Hacker greifen „Linux“-Server in Südostasien an: Schadprogramme „WolfsBane“ und „FireWood“ dienen der Cyber-Spionage

[datensicherheit.de, 21.11.2024] ESET-Forscher haben nach eigenen Angaben zwei neue sogenannte Backdoors in „Linux“ entdeckt, „die wahrscheinlich von der china-nahen Hacker-Gruppe ,Gelsemium’ stammen“. Die Entdeckung sei nach der Analyse von Archiven erfolgt, welche im Jahr 2023 auf Googles Online-Dienst „Virus Total“ hochgeladen worden seien. „Die Dateien wurden von Servern in Taiwan, den Philippinen und Singapur eingespeist, was auf Vorfälle in diesen Regionen hindeutet.“ Die Schadprogramme mit den Namen „WolfsBane“ und „FireWood“ dienten der Cyber-Spionage, indem sie sensible Daten wie Systeminformationen, Anmeldedaten und Dateien unbemerkt sammelten.

Abbildung: ESET

„Linux“ im Visier: Ausführungsprozess von „WolfsBane“ lt. ESET-Erkentnnissen

Cyber-Kriminelle erwägen neue Angriffsmöglichkeiten und attackieren „Linux“

Während „Wolfsbane“ sich zweifellos „Gelsemium“ zuordnen lasse, könne ESET „FireWood“ allerdings nicht gesichert dieser Gruppe zuschreiben, da die Beweise für eine direkte Verbindung nicht eindeutig seien. „Professionelle Hacker fokussieren sich stärker auf ,Linux’-Systeme – das ist eine besorgniserregende Entwicklung“, betont ESET-Forscher Viktor Šperka, welcher diese Analysen durchgeführt habe.

Šperka führt hierzu aus: „Der Grund dafür sind vor allem verbesserte Sicherheitslösungen für ,Windows’-Systeme und die Deaktivierung von VBA-Makros. Dies führt dazu, dass Cyber-Kriminelle neue Angriffsmöglichkeiten abwägen. ,Linux’ rückt dabei immer stärker in den Fokus.“

„Linux“ gerät verstärkt ins Fadenkreuz bei Cyber-Angriffen

Die Analysen enthüllten demnach die ausgefeilte Technik der beiden Backdoors: „WolfsBane“ sei eine „Linux“-Version der bekannten „Windows“-Schadsoftware „Gelsevirine“ und nutze Rootkits, um ihre Aktivitäten zu verschleiern. Ein sogenanntes Rootkit sei eine Schadsoftware, welche es Cyber-Kriminellen ermögliche, sich unbemerkt Zugang zu Computern zu verschaffen und deren Daten zu infiltrieren.

„FireWood“ hingegen zeige Verbindungen zu einer älteren, aber ständig weiterentwickelten Backdoor namens „Project Wood“, welche ebenfalls von „Gelsemium“ genutzt worden sei. „Die Forscher konnten die Spuren der Schadsoftware bis ins Jahr 2005 zurückverfolgen.“ Beide Backdoors seien so konzipiert worden, dass sie unbemerkt blieben und eine langfristige Kontrolle über kompromittierte Systeme ermöglichten.

Entdeckung zeigt, wie wichtig umfassender Schutz auch für „Linux“-Systeme ist

„ESET entdeckte die bösartige Software in Archiven, die von Taiwan, den Philippinen und Singapur auf ,Virus Total’ hochgeladen wurden.“ Dies deute darauf hin, dass die Proben im Rahmen von Vorfällen auf einem kompromittierten Server entdeckt worden sei. „Die betroffenen Systeme waren vorwiegend ,Linux’-Server, die Hacker vermutlich durch Sicherheitslücken in Webanwendungen erfolgreich angreifen konnten.“ Die Archive hätten auch mehrere Werkzeuge enthalten, die einem Angreifer die Fernsteuerung kompromittierter Server ermöglichten.

Die Entdeckung dieser neuen Werkzeuge zeige, „wie wichtig ein umfassender Schutz für ,Linux’-Systeme geworden ist“. Unternehmen und Behörden sollten ihre Sicherheitsmaßnahmen überdenken und verstärkt auf Sicherheitsupdates, Intrusion-Detection-Systeme und regelmäßige Sicherheitsaudits setzen.

