Laut NETSCOUT besteht bezüglich Cybersecurity „immer Prüfungszeit“

[datensicherheit.de, 04.06.2020] Bildungseinrichtungen als Nutzer fortschrittlicher Technologien geraten nach Erkenntnissen von NETSCOUT „zunehmend ins Visier von Cyber-Kriminellen“. Sie haben im Idealfall im Laufe der Jahre zunehmend in Technologie investiert, um sowohl die Effizienz und Produktivität zu steigern als auch neue Dienstleistungen wie Online-Tests, Hausaufgaben, Unterricht und Verwaltung zu ermöglichen. Während der Diebstahl Geistigen Eigentums nun nach wie vor ein Hauptziel der Angreifer sei, beobachtet NETSCOUT nach eigenen Angaben „die Bedrohung der Verfügbarkeit von Bildungsangeboten, insbesondere durch den Einsatz von DDoS“. In Anbetracht dessen sollten Bildungseinrichtungen verstärkt Cyber-Attacken vorbeugen. Starke Netzwerksegmentierung, Best-of-Breed-DDoS-Schutz und kontinuierliche Überwachung seien entscheidende Faktoren, um sicherzustellen, dass Dienste sicher und konsistent bereitgestellt werden könnten.

Abbildung: NETSCOUT

Min. 186.000 DDOS-Angriffe weltweit gegen Bildungseinrichtungen 2019

8,4 Millionen DDoS-Angriffen im Jahr 2019

In dem kürzlich veröffentlichten „NETSCOUT Threat Intelligence Report“ wird demnach über die Beobachtung von 8,4 Millionen DDoS-Angriffen im Jahr 2019 berichtet – mindestens 186.000 dieser Angriffe seien weltweit gegen Bildungseinrichtungen gerichtet gewesen.
Auffällig sei, dass die Angriffshäufigkeit dem globalen Bildungsrhythmus entspreche, wonach ein großer Teil der Weltbevölkerung auf der Nordhalbkugel im Sommer pausiere. Zudem repräsentierten die Angriffsarten die gesamte Bandbreite der DDoS-Techniken, einschließlich der neuen, 2019 erstmalig aufgetretenen.

Bildungseinrichtungen weltweit vor DDoS-Angriffen geschützt

Abgesehen von der Bereitstellung der Daten habe NETSCOUT die Möglichkeit gehabt, einige wenige Bildungseinrichtungen weltweit vor DDoS-Angriffen zu schützen, und dabei „wichtige Erkenntnisse“ erlangt. So seien Angriffe zeitlich so geplant gewesen, dass sie mit wichtigen, online verwalteten Prüfungen zusammengefallen seien. Sie hätten diese spezifischen Angriffe zwar vereiteln können, jedoch sei der Angreifer erst nach Abschluss der Prüfungsperiode verschwunden.
Zudem seien in mehreren Fällen Systeme und Computerressourcen anderer Bildungseinrichtungen für die Angriffe verwendet worden. „Dies bedeutet nicht unbedingt, dass der Angreifer eine Verbindung zur anderen Einrichtung hatte, aber die oft in Bildungseinrichtungen vorhandenen Computer- und Netzwerkkapazitäten sind für Angriffe durchaus attraktiv.“

Offenbar überwiegend nationalstaatliche DDoS-Akteure

Natürlich seien Studenten nicht die einzige und nicht die Hauptbedrohung für die Bildungssysteme, denn nationalstaatliche Akteure zielten seit Langem auf die Hochschulbildung ab – in erster Linie mit dem Ziel, oft einzigartiges Geistiges Eigentum zu stehlen.
Vor etwas mehr als einem Jahr habe NETSCOUT über eine Kampagne namens „Stolen Pencil“ berichtet, „bei der vermutlich nordkoreanische Akteure anhaltenden Zugang zu einer Reihe von Universitäten und Denkfabriken in ganz Nordamerika hatten“.

