CF 11/2010 - McAfee: Das Jahr der gezielten Angriffe

November 2010

20.11.2010

10-11-31

Malware

Das Jahr der gezielten Angriffe

Verbreitung von Stuxnet

Mit dieser Einschätzung leitet den dritten Quartalsbericht für 2010 ein (1). Malware rauf, Spam runter, wie etwas verkürzt meldet (2). Als wichtigste Bedrohung dieses Quartals verweist der Bericht jedoch auf Stuxnet (3).

Seine geballte Berichterstattung über das aktuelle Ausmaß der Internetkriminalität zeigt ihre Bedeutung. Das wird besonders deutlich, wenn über die Preise von Exploit-Baukästen und Dumps wie in Wirtschafts- und Börsennachrichten aus der Underground Economy berichtet wird. Sie wirken allmählich abstumpfend.

Monatlich werden rund 6 Millionen neue Rechner infiziert und zu Zombies für Botnetze. Die führenden sind Rustock und Cutwail. Cutwail hat die meisten Zombies, war für mehr Spam-Kampagnen verantwortlich als alle anderen Botnets vor ihm (4) und führte DDoS-Angriffe gegen mindestens 300 Webseiten, darunter US-Regierungsbehörden wie die CIA
und das FBI sowie Twitter und PayPal. (5)

Inzwischen sind 14 Millionen Malware-Varianten bekannt, täglich kommen rund 60.000 hinzu (6). An der Spitze stehen Kennwort stehlende Trojaner (Password-Stealing Trojans - PWS). Diese Malware-Kategorie bringt Internetkriminellen satte Gewinne, da sie damit eine Vielzahl vertraulicher Informationen erfassen können. Zu diesen Informationen gehören Benutzernamen, Bankdaten und Spielkonten, die anschließend auf dem Schwarzmarkt verkauft werden (7).

Internetkriminalität

Stuxnet

Stuxnet doch kein Meisterstück?

Wir beobachteten eine deutlich sichtbare Entwicklung bei der gefährlichsten Bedrohung, der wir je gegenüber gestanden haben: dem Zeus-Robot-Netzwerk. Mobilgeräte werden für Malware-Autoren immer interessanter, und der Zeus-Bot hat sich jetzt ebenfalls auf Mobilgeräte ausgebreitet. (3)

Wir registrierten eine Zunahme bei böswilligen Webseiten und eine Fortsetzung des Missbrauchs von Suchmaschinenergebnissen. Dank SQL-Injektionsangriffen wurde China die zweifelhafte Ehre zuteil, Angriffsquelle Nr. 1 zu sein. ... Zudem beobachteten wir zahlreiche Entwicklungen in den Bereichen Internetkriminalität und Hacktivismus, speziell bei Identitätsdiebstahl und Toolkits für Internetkriminelle. (3)

Der Trojaner Zeus verfügt vor allem über PWS- und Botnetz-Funktionen. McAfee beobachtet interessante Änderungen an der sauber programmierten und gut gepflegten Schad-Software (8). So werden bei Spam-Kampagnen zunehmend Grafiken verwendet, um den Spam-Schutz zu unterlaufen. Besonders gefährlich ist aber, dass sich die Malware zunehmend auch auf Mobilfunkgeräten verbreitet und dort Authentifizierungsdaten für das mTAN-Verfahren abfängt (9). Betroffen sind erst noch BlackBerry- und Symbian-Telefone.