Weitere Informationen zum Thema:

welivesecurity by eset, Viktor Šperka, 21.11.2024
ESET Research / Unveiling WolfsBane: Gelsemium’s Linux counterpart to Gelsevirine / ESET researchers analyzed previously unknown Linux backdoors that are connected to known Windows malware used by the China-aligned Gelsemium group, and to Project Wood

Ransomware-Bedrohungsakteure könnten von „ChamelGang“-Aktivitäten Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln

[datensicherheit.de, 02.08.2024] Dies sein nur eine Frage der Zeit gewesen: Eine Bedrohungsgruppe mit dem Namen „ChamelGang“ verwende Ransomware als sekundäre Angriffsart, um ihre Spuren zu verwischen. Sicherheitsforscher der „Sentinellabs“ von SentinelOne hätten diese bisherige Anomalie in einem Report aufgedeckt. Laut deren Erkenntnissen nutze diese APT („Advanced Persistent Threat“) sowohl Datenverschlüsselung als auch Exfiltration und Erpressung. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, kommentiert diesen Vorfall in seiner aktuellen Stellungnahme: „Unternehmen und Organisationen, die Opfer dieser Gruppe wurden, werden durch die Ransomware abgelenkt und wissen oftmals nicht, dass vor der Verschlüsselung auch noch eine umfassende Exfiltration stattgefunden hat.“ Es sei davon auszugehen, dass der eigentliche Auftrag Spionage gewesen sei und die Verschlüsselung und Erpressung als Extra-Geschäft genutzt würden. „Wenn die Angreifer schon mal im Netz sind, verdienen sie sich bei der Gelegenheit noch mal etwas extra dazu, so könnte man meinen“, so Dr. Krämer.

Foto: KnowBe4

Dr. Martin J. Krämer rät Unternehmen wie Organisationen, mehr in ihre Phishing-Prävention zu investieren und vor allem die eigenen Mitarbeiter zu schulen

Ransomware-Akteure könnten Cyber-Spionagemarktplatz etablieren

Diese zusätzliche Taktik mache Cyber-Angriffe wesentlich gefährlicher: „Es ist nicht auszuschließen, dass mehrere Ransomware-Bedrohungsakteure davon Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln.“ Angenommen, eine Ransomware-Gruppe habe sich einen ersten Zugang verschafft und ihre Ransomware im Stillen überall verteilt – alles, was es nun noch brauche, sei ein Bedrohungsakteur, der einen „Spionagemarktplatz“ einrichtet, „auf dem auch andere bösartige Akteure nach Einfallstoren für jenes Unternehmen oder Organisation suchen“.

Nationalstaatliche Spionage-Akteure könnten von Ransomware-Einfallstoren profitieren

Weiter gedacht, würden dann auch nationalstaatliche Akteure davon profitieren, welche die Ransomware-Einfallstore zu Spionagezwecken nutzen möchten. Eine Ransomware-Gruppe könnte dann den Zugang zunächst an eine andere Gruppe verkaufen, „die ausschließlich Spionage betreiben möchte und danach dann ein zweites Mal Geld verdienen, in dem es Daten verschlüsselt und das Opfer erpresst“.

Phishing als bevorzugtes Ransomware-Einfallstor

Nicht zuletzt aus diesem Grund sollten Unternehmen wie Organisationen mehr in ihre Phishing-Prävention investieren und vor allem die eigenen Mitarbeiter schulen. „Security Awareness Trainings“ mit dem Ziel einer dauerhaften Verhaltensveränderung und der Etablierung einer starken Sicherheitskultur seien geeignete Mittel, um Phishing zu stoppen. Ohne Phishing als Einfallstor müssten APTs nämlich mehr finanziellen und zeitlichen Aufwand betreiben, um an ihr Ziel zu kommen – so dass es sich dann, egal welches Ransomware-Geschäftsmodell, weniger lohne.

