NTT Security warnt vor Missbrauch von IT-Systemressourcen durch Cyber-Kriminelle

[datensicherheit.de, 16.12.2018] Das Unternehmen NTT Security (Germany) und das „Security Center of Excellence“ der NTT Group machen IT-Anwender auf ein neues Phänomen der Cyber-Kriminalität aufmerksam: Webbasiertes Mining von Krypto-Währungen ohne Zustimmung des System-Eigners, was nichts Anderes als Diebstahl von Systemressourcen ist. Diese Art der Cyber-Kriminalität sei vor allem im Bildungssektor anzutreffen.

Missbrauch schwer zu erkennen

NTT Security hat nach eigenen Angaben die Ergebnisse seines monatlichen „GTIC Threat Report“ bekanntgegeben. Die hauseigenen Experten haben demnach in ihrer Studie besonders Krypto-Mining und -Jacking untersucht.
Bei webbasiertem Krypto-Mining werde ein Code in eine Website eingefügt, um die Teilnahme am Mining einer Krypto-Währung zu ermöglichen. Es sei oft schwierig, wenn nicht unmöglich, den Unterschied zwischen normalem webbasiertem Krypto-Mining – bei dem der Benutzer einer Website erlaubt, Systemressourcen für das Mining einer Krypto-Währung zu verwenden – und webbasiertem Krypto-Jacking – bei dem der Benutzer der Website dafür keine Erlaubnis erteilt hat – zu erkennen.

Krypto-Währung „Monero“ bei Anwendern und Kriminellen beliebt

Bei fast 40 Prozent der analysierten browserbasierten Miner von Krypto-Währungen habe es sich um nicht näher bestimmtes browserbasiertes Mining gehandelt, das nicht mit einer bestimmten Mining-Plattform für Krypto-Währungen verbunden sei. Die drei am häufigsten identifizierten Miner für Krypto-Währungen seien „CoinHive“, „XMRig“ und „Authedmine“.
Den Erkenntnissen von NTT Security zufolge machten „CoinHive“ und seine Variationen etwa 55 Prozent der vom 1. Mai bis 31. Juli 2018 beobachteten Krypto-Miner aus. „CoinHive“ sei ein browserbasierter Mining-Service, der typischerweise zum Minen der Krypto-Währung „Monero“ verwendet werde. Diese habe in diesem Jahr an Popularität gewonnen, da sie praktisch nicht zurückverfolgbare Transaktionen erlaube, die es Benutzern – und damit auch Angreifern – ermögliche, ein hohes Maß an Anonymität zu wahren.
„CoinHive“ schürft demnach „Monero“ durch die Verwendung ungenutzter Rechenleistung von Benutzersystemen, die mit der infizierten Site verbunden sind. Die Intention von „Coinhive“ habe darin bestanden, Website-Besitzern zu helfen, Einnahmen durch Mining zu generieren; allerdings würden Elemente von „CoinHive“ als „go-to Miner“ für cyber-kriminelle Aktivitäten missbraucht.

„XMRig“ unterstützt Mining durch Nutzung von System-CPUs, NVIDIA-Grafikkarten und AMD-GPUs

Laut NTT Security mache „XMRig“ etwa fünf Prozent der beobachteten Aktivitäten von Krypto-Minern aus. „XMRig“ sei eine Open-Source-Software, mit der „Monero“ und „CryptoNote“ geschürft werden könnten. „XMRig“ unterstütze das Mining von Krypto-Währungen durch die Nutzung der Leistung von System-CPUs, NVIDIA-Grafikkarten und AMD-GPUs.
Diese Funktionen machten „XMRig“ beliebt, da Benutzer – sowohl legitime Benutzer als auch Cyber-Kriminelle – es auf jeder Hardware, einschließlich Systemen unter „Windows“, installieren und dann problemlos mit dem Mining beginnen könnten.