Internetkriminalität

Stuxnet

Der primitive Massenmailing-Wurm W32/VBMania@MM verbreitete einen Link zu einer böswilligen SCR-Datei, die als PDF getarnt war. Ein großer Teil des Wurm-Codes war mit einer Malware identisch, die im vergangenen Monat veröffentlicht wurde. Beide Würmer stammen von einem libyschen Hacker, der unter dem Namen Iraq Resistance auftritt und die Hackergruppe „Brigades of Tariq ibn Ziyad“ aufgebaut hat. Laut der Google-Übersetzung eines Postings aus dem Jahr 2008, das die Gründung der Gruppe ankündigt, besteht ihr Ziel im „Angriff auf die US-Agenturen, die der US-Armee unterstehen“. (16)

Ein koordinierter und massiver DDoS-Angriff legte die Webseiten der MPAA (Motion Picture Association of America, Organisation der amerikanischen Filmproduzenten und -verleiher) und des indischen Unternehmens AiPlex Software lahm. Hinter diesem Protest steckten Anti-Anti-Piraterie-Aktivisten, die Vergeltung für die Stilllegung von Pirate Bay übten. (Wie AiPlex dem Sydney Morning Herald mitteilte, führte auch das Unternehmen im Auftrag der Filmindustrie Internetangriffe auf Webseiten mit urheberrechtlich geschützten Filmen durch.) Im Rahmen der offensiven Operation Payback wandte sich die Internet-Gruppe „Anonymous“ an Sympathisanten mit der Bitte, die Angriffe mit dem DDoS-Tool „Low Orbit Ion Cannon“ durchzuführen. (16)

Die Zahl der böswilligen Webseiten ist auf knapp 15 Millionen angestiegen (14.475.580), darunter besonders stark die Phishing-Webseiten (10). Die Studie geht besonders auf soziale Netzwerke und Suchmaschinen ein. Bei populären Suchbegriffen stellt McAfee fest, dass von Suchmaschinen unter den ersten 100 Treffern bis zu 60 % böswillige Webseiten angezeigt werden (11).

Die beliebtesten Schwachstellen (Exploits) werden unter Windows und Adobe missbraucht (12) und immer gezielter eingesetzt.

Das Carding-Geschäft blüht weiter (13). Mittelklassige Dumps (Kartennummer und PIN) kosten zwischen 80 und 200 US-$, wobei die kanadischen und australischen am teuersten sind (14).

Im August 2010 erschien die jüngste Auflage des Exploit-Baukastens "Phoenix v2.3r". 5 seiner 15 Exploits stammen aus dem laufenden Jahr. Er kostet etwa 2.200 US-$. Teurer ist nur noch Zeus: Kit für 3.000 bis 4.000. Außerdem erforderlich: Add-Ons und Plug-Ins für 500 bis 10.000 (15).

Zwei herausragende Hacktivismus-Aktionen richteten sich gegen US-Einrichtungen und gegen Organisationen, die aktiv gegen Film-Piraterie agieren (siehe links).

Schließlich berichtet die Studie auch über Erfolge bei der Strafverfolgung. Verhaftet wurden (17):

"Iserdo" - Programmierer des Mariposa-Botnets

BadB (Wladislaw Anatoljewitsch Horohorin) - Mitbegründer der Carder-Webseiten CarterPlanet, BadB.biz und Dump.name

Liviu Mihail Concioiu - Phishing gegen eBay-Kunden

Im Juli 2010 wurde Stuxnet im Iran als erste Malware entdeckt, die sich auf die Steuerung von Industrieanlagen von der Firma Siemens konzentriert. Dazu sucht sie gezielt nach einem bestimmten Prozesssteuerungssystem (Process Control System - PCS) und setzt zahlreiche exklusive Exploits ein, deren Schwarzmarktpreis bei mehreren Einhunderttausend Dollar liegen dürfte (18).

Stuxnet sollte sich Anfang 2010 abschalten, ist außer Kontrolle geraten und hat sich weltweit und besonders in Indien verbreitet. Das ist allein deshalb erstaunlich, weil sich die Malware fast ausschließlich per USB-Sticks verbreitet; das spricht dafür, dass sie sehr gezielt und nicht als Massen-Malware eingesetzt werden sollte.

McAfee warnt deshalb:

Zahlreiche wichtige Systeme sind selbst dann schutzlos Angriffen ausgeliefert, wenn sie sich in separaten Netzwerken befinden und nicht mit dem Internet verbunden sind.

Angriffe gegen industrielle Steuersysteme sind Realität.