Weitere Informationen zum Thema:

SentinelLABS, Aleksandar Milenkoski & Julian-Ferdinand Vögele, Juni 2024
CHAMELGANG & FRIENDS | CYBERESPIONAGE GROUPS ATTACKING CRITICAL INFRASTRUCTURE WITH RANSOMWARE

[datensicherheit.de, 04.01.2024] McAfee betont in einer Stellungnahme zum Jahresauftakt 2024, dass uns das neue Jahr u.a. die Gelegenheit bietet, „unsere Online-Gewohnheiten unter die Lupe zu nehmen“. Konkret wird in diesem Zusammenhang auf den von McAfee nach eigenen Angaben zu Jahresbeginn entdeckten neuen Malware-Typ namens „Xamalicious“ eingegangen, welcher demnach in 25 „Android“-Apps enthalten ist. Diese Apps seien inzwischen aus dem „Google Playstore“ entfernt worden, aber: „Falls ,Android’-Nutzer sie bereits heruntergeladen haben, empfiehlt McAfee dringend, Maßnahmen zu ergreifen!“ Diese neue Malware sei in ganz Europa – insbesondere in Deutschland, Großbritannien und Spanien – beobachtet worden, aber auch in den USA, in Brasilien und Argentinien.

McAfee benennt betroffene Apps, welche dringend gelöscht werden sollten

„Xamalicious“ nutze ein Open-Source-Framework namens „Xamarin“, um sich auf Geräten zu verstecken. So könne die Malware die volle Kontrolle über das Gerät übernehmen und betrügerische Aktionen wie das Anklicken von Werbung, die Installation von Apps und andere finanziell motivierte Aktionen ohne Zustimmung des Benutzers durchführen. Weitere Einzelheiten hierzu seien im technischen Blog von McAfee zu finden.

Einige der betroffenen Apps, die McAfee dringend zu löschen empfiehlt, sind (ohne Gewähr):

• „Essential Horoscope for Android“
• „3D Skin Editor for PE Minecraft“
• „Logo Maker Pro“
• „Auto Click Repeater“
• „Count Easy Calorie Calculator“
• „Sound Volume Extender“
• „LetterLink“
• „NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS“
• „Step Keeper: Easy Pedometer“
• „Track Your Sleep“
• „Sound Volume Booster“
• „Astrological Navigator: Daily Horoscope & Tarot“
• „Universal Calculator“

McAfee-Tipps zum Schutz eigener Online-Daten und der -Identität:

• Zum Download anstehende Apps sollten vorab „mit einem kritischen Auge“ betrachtet werden – „achten Sie auf schlechte Grammatik in der App-Beschreibung, lesen Sie die Bewertungen und prüfen Sie, ob der Entwickler auch andere Apps veröffentlicht hat, die gut bewertet wurden!“
• Die Nutzung von Apps, welche Zugänglichkeitsdienste erfordern, sollte vermieden werden – „es sei denn, es besteht ein echter Bedarf für die Nutzung“.
• Es sollte sichergestellt werden, dass das eigene mobile Gerät mit umfassenden Sicherheitslösungen geschützt ist, welche Funktionen zur Überwachung und Blockierung potenziell bösartiger Links und Apps enthalten.
• „Durch den Einsatz von ,McAfee Mobile Security’-Produkten können Anwender ihre Geräte noch besser schützen und die mit dieser Art von Malware verbundenen Risiken mindern, was zu einem sichereren Erlebnis führt.“

Weitere Informationen zum Thema:

McAfee, Fernando Ruiz, 22.12.2023
Stealth Backdoor “Android/Xamalicious” Actively Infecting Devices

[datensicherheit.de, 01.09.2022] Bitdefender hat nach eigenen Angaben eine Studie veröffentlicht, welche demnach eine ausgeklügelte Wirtschaftsspionage-Kampagne gegen ein US-amerikanisches Technologieunternehmen beschreibt. Dieser Angriff habe über mehrere Monate stattgefunden und sich auf die Exfiltration von Daten konzentriert. „Für den Angriff wurde ein ausgedehntes Netzwerk von mehreren hundert IP-Adressen (die meisten davon aus China) verwendet.“ Im Rahmen der Studie kommt Bitdefender zu dem Schluss, „dass diese Art von Angriffen wahrscheinlich zunehmen wird und rät Unternehmen in der Industrie, im Energiesektor, im Finanzwesen, in der Verteidigung und in anderen kritischen Sektoren, sich in höchste Alarmbereitschaft zu versetzen“.

