Die Renaissance nationalstaatlicher Cyberkriminalität

In den letzten Jahren führte finanziell motivierte Cyberkriminalität die eCrime-Rangliste an. Im letzten Jahr lässt sich aber ein neuer Trend beobachten: Gezielte staatlich unterstützte Angriffe, die darauf abzielen, politische Feinde zu stören und/oder Geld zur Unterstützung verschiedener Regime zu generieren.

Das Verständnis dieser Ereignisse gibt Aufschluss darüber, wie sich die Taktiken der Angreifer verändern und liefert entscheidende Erkenntnisse darüber, was Sicherheitsteams über eine zunehmend gefährliche Bedrohungslandschaft wissen müssen. Der aktuelle Global Threat Report von CrowdStrike gibt einen Einblick in das internationale Netz der Cyberbedrohungen.

Anzeige

Russland-nahe Akteure setzen ihre Cyberkriegsführung fort

Vom russischen Staat geförderte Angriffe in der Cyberwelt sind seit langem weit verbreitet. Verschiedene Russland-nahe Gegner haben immer wieder Cyberkriegsführung als Taktik eingesetzt, um Instabilität zu verursachen und Informationen von politischen Gegnern zu stehlen. So führte beispielsweise die russische Gruppe VOODOO BEAR im Jahr 2015 einen Angriff auf die ukrainischen Stromnetze durch, der dazu führte, dass mehr als 200.000 Bürger ohne Strom und Heizung dastanden.

In der Vergangenheit nutzten russische Akteure verstärkt Spear-Phishing-E-Mails mit bösartigen Dokumenten oder Links, die auf bösartige Webseiten weiterleiteten. Neueste Erkenntnisse zeigen jedoch, dass sie zunehmend auf Taktiken zum Abfangen von Benutzerinformationen umstellen, wie beispielsweise großangelegte Scanning-Techniken und Phishing-Webseiten, die genau auf das Opfer zugeschnitten sind. Unverändert bleibt als Hauptziel dieser Angreifer das Sammeln von Anmeldeinformationen, um an Informationen und primären Zugang zu den Zielorganisationen oder -personen zu gelangen. Eine weitere Technik, die von russischen Cyberkriminellen in letzter Zeit genutzt wurde, ist das Stehlen von Authentifizierungs-Cookies, um damit in den Zielnetzwerken implementierte Beschränkungen der Multifaktor-Authentifizierung (MFA) zu überlisten. Bei dieser Technik wird ein bestehender lokaler Netzwerkzugang genutzt, um auf Benutzerkonten zuzugreifen, die im Besitz von Privilegien für Cloud-Dienste von Unternehmen sind.

Gefahr aus China 

Chinesische Akteure haben schon seit langer Zeit Exploits entwickelt und eingesetzt, um ihre gezielten Einbruchsversuche zu vereinfachen. Im Jahr 2021 veränderte sich ihre bevorzugte Angriffsmethode jedoch grundlegend. Über Jahre hinweg nutzten chinesische Akteure Standard-Exploits, die eine Benutzerinteraktion erfordern, beispielsweise das Öffnen bösartiger Dokumente. Doch 2021 konzentrierten sie sich stark auf Schwachstellen in mit dem Internet verbundenen Geräten oder Diensten. Besonders intensiv haben sich chinesische Cyberkriminelle im Jahr 2021 auf eine Reihe von Schwachstellen in Microsoft Exchange konzentriert und diese genutzt, um weltweit in Unternehmen einzudringen. Darüber hinaus nutzen sie zur Beschaffung von Infrastruktur und für den Erstzugang weiterhin Internet-Routing-Produkte wie VPNs und Router und sogar Softwareprodukte, die auf mit dem Internet verbundenen Servern gehostet werden. Es ist klar, dass der Talentpool innerhalb der chinesischen Hacker-Community weiterhin floriert.

NL Icon 2
Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.