Sicherheitsforscher warnten davor, dass hochkarätige gezielte Angriffe Zero-Day-Schwachstellen ausnutzen werden, die auf dem Schwarzmarkt erhältlich sind. Jetzt haben wir stichhaltige Beweise dafür.

Inzwischen sind weitere Einzelheiten bekannt: Die Malware verfügt nicht nur über exklusive Angriffswerkzeuge, sondern offenbar auch über zwei "digitale Sprengköpfe", die sich gegen unterschiedliche Steuerungen richten und wahrscheinlich von verschiedenen Entwicklergruppen stammen (19).

Mit Stuxnet hat der Cyberwar endgültig begonnen.

Stuxnet doch kein Meisterstück?

Updates

22.01.2011: Unter dieser Überschrift referiert mehrere Experten, die Zweifel an der Genialität von Stuxnet anmelden (20). Tom Parker ... halte die Fernsteuer-Funktion des Wurm für schlecht implementiert, weil etwa der Datenverkehr unverschlüsselt ablaufe. Zudem habe sich der Wurm über das Internet verbreitet, was dazu geführt habe, dass der Wurm unkontrolliert auch andere Systeme als das eigentliche Ziel befiel. Nate Lawson hält dagegen die Tarnkappentechnik des für zu schwach.

Ich behaupte nicht, dass die Werkzeuge im Cyberwar klinisch sauber sein müssen und politisch korrekt keine Kollateralschäden anrichten können. Krieg in jeder Form ist schmutzig, so sehr sich die Beteiligten auch um eine Schadensbegrenzung bemühen mögen.

Die Einwürfe, dem Stuxnet-Datenverkehr fehle eine Verschlüsselung und seine Tarnung sei zu schwach, gehen aus mehreren Gründen fehl.

Der Wurm sollte sich eigentlich Anfang 2010 abschalten und wurde erst Monate später überhaupt entdeckt.

Weitere etliche Monate hat es gedauert, bis er geknackt wurde und seine Funktionen ermittelt waren.

Es ist nur konsequent, keine Verschlüsselung zu verwenden, weil jedenfalls eine starke Verschlüsselung sehr schnell zur Überlastung der Kontroll-Server führen kann (21). Dann kann man gleich auf sie verzichten.

Man sollte den Wurm nicht kleinreden, auch nicht mit solchen Dummheiten: Lawson hoffe, dass die Entwickler digitaler Waffen mehr auf der Pfanne hätten, als die Tricks, die bulgarische Teenager schon in den 90er Jahren zur Tarnung ihrer Viren eingesetzt hätten. Zu fragen ist nicht nach dem Positiven, worauf Kästner bereits hinreichend geantwortet hat (22), sondern nach den Konzepten und Gegenmaßnahmen, die diese Experten jedenfalls schuldig geblieben sind.

15.02.2011: Die Stuxnet-Angriffe begannen laut einem eigenen Protokoll im Juni 2009 mit gezielten Angriffen gegen die Laptops von Mitarbeitern von fünf Firmen, die im Zusammenhang mit der iranischen Urananreicherungsanlage in Natanz stehen. Symantec vermutet jedenfalls, dass Experten der USA und Israels Stuxnet innerhalb von zwei Jahren gemeinschaftlich entwickelt haben (23).

16.02.2011: Wegen der Urheberschaft handelt es sich um Vermutungen. Jedenfalls muss Stuxnet aus einem völlig anderen Umfeld stammen als übliche Malware (24). Bei wird auch über die Symantec-Studie (25) berichtet: Neben einer bereits früher dokumentierten Sabotagefunktion enthält Stuxnet noch eine zweite, komplexere, die jedoch deaktiviert ist. Ihre Aufgabe ist nicht endgültig geklärt, der Code scheint unvollständig zu sein. Er zielt auf Anlagensteuerungen des Typs Siemens S7-417. Der Sabotage-Code zeigt jedenfalls, das die Programmierer genaue Kenntnisse über die Struktur der Anlage haben, auf die der Angriff gerichtet ist.