Spionagekampagne auf einen Bitdefender-Partner als Ursprung der Studie

Ursprung der Studie sei eine Spionagekampagne auf einen Bitdefender-Partner, einen US-amerikanischen Hardware-Hersteller mit weniger als 200 Mitarbeitern, gewesen. „Der Angriff erstreckte sich über mehrere Monate und umfasste die Ausnutzung bekannter Sicherheitslücken mit ausgefeilten Techniken zur Datenextraktion.“

Solche sogenannten hybriden Angriffe kämen immer häufiger vor. Diese kombinierten opportunistische Taktiken, wie etwa das automatisierte Scannen von Schwachstellen, mit ausgefeilten Techniken, wie etwa die Extraktion wichtiger Unternehmensdaten. Die Kompromittierung erfolge bei solchen Angriffen unter Verwendung automatischer Scanner, deren Ergebnisse dann von einem Menschen geprüft würden, „um festzustellen, ob es sich lohnt, die Daten des Ziels mit komplexen Techniken gezielt anzugreifen und zu extrahieren“.

Bitdefender warnt vor Zugriff über bekannte, häufig genutzte Sicherheitslücke

Der anfängliche Infektionsvektor sei in diesem Fall eine dem Internet zugewandte Instanz des Webservers „ZOHO ManageEngine ADSelfService Plus“, welche über eine bekannte, nicht gepatchte, häufig genutzte Schwachstelle (CVE-2021-40539) ausgenutzt worden sei. „Dies ermöglichte es den Akteuren, die Sicherheitsauthentifizierung zu umgehen und manuell einen beliebigen Code auszuführen.“ Nachdem sich die Kriminellen Zugriff verschafft hatten, setzten sie laut Bitdefender eine Web-Shell in einem Verzeichnis ein, auf das sie über das Internet zugreifen konnten, und nutzten sie, um aus der Ferne auf einen Webserver zuzugreifen.

Für den Angriff sei ein riesiges Netzwerk mit mehreren hundert IP-Adressen (die meisten davon aus China) verwendet worden. Es seien zwar Sicherheitswarnungen generiert worden – der „raffinierte Angriff“ sei jedoch mit manuellen Befehlen erfolgt und daher unentdeckt geblieben.

Sicherheitslücken 2021 verdoppelt: Bitdefender sieht sich fortsetzenden Trend

Der in diesem Fall beschriebene Angriff decke sich mit den Ergebnissen des jüngsten „Data Breach Investigations Report 2022“, wonach sich die Zahl der Sicherheitsverletzungen – durch Ausnutzung von Sicherheitslücken verursacht – im vergangenen Jahr, 2021, verdoppelt habe. Bitdefender geht davon aus, „dass sich dieser Trend fortsetzen wird“. Angreifer konzentrierten sich vermehrt eher auf eine Verletzung der Vertraulichkeit (Datenexfiltration) als auf eine Verletzung der Verfügbarkeit (Einsatz von Ransomware). Unternehmen jeder Größe, „die als wertvolles Ziel oder als Weg zu einem größeren Ziel angesehen werden“, seien somit gefährdet.

„Unternehmen jeder Art und Größe müssen über eine mehrschichtige Sicherheit verfügen, die Funktionen zur Vorbeugung, Erkennung und Reaktion auf Bedrohungen umfasst. In diesem Fall geschah der Angriff über eine bekannte Webserver-Sicherheitslücke und wandte dann ausgeklügelte manuelle Techniken zur Kompromittierung von Endpunkten und zur Datenexfiltration an“, berichtet Bob Botezatu, „Director, Threat Research“ bei Bitdefender. Er führt aus: „Dies ist ein hervorragendes Beispiel dafür, warum die Nutzung von Diensten für ,Managed Detection and Response’ in der heutigen Bedrohungslandschaft unerlässlich ist. Unabhängig davon, wie groß oder klein ein Unternehmen ist.“

Weitere Informationen zum Thema:

Bitdefender
WHITEPAPER / Security Hiding in the Shadows: Investigation of a Corporate Espionage Attack

Verizon
Data Breach Investigations Report 2022

[datensicherheit.de, 14.07.2022] IT-Sicherheitsexperten von Proofpoint konnten nach eigenen Angaben beobachten, wie verschiedene staatlich unterstützte Hacker-Gruppen Journalisten ins Visier nehmen, um Spionage zu betreiben, Malware zu verbreiten und Netzwerke von Medienorganisationen zu infiltrieren.

