberattacke namens Cloud Snooper aufgedeckt. Die Angriffsmethode verwendet eine bislang unbekannte Kombination aus Hackertechniken, um Schadsoftware den Weg frei zu machen und ungehemmt auf Servern mit…
Ransomware

Über 61 Millionen blockierte Ransomware-Angriffe im Jahr 2019

Trend Micro stellt seinen Security Roundup Report für 2019 vor. Der Bericht beschreibt die wichtigsten Entwicklungen in der Bedrohungslandschaft, um Unternehmen beim Schutz ihrer Infrastrukturen vor aktuellen und neu auftretenden Bedrohungen zu helfen.
Cybercrime Roboter

Milliarden Verluste durch ungeschützte Maschinenidentitäten

Venafi und AIR Worldwide geben die Ergebnisse eines Berichts über die wirtschaftlichen Auswirkungen schlecht geschützter Maschinenidentitäten bekannt. Dem Bericht zufolge könnten Verluste zwischen 51 und 72 Milliarden US-Dollar für die Weltwirtschaft durch…
Daten Gesundheitswesen

Datenschutzverletzungen im Gesundheitswesen

Bitglass, hat seinen sechsten jährlichen „Healthcare Breach Report“ veröffentlicht. Der aktuelle Bericht untersucht Datenschutzverletzungen im Jahr 2019, vergleicht sie mit denen früherer Jahre und gewährt Einblick in die wichtigsten Entwicklungen und…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!