[datensicherheit.de, 28.05.2020] Bereits Anfang 2020 wurde über eine Reihe zielgerichteter Angriffe auf Industrieunternehmen in verschiedenen Regionen berichtet. Nach Analysen des Kaspersky ICS CERT [1] konzentrierten sich diese auf Systeme in Japan, Italien, Deutschland und Großbritannien. Die Angreifer hatten dabei Anbieter von Geräten und Software für Industrieunternehmen im Visier und nutzten infizierte Microsoft-Office-Dokumente, PowerShell-Skripte und verschiedene Techniken, die eine Erkennung und Analyse der Malware schwierig gestalten, wie beispielsweise Steganografie [2], eine Technologie zum Verbergen von Daten.

Hochentwickelte Angriffe

Angriffe auf Industrieobjekte sind hochentwickelt und ziehen diverse Konsequenzen nach sich: von erfolgreicher Industriespionage bis hin zu erklecklichen finanziellen Verlusten. Die Experten von Kaspersky haben nun eine Reihe von Angriffen untersucht, deren anfänglicher Angriffsvektor Phishing-Mails waren, die für jedes Opfer individuell sprachlich angepasst wurden. Die verwendete Malware führte nur dann Aktivitäten aus, wenn die Sprache des Betriebssystems mit der in der Phishing-Mail übereinstimmte. Im Falle eines Angriffs auf ein japanisches Unternehmen wurden beispielsweise der Text der Mail und das mit schädlichen Makros kompromittierte Microsoft-Office-Dokument auf Japanisch verfasst. Um das Malware-Modul erfolgreich zu entschlüsseln, musste das Betriebssystem zudem über eine japanische Lokalisierung verfügen.

Angreifer nutzten das Programm Mimikatz

Eine genauere Analyse zeigte, dass die Angreifer das Programm Mimikatz [3] verwendet haben, um die Authentifizierungsdaten von Windows-Konten des kompromittierten Systems zu stehlen. Diese Informationen können von Angreifern verwendet werden, um Zugriff auf weitere Systeme im Unternehmensnetzwerk zu erhalten und weitere Angriffe zu entwickeln. Angreifer erhalten damit auch Zugriff auf Konten mit Domänenadministratorrechten.

In allen entdeckten Fällen wurde die Malware durch Sicherheitslösungen von Kaspersky nach eigenen Angaben blockiert, die Angreifer konnten ihre Aktivitäten daher nicht fortsetzen. Infolgedessen bleibt das endgültige Ziel der Kriminellen unbekannt.

„Diese Angriffe erregten aufgrund mehrerer nicht standardmäßiger technischer Lösungen, die von den Angreifern verwendet wurden, unsere Aufmerksamkeit“, erklärt Vyacheslav Kopeytsev, Sicherheitsexperte bei Kaspersky. „Beispielsweise wird das Malware-Modul mithilfe von Steganografiemethoden im Image codiert, das Image selbst wird dabei auf legitimen Webressourcen gehostet. Das macht es fast unmöglich, den Download solcher Malware mithilfe von Lösungen zur Überwachung und Steuerung des Netzwerkverkehrs zu erkennen: Aus Sicht technischer Lösungen unterscheidet sich diese Aktivität nicht von dem üblichen Zugriff auf ein legitimes Image-Hosting. In Verbindung mit den anvisierten Zielen dieser Infektionen zeigen diese Techniken eine ausgefeilte und selektive Natur der Angriffe. Es ist besorgniserregend, dass insbesondere industrielle Auftragnehmer zu den Opfern des Angriffs gehören. Wenn die Authentifizierungsdaten von Mitarbeitern der Zuliefererorganisation in die falschen Hände geraten, kann dies zu vielen negativen Konsequenzen führen – angefangen beim Diebstahl vertraulicher Daten bis hin zu Angriffen auf Industrieunternehmen durch vom Auftragnehmer verwendete Remoteverwaltungstools.“

„Der Angriff auf industrielle Auftragnehmer zeigt, dass es für einen zuverlässigen Betrieb von entscheidender Bedeutung ist, sicherzustellen, dass sowohl Workstations als auch Server geschützt sind – sowohl in Unternehmens- als auch in betrieblichen Technologie-Netzwerken“, ergänzt Anton Shipulin, Solution Business Lead bei Kaspersky Industrial CyberSecurity. „Obwohl ein starker Endpunktschutz ausreicht, um ähnliche Angriffe zu verhindern, empfehlen wir dennoch einen ganzheitlichen Ansatz zur Unterstützung der Cyber-Abwehr der Industrieanlage zu verwenden. Angriffe über Auftragnehmer oder Lieferanten können innerhalb des Unternehmens völlig unterschiedliche Einstiegspunkte haben, einschließlich des OT-Netzwerks. Obwohl die Hintergründe des Angriffs unklar bleiben, ist es besser davon auszugehen, dass die Angreifer das Potenzial haben, sich Zugang zu den kritischen Systemen der Einrichtung zu verschaffen. Moderne Mittel zur Netzwerküberwachung, Anomalie- und Angriffserkennung können dazu beitragen, Anzeichen eines Angriffs auf industrielle Steuerungssysteme und -geräte rechtzeitig zu erkennen und einen Vorfall zu verhindern.“