Journalisten und Medienorganisationen attraktive Ziele für Cyber-Kriminelle

Journalisten und Medienorganisationen sind demnach attraktive Ziele für Cyber-Kriminelle. Proofpoint-Forscher hätten beobachtet, „dass APT-Cyber-Kriminelle, insbesondere solche, die von einem Staat gesponsert werden oder mit einem Staat verbunden sind, sich routinemäßig als Journalisten oder Medienorganisationen ausgeben oder diese ins Visier nehmen“.

Der Mediensektor und die dort tätigen Personen könnten Türen öffnen, die anderen verschlossen bleiben. „Ein gut getimter, erfolgreicher Angriff auf das E-Mail-Konto eines Journalisten kann Einblicke in sensible, (noch) unveröffentlichte Geschichten und die Identifizierung von Quellen liefern.“

Phishing-Angriffe auf Journalisten oft für Spionagezwecke

Ein kompromittiertes Konto könne dazu verwendet werden, Desinformationen oder staatsfreundliche Propaganda zu verbreiten, Desinformationen in Kriegs- oder Pandemiezeiten zu liefern oder eine politisch aufgeladene Atmosphäre zu beeinflussen.

„Am häufigsten werden Phishing-Angriffe, die auf Journalisten abzielen, für Spionagezwecke genutzt oder um wichtige Einblicke in das Innenleben einer anderen Regierung, eines Unternehmens oder eines anderen Bereichs von staatlicher Bedeutung zu erlangen.“

Weltweite Versuche, Journalisten und Medienpersönlichkeiten anzugreifen oder auszunutzen

Die von Proofpoint seit Anfang 2021 untersuchten Daten zeigten, dass Cyber-Kriminelle weltweit versuchten, Journalisten und Medienpersönlichkeiten in einer Vielzahl von Kampagnen anzugreifen oder auszunutzen, „darunter auch solche, die auf sensible politische Ereignisse in den Vereinigten Staaten abgestimmt sind“.

Einige Kampagnen zielten auf Medien ab, um einen nachrichtendienstlichen Wettbewerbsvorteil zu erlangen, wiederum andere auf Journalisten, welche mit ihrer Berichterstattung ein Regime in ein schlechtes Licht rückten, oder verbreiteten Desinformationen. In ihrem Bericht konzentrierten sich die Proofpoint-Experten auf die Aktivitäten einer Handvoll APT-Akteure (Advanced Persistent Threats), welche nach ihrer Einschätzung mit den staatlichen Interessen Chinas, Nordkoreas, des Irans und der Türkei verbunden seien.

Einige der wesentlichen Ergebnisse der Proofpoint-Untersuchung zu Angriffen auf Journalisten und Medien:

• Medienschaffende seien ein attraktives Ziel, weil sie exklusiven Zugriff auf Informationen und Einblicke in Themen hätten, welche potenziell die Staatssicherheit beeinträchtigen könnten.
• APT-Akteure nähmen regelmäßig Journalisten und Medienorganisationen ins Visier oder gäben sich als solche aus, um ihre staatlich unterstützten Kampagnen voranzubringen.
• Die identifizierten Kampagnen setzten eine Vielzahl von Techniken ein, von der Nutzung von „Web Beacons“ bis hin zum Versand von Malware, um einen ersten Zugang zum Netzwerk der Zielperson oder -organisation zu erhalten.
• Der Fokus von APTs auf die Medien werde wahrscheinlich niemals nachlassen, weshalb es für Journalisten wichtig sei, sich selbst, ihre Quellen und die Integrität ihrer Informationen zu schützen.
• Von China, Nordkorea, dem Iran und der Türkei unterstützte APT-Gruppen hätten es auf die beruflichen E-Mails und Social-Media-Konten von Journalisten abgesehen, um an sensible Informationen zu gelangen und sich weiteren Zugang zu deren Organisationen zu verschaffen.
• Verschiedene mit dem Iran verbündete Cyber-Kriminelle wie „Charming Kitten“ (TA453) und „Tortoiseshell“ (TA456) hätten sich als Journalisten von Publikationen wie „The Guardian“, „The Sun“, „Fox News“ und „The Metro“ ausgegeben. Die Angriffe richteten sich auf Akademiker und Außenpolitikexperten weltweit, um Zugang zu sensiblen Informationen zu erhalten.
• Die mit China verbündete Gruppe „TA412“ habe ihre Aktivitäten nur wenige Tage vor dem Angriff auf das US-Kapitol am 6. Januar 2021 verstärkt. „Proofpoint-Forscher beobachteten in dieser Zeit eine Konzentration der Gruppe auf Washington D.C. und Korrespondenten des Weißen Hauses.“ Dieselbe Gruppe habe Anfang 2022 ihre Angriffe wieder aufgenommen und sich auf Reporter konzentriert, „die über das Engagement der USA und Europas im Krieg Russlands gegen die Ukraine berichten“.
• Die nordkoreanische „Lazarus“-Gruppe (TA404) habe ein auf Stellenangebote bezogenes US-Medienunternehmen mit einer Phishing-Kampagne angegriffen. „Dieser Angriff erfolgte, nachdem die Organisation einen Artikel veröffentlicht hatte, in dem der nordkoreanische Führer Kim Jong Un kritisiert wurde – ein bekanntes Motiv für Aktionen von mit Nordkorea verbündeten APT-Akteuren.“
• Mit dem türkischen Staat verbündete Cyber-Kriminelle hätten ihre Bemühungen darauf konzentriert, sich Zugang zu den Social-Media-Konten von Journalisten zu verschaffen – „wahrscheinlich mit dem Ziel, Pro-Erdogan-Propaganda zu verbreiten und weitere Kontakte zu knüpfen“.