Ausbreitung von IoT-Geräten erleichtern weltweit DDoS-Angriffe

Ein weiterer Grund zur Sorge im Bildungssektor sei die zunehmende Verbreitung von Internet-of-Things-Geräten (IoT). Umgangssprachlich verstehe man darunter jedes an ein Netzwerk angeschlossenes Nicht-Standard-Computergerät – beispielsweise Drucker, IP-fähige Videokameras oder digitale Whiteboards. Aufgrund mangelnder Sicherheitsvorkehrungen sowie der großen Anzahl vorhandener Geräte bildeten diese heute oft die Grundlage für DDoS-Angriffe weltweit.
Die NETSCOUT-Forschung habe gezeigt, dass die Malware-Familie namens „Mirai“ erweitert worden sei, um eine immer breitere Palette von Gerätetypen abzudecken. Dadurch habe sich das potenzielle Ausmaß der Angriffe, an denen diese Geräte beteiligt seien, erheblich vergrößert.

Weitere Informationen zum Thema:

NETSCOUT
NETSCOUT Bericht zur Gefahrenerkennung / With Key Findings from the 15th Annual Worldwide Infrastructure Security Report (WISR)

datensicherheit.de, 20.05.2020
Finanzsektor: Steigende Anzahl an DDoS- und Credential-Stuffing-Angriffen

datensicherheit.de, 11.05.2020
Deutlicher Anstieg der Cyberangriffe mittels DDoS-Attacken im Jahr 2020

datensicherheit.de, 16.10.2019
DDoS-Angriffe als Ablenkungsmanöver

[datensicherheit.de, 27.02.2013] Kaspersky Lab [1] veröffentlicht einen Bericht über die Zusammenhänge zwischen einer Reihe von Vorfällen in Bezug auf die jüngst entdeckte Sicherheitslücke bei PDF-Dateien (Adobe Reader; Exploit CVE-2013-6040) und einem neuen, hoch spezialisierten Schadprogramm, bekannt als MiniDuke. Der MiniDuke-Backdoor-Trojaner wurde eingesetzt, um in der vergangenen Woche weltweit zahlreiche Regierungsstellen und weitere Organisationen anzugreifen. Kaspersky Lab hat zusammen mit CrySys Lab die Angriffe analysiert.

Die Analyse [2] enthüllt, dass eine Reihe hochrangiger Zielpersonen von MiniDuke angegriffen wurde. Diese Personen gehören Regierungsstellen in Belgien, Irland Portugal, Rumänien, der Tschechischen Republik und der Ukraine an. Darüber hinaus sind in den USA ein Forschungsinstitut, zwei Think Tanks und ein Dienstleister aus dem Gesundheitsbereich ebenso betroffen wie eine bekannte Forschungseinrichtung in Ungarn.

„Das ist ein sehr ungewöhnlicher Cyber-Angriff“, erklärt Eugene Kaspersky, Gründer und CEO von Kaspersky Lab. „Ich kenne diesen Stil der Programmierung aus den späten 90er Jahren und um die Jahrtausendwende. Und ich frage mich, warum diese Malware-Autoren, die gleichsam als Schläfer ein Jahrzehnt inaktiv waren, plötzlich aufgewacht sind und sich einer aktuellen Gruppe von Cyberspionen angeschlossen haben. Diese Elite, also die ‚Old-School‘-Autoren, waren in der Vergangenheit hinsichtlich der Schaffung von hochkomplexen Viren-Programmen sehr effektiv. Jetzt kombinieren sie ihre Fähigkeiten mit sehr raffinierten Sicherheitslücken, die etwa eine Sandbox-Technologie umgehen, um Regierungsstellen oder Forschungseinrichtungen in verschiedenen Ländern
anzugreifen.“

„Der Backdoor-Trojaner MiniDuke ist hochspezialisiert und in der maschinennahen Sprache Assembler geschrieben. Daher ist er mit nur 20 KB sehr klein“, führt Kaspersky fort. „Es ist die Kombination von klassischer Virenprogrammierung mit neuesten Exploit-Technologien sowie raffinierten Social-Engineering-Tricks, die diese in Bezug auf hochrangige Zielpersonen so gefährlich macht.“

Die wichtigsten Erkenntnisse zusammengefasst:

• Die MiniDuke-Angreifer sind immer noch aktiv und haben ihre jüngsten Versionen erst am 20. Februar 2013 erzeugt. Die Opfer wurden mittels sehr effektiver Social-Engineering-Techniken angegriffen. Die dabei verschickten PDF-Dateien waren sehr professionell erstellt und gaben vor, Informationen der ASEM (Asia-Europe Meetings), zur Außenpolitik der Ukraine und Plänen von NATO-Mitgliedern zu enthalten.
  Die PDF-Dateien waren mit Exploits ausgestattet, welche die Adobe Reader Versionen 9, 10 und 11 angriffen und deren Sandbox umgingen. Diese Exploits wurden mit einem Toolkit erstellt, das offenbar dasselbe wie in der kürzlich von FireEye berichteten Attacke war. Die Exploits, die bei den MiniDuke-Attacken zum Einsatz kamen, dienten anscheinend einem anderen Zweck und verfügten über eine eigene Malware.
• Sobald ein System kompromittiert ist, wird ein sehr kleiner Downloader von 20 KB auf der Festplatte des Opfers platziert. Der Downloader ist für jedes System einmalig und enthält eine spezielle Hintertür, die in Assembler geschrieben ist. Beim Hochfahren des Systems ermittelt der Downloader mittels mathematischer Verfahren einen einmaligen Fingerabdruck des angegriffenen Computersystems und verwendet diese Daten auch zur späteren Verschlüsselung. Seine Programmierung wehrt überdies Analysewerkzeuge bestimmter Umgebungen wie etwa VMware ab. Sobald die Software einen Analyseversuch bemerkt, stellt sie ihre Aktivitäten ein, um keine Möglichkeit der Entschlüsselung zu geben. Dies ist ein Zeichen dafür, dass die Malware-Schreiber das Vorgehen von IT-Sicherheitsspezialisten genau kennen.
• Sofern der Zielrechner bestimmten, vordefinierten Bedingungen genügt, startet die Malware (ohne Wissen des Anwenders) die Suche nach speziellen Tweets von voreingerichteten Twitter-Konten. Die Tweets enthalten besondere Tags zu verschlüsselten URLs. Die Twitter-Konten werden von Command & Control (C&C)-Servern verwendet. Mittels dieser URLs öffnet sich die Hintertür zu den C&C-Servern, die dann Befehle und zusätzlichen, verschlüsselten Backdoor-Code via Gif-Bilddateien an den Zielrechner übermitteln.
• Es deutet auch einiges darauf hin, dass die Autoren von MiniDuke ein dynamisches Backup-System zur Sicherung der Daten entwickelt haben, das ebenfalls unterhalb der Wahrnehmungsschwelle von Analysetools agiert. Und falls Twitter beziehungsweise eines der Twitter-Konten nicht funktioniert, ist die Malware auch in der Lage, die Google-Suche zum Auffinden der verschlüsselten Zeichenketten mit einer URL zum nächsten C&C-Server einzusetzen. Auf diese Weise kann die Malware ständig die Methoden ändern, und beispielsweise den Backdoor-Trojaner auf den Zielrechnern weitere Befehle zu erteilen oder zusätzlichen böswilligen Code nachzuladen.
• Der weitere Backdoor-Code für den Zielrechner wird vom C&C-Server in einer Gif-Bilddatei übermittelt. Anschließend wird komplexerer Code gesandt, der einfache Operationen wie das Kopieren und Löschen von Dateien, Anlegen von Verzeichnissen, Stoppen von Prozessen und natürlich das Nachladen von weiterem Code erlaubt.
• Der Backdoor-Trojaner verbindet sich mit zwei Servern – einer davon befindet sich in Panama, der andere in der Türkei – um Befehle der Angreifer zu erhalten.

Der vollständige Bericht von Kaspersky Lab, einschließlich der Empfehlungen, um sich gegen MiniDuke-Attacken zu schützen, befindet sich auf Securelist unter: https://www.securelist.com/en/blog/208194129/The_MiniDuke_Mystery_PDF_0_day_Government_Spy_Assembler_Micro_Backdoor

Auch CrySys Lab stellt einen Report zur Verfügung, er findet sich hier:
http://blog.crysys.hu/2013/02/miniduke/

Kaspersky Lab entdeckt und neutralisiert die MiniDuke-Malware, klassifiziert als HEUR:Backdoor.Win32.MiniDuke.gen und Backdoor.Win32.Miniduke. Ebenso entdeckt Kaspersky Lab die verwendeten Exploits der PDF-Dokumente, klassifiziert als Exploit.JS.Pdfka.giy.

[1] http://kaspersky.com/de/
[2] https://www.securelist.com/en/blog/208194129/The_MiniDuke_Mystery_PDF_0_day_Government_Spy_Assembler_Micro_Backdoor