Zustimmung bei unzureichendem Prozessverständnis

„Authedmine“ (alias „Authorized Mining“) könne definiert werden als „CoinHive 2.0“ oder „CoinHive“ mit explizitem Opt-in: Aufgrund des schlechten Rufs von „CoinHive“ in Folge der Aktivitäten von Cyber-Kriminellen hätten die Entwickler mit der Erstellung eines Miners reagiert, der nur nach einem ausdrücklichen Opt-in des Benutzers ausgeführt werden könne. Daten zeigten, dass etwa zwei Prozent der beobachteten Krypto-Mining-Aktivität mit „Authedmine“ in Verbindung zu bringen seien.
Dabei sei zu beachten, dass „Authedmine Events“ zwar von Benutzern zu stammen schienen, die auch verstehen, was sie anklicken. Es sei jedoch sehr wahrscheinlich, dass eine große Zahl von Benutzern das Opt-in akzeptiert, ohne vollständig zu verstehen, welche Prozesse sie dabei erlauben.

Foto: NTT Security

René Bader: Immer auch die Sicherheitsarchitektur des betroffenen Unternehmens überprüfen!

Krypto-Jacking betrifft fast alle Branchen

Grundsätzlich seien von nicht autorisiertem Krypto-Mining und Krypto-Jacking fast alle Branchen betroffen. Die Daten zeigten aber, dass die Sektoren Bildung, Gesundheitswesen und Finanzen rund 88 Prozent aller identifizierten Fälle von Krypto-Jacking ausmachten:
Mit 57 Prozent sei Bildung der am stärksten betroffene Bereich. Hierbei erhielten Studenten, Mitarbeiter oder Besucher des Campus oft Zugang zum Netzwerk, so dass es schwierig sei, jedes potenzielle webbasierte Krypto-Jacking-Ereignis zu blockieren. Während Bildungseinrichtungen ihre Personal- und Fakultätsnetze regulieren könnten und wollten, befänden sich die Studentennetzwerke oft in einem ganz anderen Subnetz und unterlägen eigenen Richtlinien und Nutzungsbedingungen.
„Ein Unternehmen, das einen Krypto-Miner auf ihrer eigenen Website entdeckt, hat ein größeres Problem als nur die betreffende Malware“, warnt René Bader, „Lead Consultant Secure Business Applications EMEA“ bei NTT Security. Es stelle sich nämlich die Frage, wie der Krypto-Miner überhaupt dorthin gelangen konnte. „Daher muss immer auch die Sicherheitsarchitektur des betroffenen Unternehmens überprüft werden“, empfiehlt Bader.

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2018
Kryptojacking: Wie Cyberkriminelle sich die Cloud zu Nutze machen

datensicherheit.de, 27.06.2018
Cyber-Kriminelle nutzen Hype um Kryptowährungen

[datensicherheit.de, 25.04.2016] NTT Com Security weist auf die hohen Risiken einer veralteten Architektur der IT-Sicherheit bei vielen „Connected Cars“ hin. Diese mache es Angreifern viel zu leicht, Fahrzeuge zu manipulieren oder gar zu kapern.

Visionen mit wenig Beachtung der IT- Sicherheit

„Connected Cars“ werden laut NTT Com Security nicht nur das Autofahren und den Umgang mit Fahrzeugen ganz neu definieren, sondern nach Einschätzung der Analysten von McKinsey auch zum Auslöser einer fundamentalen Neuordnung des weltweiten Automobilmarkts. Mittlerweile seien alle großen Automobilhersteller in entsprechenden Initiativen aktiv.
Umso erstaunlicher sei es, wie wenig Beachtung oftmals dabei das Thema IT- Sicherheit finde, welches doch eigentlich „ein zentraler Punkt bei der ständigen Verbindung von Fahrzeugen mit dem Internet“ sein sollte, betont NTT Com Security.