Weitere Informationen zum Thema:

proofpoint, 14.07.2022
Above the Fold and in Your Inbox: Tracing State-Aligned Activity Targeting Journalists, Media

[datensicherheit.de, 08.09.2021] Malwarebytes berichtet in einer aktuellen Stellungnahme, dass „wer bereits eine gesunde Skepsis hegt, dass der Datenschutz bei der Smartphone-Nutzung zu wünschen übrig lässt“, durch den zufälligen Fund des Malwarebytes-Sicherheitsexperten Pieter Arntz bestätigt werde.

Laut Malwarebytes wurde Arntz über Aufenthaltsorte seiner Frau auf dem Laufenden gehalten

Arntz musste demnach nämlich feststellen, dass er den Aufenthaltsort seiner Frau ausspionieren konnte – ohne Spionage-Tool, völlig kostenlos. Übeltäter sei hierbei das Google-Account gewesen. Er habe auf dem „Android“-Smartphone seiner Frau eine App installiert und sich zu diesem Zweck auf dem Gerät in seinem Google-Account eingeloggt:
„In der Folge hielt ihn sein eigenes ,Android‘-Smartphone über die Aufenthaltsorte seiner Frau auf dem Laufenden. Einziger Hinweis für seine Frau auf die ungewollte Überwachung war das Profilbild seines angemeldeten Kontos, wenn sie die ,Google Play‘-App verwendete.“ Selbst nach dem Ausloggen aus „Google Play“ am Smartphone seiner Frau habe er weiterhin regelmäßig Updates über ihren Standort erhalten.
Nach weiterem Nachforschen habe er herausgefunden, dass sein „Google Account“ jedes Mal zu den Smartphone-Accounts seiner Frau hinzugefügt werde, wenn er sich im „Google Play Store“ einloggt, „aber nicht entfernt wird, wenn er sich wieder ausloggt“.

Malwarebytes Gründungsmitglied der Koalition gegen Stalkerware

Malwarebytes ist nach eigenen Angaben eines der Gründungsmitglieder der Koalition gegen Stalkerware (CAS) – mit dem Ziel, Menschen vor Spionage zu schützen.
Malware-Scanner seien jedoch darauf beschränkt, Anwendungen zu finden, welche „den Benutzer ausspionieren und die Informationen an andere Stellen weiterleiten“. Dies treffe in diesem Fall nicht zu, denn es handele sich hierbei nicht um eine Form von Stalkerware, und es werde auch nicht versucht, die Zustimmung des Benutzers zu umgehen. „Vielmehr ist es ein Fehler im Design.“
Eva Galperin, Direktorin für Cyber-Sicherheit der Electronic Frontier Foundation und auch Gründungsmitglied der CAS, findet, dass dieser Fehler zeige, warum es für Technologieentwickler so wichtig sein müsse, Situationen häuslicher Gewalt bei der Produktentwicklung zu berücksichtigen. Der Begriff „Tech-enabled abuse“ habe sich zu der Problematik bereits etabliert.