Iran verstärkt seine Cybertaktiken 

Ransomware ist eine der größten Sicherheitsbedrohungen für moderne Unternehmen. 

Seit Ende 2020 setzen mehrere vom iranischen Staat unterstützte Angreifer auf Ransomware und „Lock-and-Leak“-Operationen, die Organisationen in den USA, Israel und der Region des Nahen Ostens und Nordafrikas (MENA) zum Ziel hatten. Lock-and-Leak-Operationen zeichnen sich dadurch aus, dass Kriminelle Ransomware einsetzen, um Zielnetzwerke zu verschlüsseln und anschließend die Daten der Opfer weiterzugeben. Die Daten werden über spezielle Leak-Sites, soziale Medien und Chat-Plattformen verbreitet, was es diesen Akteuren ermöglicht, die Datenlecks zu verstärken und mehrere Operationen gegen Zielländer durchzuführen.

Der Einsatz von öffentlichkeitswirksamen Lock-and-Leak-Operationen sowie die eher unauffälligen, aber weit verbreiteten Ransomware-Aktivitäten verschaffen dem Iran eine effektive Möglichkeit, seine Rivalen in der Region und um den Globus zu stören. Angesichts des Erfolgs dieser Operationen wird der Iran wahrscheinlich auch in diesem Jahr weiterhin Ransomware einsetzen.

Nordkorea und Kryptowährungen

Nordkorea bleibt nach wie vor eine der aktivsten Bedrohungen im cyberkriminellen Ökosystem. Jüngste Untersuchungen haben ergeben, dass sich die Demokratische Volksrepublik Korea (DVRK) auf Kryptowährungen konzentriert, um ihre Einnahmen während der durch die COVID-Pandemie und andere Sanktionen verursachten wirtschaftlichen Unterbrechungen aufrechtzuerhalten. Eine dieser kryptobezogenen Techniken ist Cryptojacking. Dabei handelt es sich um die unbefugte Nutzung der Computerressourcen einer Person oder Organisation zum Schürfen von Kryptowährungen. Bei Cryptojacking-Programmen kann es sich um Malware handeln, die über Phishing, infizierte Websites oder andere Methoden auf dem Computer des Opfers installiert werden.

Cryptojacking ist aus Angreifersicht besonders effektiv, da Crypto-Mining eine beträchtliche Menge an Rechenleistung und Strom erfordert. So können die Täter heimlich Crypto-Mining auf fremden Servern betreiben, ohne über die entstehende Stromrechnung nachdenken zu müssen. 

Neue Mitspieler 

Die Intelligence-Teams klassifizierten im vergangenen Jahr zwei neue, staatlich unterstützte Angreifer aus der Türkei und Kolumbien. Das Auftreten dieser neuen Angreifer zeigt, dass die Angriffsfähigkeiten von Regierungen, die bisher nicht mit Cyberoperationen in Verbindung gebracht werden, zunehmen.

So entdeckten Experten für Cybersicherheit beispielweise im April 2021, dass türkische Angreifer es auf die Daten von Opfern abgesehen hatten, die in der Cloud von Amazon Web Services (AWS) gespeichert waren. Den Tätern gelang es, die AWS-Umgebung über gestohlene Anmeldeinformationen zu kompromittieren. 

Es ist offensichtlich, dass sowohl alte als auch neue Angreifer ständig nach neuen Wegen suchen, um Sicherheitsmaßnahmen zu umgehen und erfolgreiche Angriffe durchzuführen. Aus diesem Grund ist es für Unternehmen von entscheidender Bedeutung, über neueste Bedrohungsinformationen (Threat Intelligence) zu verfügen und die effizientesten Cybersicherheitslösungen einzusetzen, die in der Lage sind, das Unternehmen wirksam vor aktuellen oder zukünftigen Angriffen zu schützen. 

Jörg Schauff

CrowdStrike -

Strategic Threat Intelligence Advisor

Anzeige

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.