Enorme Schäden durch Manipulationen möglich

René Bader, „Practice Manager Secure Application“ bei NTT Com Security: „Heute werden in Fahrzeugen zahlreiche IT-Systeme verbaut, die über das Internet kommunizieren, zum Beispiel zum Übermitteln von Telemetriedaten an den Hersteller, zum Updaten von Navigationsinformationen oder auch für E-Mails und Videostreams“.
Heutige Fahrzeuge verfügten zum Teil über mehr als 100 Steuergeräte und hätten eine Vielzahl an SIM-Karten fest verbaut, die die Kommunikation mit dem Web für unterschiedliche Aufgaben sicherstellten. Über all diese Systeme sei ein „Connected Car“ aber auch extrem verletzlich. Angreifer könnten mehr oder weniger kritische Telemetriedaten abgreifen, beispielsweise über das individuelle Fahrverhalten oder über Fahrziele.
„Wenn nicht von Anfang an eine strikte Trennung der internen Systeme eingeplant wurde, können sie aber auf diese Weise auch direkt die Fahrzeugsysteme manipulieren“, warnt Bader. Dabei könnten sie nicht bloß die Klimaanlage steuern, sondern zum Beispiel auch in Fahrsicherheitssysteme eingreifen. Es liege auf der Hand, dass man „damit einen enormen Schaden anrichten“ könne.

Auf dem Stand damaliger IT-Sicherheitsarchitekturen stehengeblieben

Die Hersteller setzten zwar seit den 1980er-Jahren konsequent auf digitale Fahrzeugsysteme, dabei seien viele Hersteller jedoch auf dem Stand der damaligen IT-Sicherheitsarchitekturen stehengeblieben.
So sei beispielsweise in einigen Systemen weder eine Authentifizierung der Zugriffe noch eine Validierung der übermittelten Daten vorgesehen. Für die Anforderungen moderner Fahrzeuge, die ständig mit einer offenen Infrastruktur kommunizierten, sei diese Architektur „natürlich nie gedacht“ gewesen, erklärt Bader.
Es zeige sich immer mehr, dass viele Systeme völlig überfordert seien. In ihrem aktuellen Zustand stelle die IT-Architektur ein systembedingtes Risiko dar, das sich nicht einfach durch Nachbesserungen an der einen oder anderen Stelle ausschalten lasse.

IT-Sicherheit als Basisbaustein der Fahrzeugentwicklung

Was nach Ansicht des NTT-Com-Security-Experten oft fehlt, ist „eine konsistente Architektur, die von vornherein über die entsprechenden Sicherheits-Layer verfügt, also eine Architektur, in der IT-Sicherheit ein Basisbaustein der Fahrzeugentwicklung ist“.
Neue Player auf dem Automobilmarkt wie Tesla hätten es hierbei einfacher – sie könnten ein Fahrzeug mit entsprechender Architektur von Grund auf und ohne Altlasten neu konzipieren – und dabei auch die Anforderungen an die Sicherheit berücksichtigen.

Permanente Erweiterung der digitalen Architektur auch auf deutscher Seite

Mit ganz vorne dabei seien vor allem aber die etablierten deutschen Hersteller. Sie nähmen das Thema Sicherheit traditionell sehr ernst und hätten das konsequent auch auf die digitalen Fahrzeugsysteme ausgeweitet. Nach den verheerenden Presseberichten über einfache Angriffsmethoden auf US-amerikanische Fahrzeuge werde die Informationssicherheit als Wettbewerbsvorteil gesehen.
Dennoch würden auch sie um eine permanente Erweiterung ihrer digitalen Architektur nicht herumkommen, betont Bader. Als erster Schritt wäre dafür ein verbindlicher, herstellerübergreifender Standard notwendig. „NTT Com Security arbeitet hier bereits an Lösungen und Architekturvorgaben, die gemeinsam mit den Herstellern und Zulieferern entwickelt werden. Hier muss jedoch dringend weitergearbeitet werden, wenn das Connected Car nicht hinsichtlich der IT-Sicherheit gegen die Wand fahren soll.“

Weitere Informationen zum Thema:

McKinsey & Company
Internet im Auto wird Marktgewichte in der Industrie massiv verändern