Malwarebytes empfiehlt Löschung fremden Google-Kontos vom Smartphone

„Die Sicherheitslücke macht deutlich, wie wichtig Qualitätssicherung und Benutzertests sind, die auch Situationen häuslichen Missbrauchs berücksichtigen und die Weitergabe von Standortdaten ernst nehmen“, betont Galperin und führt weiter aus: „Eine der gefährlichsten Situationen bei häuslicher Gewalt ist die Zeit, in der das Opfer versucht, ihr digitales Leben von dem des Täters zu trennen. Das ist eine Zeit, in der die Daten des Opfers besonders anfällig für diese Art von Fehlkonfigurationen sind, und die möglichen Folgen sind sehr ernst.“
Google habe das Problem bisher nicht als Fehler deklariert. „Darum besteht aktuell die einzige Möglichkeit, sich zu schützen, in der Überprüfung, welche Konten auf einem Smartphone hinzugefügt wurden.“ Bisher sei nicht eindeutig, ob es auch andere Apps gebe, „die mit dem Google-Konto und nicht mit dem Smartphone verknüpft sind“. Auch diese Apps könnten andere Personen als der Besitzer dazu nutzen, Informationen abzufragen.
Unter „Einstellungen > Konten und Backups > Konten verwalten“ werde das Google-Konto aufgelistet. Nach dem Klick auf das zu entfernende Konto werde die entsprechende Option angezeigt. „Nachdem Arntz sein Google-Konto vom Smartphone seiner Frau entfernte, wurden auch die Standortdaten nicht mehr geteilt.“

Weitere Informationen zum Thema:

datensicherheit.de, 29.07.2021
Манифест.docx – Malwarebytes warnt vor neuer Cyber-Doppel-Attacke

Malwarebytes LABS, Pieter Arntz, 01.09.2021
Google Play sign-ins can be abused to track another person’s movements

AV-TEST Institut untersuchte Security-Apps gegen Stalkerware

[datensicherheit.de, 20.07.2021] Laut einer aktuellen Stellungnahme von AV-TEST bieten immer mehr „dubiose Apps“ ihre Dienste für „Spionage oder Stalking“ an, um Unwissende, Bekannte oder (Ex)Partner heimlich zu überwachen. Die gute Nachricht: „Mit einer guten Sicherheits-App für ,Android‘ entlarvt man auch diese perfiden Angreifer.“

Abbildung: AV-TEST Institut

Ergebnis der Überprüfung des Labors von AV-TEST, was Security-Apps leisten

Nachfrage nach spionierender Stalkerware hoch

Der Markt für „Android“-Apps, mit denen sich Geräte heimlich überwachen, verfolgen und ausspionieren lassen, wachsw stetig. Die Nachfrage nach sogenannten spionierenden Stalker-Apps sei hoch, da sich damit „Android“-Geräte, wie Smartphones oder Tablets überwachen ließen.

Einmal installiert, versteckt sich die Stalkerware oder tarnt sich

Das Perfide dabei: „Einmal installiert, versteckt sich die Überwachungs-Software auf dem Gerät oder tarnt sich manchmal als harmlose Service- oder Spiele-App.“ Die Möglichkeiten dieser Apps auf dem Gerät seien groß, da sie oft im Administratormodus arbeiteten und somit die höchsten Rechte auf einem Gerät hätten.

AV-TEST hat überprüft, was Security-Apps gegen Stalkerware leisten

„Wer sich unsicher ist und sich überwacht fühlt, kann sich selbst helfen.“ Eine gute Security-App erkenne die Überwachungs-Apps zum Spionieren oder Stalken. Das Labor von AV-TEST hat nach eigenen Angaben überprüft, was diese Security-Apps leisten und die Erkenntnisse in einem aktuellen Blog-Artikel publiziert – Übersicht über die Inhalte dieses Beitrags:

• Im Labor enttarnt: Stalkerware zur Spionage
• Sind spionierende Stalkerware-Apps erlaubt?
• Wie bemerkt man spionierende Stalkerware?
• Gefundene Stalkerware einfach löschen?
• Untersuchungen von Stalkerware
• Technische Tipps zum Überprüfen eines Android-Geräts auf Stalkerware