Kaspersky-Empfehlungen für mehr Schutz für Industrieunternehmen

• Mitarbeiter im sicheren Umgang mit E-Mails schulen, damit diese insbesondere Phishing-Mails erkennen können.
• Die Ausführung von Makros in Microsoft-Office-Dokumenten sowie von PowerShell-Skripten wenn möglich beschränken.
• Bei PowerShell-Prozess-Startups drauf achten, welche Microsoft-Office-Anwendungen initiiert wurden. Nach Möglichkeit sollten Programme keine Debug-Privilegien (SeDebugPrivilege) erhalten
• Eine Sicherheitslösung wie Kaspersky Endpoint Security for Business [4] nutzen, die Sicherheitsrichtlinien zentral verwalten kann und aktuelle Antiviren-Datenbanken und Softwaremodule für Sicherheitslösungen bietet.
• Eine dedizierte Sicherheitslösung für Endpoints und Netzwerke der Betriebstechnologie wie Kaspersky Industrial Cybersecurity for Nodes oder Kaspersky Industrial Cybersecurity for Networks [6] nutzen, um einen umfassenden Schutz aller industriellen Systeme zu gewährleisten.
• Konten mit Domänenadministratorrechten nur mit Bedacht einsetzen. Nach der Verwendung solcher Konten sollte das System, auf dem die Authentifizierung durchgeführt wurde, neu gestartet werden.
• Eine Kennwortrichtlinie mit bestimmten Komplexitätsvorraussetzungen und regelmäßigen Kennwortänderungen im gesamten Unternehmen implementieren.
• Beim Verdacht auf eine Infektion eine Antivirenprüfung starten und eine Kennwortänderung für sämtliche Konten, die zum Anmelden bei den gefährdeten Systemen verwendet wurden, erzwingen.

[1] https://ics-cert.kaspersky.com/reports/2020/05/28/steganography-in-targeted-attacks-on-industrial-enterprises/
[2] https://www.kaspersky.com/blog/digital-steganography/27474/
[3] https://www.security-insider.de/was-ist-mimikatz-a-851187/
[4] https://www.kaspersky.de/small-to-medium-business-security
[5] https://www.kaspersky.de/enterprise-security/industrial

Weitere Informationen zum Thema:

Kaspersky ICS CERT
Steganography in targeted attacks on industrial enterprises

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

Hacker machen sich die aktuelle Situation rund um „Corona“ zunutze

[datensicherheit.de, 07.05.2020] Die Verunsicherung der Menschen rund um das „Coronavirus“ ist groß, der Bedarf an Informationen ebenso. Diesen Umstand machen sich Hacker derzeit zunutze: Sie entwerfen Phishing-Mails oder gefälschte Websites, um Geld und persönliche Daten abzugreifen. Die Experten des IT-Security-Anbieters BullGuard haben die zehn häufigsten Betrugsfälle im Netz im Kontext von Covid-19 zusammengestellt, die derzeit im Umlauf sind. Außerdem geben sie Tipps, wie sich Privatpersonen und kleine Unternehmen, wie Arztpraxen, Handwerksbetriebe oder Kanzleien, schützen können.

Die zehn häufigsten Online-Betrugsfälle rund um Corona

Phishing-Mails sind das beliebteste Mittel, um Malware zu verbreiten. Sie enthalten entweder Anhänge wie PDF- und Word-Dokumente, die schadhaften Code enthalten, oder Links, die den Empfänger zu bösartigen Websites führen. Auf diesen Seiten wird entweder versucht, Benutzerdaten zu erfassen oder Malware freizusetzen. Mitunter ist eine Phishing-Mail auch der Türöffner für Ransomware: Das Öffnen des Anhangs oder der Klick auf einen enthaltenen Link installiert die Malware. Sie sperrt den Rechner des Empfängers und fordert für die Freischaltung ein Lösegeld. Die häufigsten Phishing-Versuche mit Corona-Bezug setzen auf folgende Themen:

1. Unseriöse Werbung für besonders günstige Gesichtsmasken und Desinfektionsmittel, teilweise sogar für angebliche Medikamente gegen Covid-19
2. Investment-Betrug: Die Empfänger werden dazu verleitet, in Unternehmen zu investieren, die angeblich Impfstoffe produzieren
3. Gefälschter Spendenaufruf: Per Klick auf den Link in einer E-Mail sollen Spendengelder fließen, um das Coronavirus zu bekämpfen oder angeblichen Opfern zu helfen
4. Gefälschte E-Mails, die vorgeben von der Weltgesundheitsorganisation (WHO) zu kommen und Tipps enthalten sollen, wie sich Menschen während der Pandemie schützen können
5. Sonstige Gesundheitsorganisationen, die angeblich darüber informieren, dass der E-Mail-Empfänger mit einem Covid-19-Patienten in Kontakt gekommen ist
6. Ransomware, die meist über E-Mails verbreitet wird, in denen angeblich Informationen oder Hinweise zu Covid-19 von staatlichen Behörden enthalten sein sollen

