Nähere Einblicke zum Slingshot-Cyberangriff

Sicherheitsforscher haben die Entdeckung der APT (Advanced Persistent Threat) Slingshot gemeldet. Als Angriffsvektor bei dieser anspruchsvollen Cyberspionagekampagne dienten kompromittierte Router des Herstellers Mikrotik. 

Vectra hat sich diese aktuelle Cyberbedrohung näher angesehen, um aufzuzeigen, wie sich Unternehmen vor solchen Angriffen besser schützen können. Zudem haben die Sicherheitsexperten ergründet, wie diese Router gehackt wurden und welche Lektionen daraus abgeleitet werden können.

Anzeige

Dazu erklärt Gérard Bauer, VP EMEA bei Vectra: “Angesichts der Komplexität, der gut getarnten Vorgehensweise und der funktionsreichen Konstruktion von Slingshot dürften die Akteure über umfassende technische Fähigkeiten verfügen. Die Angriffsziele, darunter Einzelpersonen und Regierungsbehörden, deuten auf einen nationalstaatlich initiierten Angriff hin.”

Welche Lektionen können aus diesem Angriff abgeleitet werden?

  • Produktentwickler müssen ihr digitales Supply Chain-Risiko besser verwalten. Hier gilt es, Fragen zu stellen, einschließlich, wie und wo Softwarebibliotheken und -module, die in ihren Produkten zum Einsatz kommen, kompromittiert werden könnten und wie dies erkannt werden kann. Welche Qualitätssicherung gibt es bei der Auswahl und Verwendung von Drittanbieter-Code und welche Herkunft hat der Code? Gibt es reguläre Maßnahmen wie eine digitale Signatur und Zertifikate zur Validierung des Codes und wurde nichts manipuliert?
  • Patchen, Patchen, Patchen. Es ist eine altbekannte Weisheit, aber sicherzustellen, dass immer die neuesten Code-Versionen verwendet werden, reduziert das Risiko bekannter Sicherheitslücken.
  • Verbindungen und Benutzer im Heimnetz weisen in der Regel eine geringe Verteidigung auf, weshalb sie von Kriminellen oft ins Visier genommen werden. Angreifer können einen kompromittierten PC benutzen, um in eine Unternehmensumgebung zu gelangen. Mobilität und BYOD bringen Risiken mit sich, die eine rasche Erkennung und Reaktion auf die subtilen Indikatoren für Kompromittierungen innerhalb des Unternehmensnetzwerks erfordern. Die meisten Unternehmen verfügen über eine Perimeterabwehr (meist Firewalls) und eine Antiviren-Endpunktlösung auf ihren PCs. Viele Unternehmen bleiben jedoch blind für schädliche Aktivitäten, die in ihrem internen Netzwerk stattfinden, wenn Angreifer die Daten orchestrieren, umkonfigurieren und verschieben, sich Privilegien aneignen sowie Daten stehlen oder manipulieren. Die Tatsache, dass Slingshot eine sechs Jahre alte Kampagne ist, zeigt, dass die Lücke in der Bedrohungserkennung besonders bei fortschrittlichen Angriffen nach wie vor besteht.
  • IoT- und Infrastrukturgeräte sind oft leichter zu kompromittieren und zum Koordinieren von Angriffen zu verwenden. Sub-OS-Root-Kits umgehen vollständig die Sicherheitskontrollen auf Betriebssystemebene, und viele IoT-Geräte haben schlechte Sicherheitsarchitekturen. Abgesehen davon, dass Betriebssystem und Firmware auf dem neuesten Stand gehalten werden, ist es wichtig, bösartiges Verhalten von IoT- und Infrastrukturgeräten zu erkennen. Die Sicherheitsforscher von Vectra demonstrierten beispielsweise, wie man eine IP-Kamera in eine Netzwerk-Backdoor verwandelt, ohne deren Betrieb zu beeinträchtigen.

Wie können sich Unternehmen gegen diese Art von Angriffen verteidigen?

Kein Verteidigungsansatz ist vollkommen. Aus diesem Grund müssen Unternehmen ihre Erkennungs- und Reaktionsfähigkeiten ausbauen, um sicherzustellen, dass sie über eine anpassungsfähige Sicherheitsarchitektur verfügen, die Bedrohungen schnell erkennt und darauf reagiert. Eine gesunde Paranoia ist notwendig, was bedeutet, zu einer „Wir sind bereits kompromittiert“-Mentalität überzugehen.

Während herkömmliche Signaturansätze beim Aufspüren zuvor nicht gesehener und unbekannter Bedrohungen nutzlos sind, gibt es mehrere Möglichkeiten, um unsichtbare APTs zu entdecken, die im Unternehmen aktiv sind. Dazu ist ein verhaltensbasierter Ansatz erforderlich, um die sehr schwachen Kompromittierungssignale zu erkennen, die auf die Aktivität von Angreifern nach dem Eindringen innerhalb des Netzwerks hinweisen. Die Herausforderung besteht darin, dass die Aufgabe arbeitsintensiv, langsam und wenig effektiv ist, wenn sie manuell durchgeführt wird. Unternehmen, die diese „Erkennungslücke“ angehen, tendieren daher zunehmend zu automatisierten Tools zur Bedrohungssuche, die autonom operieren können.

Mithilfe von KI können Unternehmen verborgenes Verhalten von Angreifern erkennen, korrelieren und Beweise liefern sowie den Kontext des Angriffs abrufen. All dies lässt sich in den Reaktionsprozess für Sicherheitsvorfälle integrieren, um die Einleitung von Gegenmaßnahmen teilweise oder vollständig zu automatisieren. In dieser Hinsicht kann KI den Sicherheitsanalytikern Zeit einsparen, um schnelle, fundierte Entscheidungen zu treffen und gleichzeitig eine agile Reaktion auf aktive Bedrohungen zu ermöglichen. Auf diese Weise lässt sich die Verweildauer von Angreifern – und letztlich das Geschäftsrisiko – effektiv reduzieren.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wie können sich Privatnutzer vor diesem Angriff schützen?

Private Nutzer, die zu Hause eine Internetverbindung herstellen, müssen ihre Geräte-Firmware und ihr Betriebssystem stets auf dem neuesten Stand halten. Dasselbe gilt für ihre Computer, zusätzlich zum Einsatz eines zuverlässigen Antiviren-Tools.

vectra.ai
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.