Ebenfalls vertreten sind Betrugsfälle, die sich mit Corona-Bezug an Sparer, Investoren und Selbstständige richten. Sie locken mit fingierten Investitionsmöglichkeiten, Steuernachlässen oder Finanzberatung. Hacker machen sich aber auch die Ankündigung von staatlich finanzierten Rettungsaktionen zunutze. Sie bieten Hilfe bei der Beantragung, sobald sie aber alle notwendigen Daten des Antragstellers gesammelt haben, streichen sie die Fördergelder selbst ein. Bei folgenden E-Mails oder Angeboten ist Vorsicht geboten:

7. Grundsätzliche Informationen über Staatshilfen oder konkret dazu, dass der Empfänger angeblich Steuernachlässe erhalten soll
8. Abzweigung von Hilfsgeldern: Hacker geben vor, bei der Beantragung von Staatshilfen zu unterstützen – sobald sie über die persönlichen Daten des Opfers verfügen, beantragen sie die Gelder selbst im Namen des Opfers

Über gefälschte Websites nutzen Hacker das Informationsbedürfnis rund um Corona aus. Besonders bekannt wurde im Zusammenhang mit Covid-19 die gefälschte Website der Johns Hopkins Universität. Neben dieser sind viele weitere Fake-Websites im Umlauf, vor denen sich Internetnutzer in Acht nehmen sollten.

9. Die dynamische Grafik auf der Johns-Hopkins-Website ist ein wichtiger Anlaufpunkt für viele, die aktuelle Informationen rund um die weltweite Entwicklung und länderspezifische Fallzahlen nachschlagen wollen. Unwissentlich gelangten einige von ihnen auf gefälschte Versionen der Seite.

Auch Anbieter von Konferenz-Lösungen, wie etwa Zoom, blieben von den Hackern nicht verschont. Im März erreichte Zoom die Marke von rund 200 Millionen Nutzern und wurde damit zur lukrativen Zielscheibe für Cyberkriminelle.

10. Innerhalb weniger Tage registrierten Hacker über 3.000 Web-Domains mit dem Wort „Zoom“. Die Mehrheit zielt eindeutig darauf ab, Zoom-Nutzer und Interessenten anzulocken und persönliche Informationen, wie Anmeldedaten oder Bankdetails, abzugreifen.

Online-Betrug im Kontext von Covid-19, Bild: Bullguard

Tipps für Unternehmen und Privatpersonen zum Schutz vor Online-Betrug mit Bezug zu „Corona“

Sowohl im Privat- als auch im Unternehmensumfeld sollten Nutzer eine gesunde Vorsicht im Internet walten lassen. Unternehmen können ihre Mitarbeiter explizit über Risiken aufklären und ihnen zeigen, worauf es zu achten gilt: E-Mails, SMS und Websites sollten kritisch geprüft werden.

• Stimmen Absender und Adresse überein?
• Ist der Absender bekannt?
• Ist die E-Mail oder die Website seriös oder klingen die Inhalte zu gut, um wahr zu sein?

Unterscheidet sich der Absender von der E-Mail-Adresse oder ist der Absender nicht bekannt, sollten Anhänge nicht geöffnet und enthaltene Links nicht angeklickt werden. Für Mitarbeiter im Home Office, die von außerhalb der Organisation auf Unternehmensdaten zugreifen, empfiehlt sich außerdem der Einsatz eines VPN (Virtual Private Network). Die Verschlüsselung auf Militärniveau stellt sicher, dass Mitarbeiter, die zu Hause arbeiten, über sichere Remote-Verbindungen verfügen. Sie sind für die Kommunikation ins Büro, zu Kollegen und Videokonferenzplattformen notwendig.

Laptops, Smartphones und Desktop-PCs sollten zudem mit einer Sicherheitssoftware geschützt werden. Für kleine Unternehmen eignet sich nach Unternehmensangaben die Lösung BullGuard Small Office Security: Sie ist speziell auf die Bedürfnisse von kleinen Betrieben, wie Arztpraxen, Kanzleien, Handwerksbetrieben oder Agenturen, zugeschnitten. Die Endpoint-Sicherheitslösung ist cloudbasiert. Ein zentrales Dashboard erlaubt die gleichzeitige Verwaltung von bis zu 50 Geräten. Von hier aus werden auf allen Geräten Sicherheitsupdates rechtzeitig eingespielt und infizierte oder gestohlene Geräte aus der Ferne gesperrt. Das Dashboard verfügt auch über ein Warnsystem, das sofort auf Sicherheitsvorfälle aufmerksam macht und schnelle Maßnahmen zur Abhilfe ermöglicht.

Weitere Informationen zum Thema:

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware

datensicherheit.de, 30.03.2020
VPN-Nutzung: Endgeräte-Hygiene im Home-Office empfohlen