Weitere Informationen zum Thema:

AVTEST, 20.07.2021
Abgewehrt: Stalkerware zur Spionage unter Android

datensicherheit.de, 22.04.2021
Spy- und Stalkerware: Nutzung im Lockdown mehr als verdoppelt / Avast macht auf wachsende Bedrohung durch Stalkerware aufmerksam und gibt Betroffenen Tipps

datensicherheit.de, 19.11.2019
Koalition gegen Stalkerware als globale Initiative gestartet / Opferschutzorganisationen schließen sich mit IT-Sicherheitsunternehmen zusammen

[datensicherheit.de, 09.12.2020] Cybereason hat nach eigenen Angaben eine aktive Spionage-Aktion identifiziert, die demnach drei bislang unbekannte Malware-Varianten einsetzt. Die aktuell aufgedeckte Operation nutze „facebook“, „Dropbox“, „Google Docs“ und „Simplenote“, um über einen Command-and-Control-Server direkten Zugriff auf die Computer der Opfer zu erlangen und vertrauliche Daten abzuziehen.

Neue Malware idenifiziert: Backdoors SharpStage und Dropbook sowie Downloader MoleNet

Cybereason führt die Spionagekampagne auf „Molerats“ (auch als „The Gaza Cybergang“ bekannt) zurück: Eine arabisch-sprachige, politisch motivierte APT-Gruppe (Advanced Persistent Threat), die seit 2012 im Nahen Osten aktiv sei. Anfang 2020 hätten Cybereason-Forscher bereits über die Entdeckung der zuvor unbekannten „Spark“- und „Pierogi“-Hintertüren berichtet, welche als Teil eines gezielten Angriffs von „Molerats“ auf palästinensische Beamte gewertet worden sei.
Die jüngste Aktion setze zwei bislang unbekannte Backdoors namens „SharpStage“ und „Dropbook“ sowie einen Downloader namens „MoleNet“ ein. Diese Kampagne nutze Phishing-Dokumente, welche verschiedene Themen im Zusammenhang mit aktuellen Ereignissen im Nahen Osten behandele – darunter ein angeblich geheimes Treffen zwischen seiner Königlichen Hoheit Mohammed bin Salman, Kronprinz von Saudi-Arabien, dem US-Außenminister, Mike Pompeo, und dem israelischen Premierminister, Benjamin Netanjahu.

Wichtigste Cybereason-Erkenntnisse zu neuen Malware-Varianten:

• Neue Spionage-Tools entwickelt von „Molerats“
  Cybereason habe mit „SharpStage“ und „DropBook“ zwei neuen Backdoors sowie den „MoleNet“-Downloader identifiziert. Diese ermöglichten es den Angreifern, beliebigen Code auszuführen und vertrauliche Daten auf infizierten Computern zu sammeln und abzuziehen.
• Missbrauch von „facebook“, „Google Docs“, „Dropbox“ und „Simplenote“
  Die neuentdeckte „DropBook“-Backdoor verwende gefälschte „facebook“-Konten oder „Simplenote“ zur Steuerung und Kontrolle anderer Server. Demgegenüber missbrauchten „SharpStage“ und „DropBook“ einen „Dropbox“-Kunden, um gestohlene Daten zu übertragen und ihre Spionage-Tools zu speichern.
• Politische Phishing-Themen
  E-Mails, mit denen die Opfer angelockt worden seien, hätten sich unter anderem mit den israelisch-saudischen Beziehungen, den Hamas-Wahlen, mit Nachrichten zu palästinensischen Politikern und anderen regionalen Ereignissen beschäftigt (darunter ein geheimes Treffen zwischen dem Kronprinzen von Saudi-Arabien, dem US-Außenminister und dem israelischen Premierminister).
• Verbindungen zu früheren Nahost-Kampagnen
  Die neuentdeckten, schon in der Vergangenheit „Molerats“ zugeschriebenen Backdoors seien in Verbindung mit der „Spark“-Backdoor verwendet worden. Die Angreifer hätten diese neuen Spionage-Tools auch genutzt, um zusätzliche Payloads herunterzuladen: Darunter die berüchtigte, zuvor von „Molerats“ verwendete „Open-Source-Quasar RAT“.
• Auf den gesamten Nahen Osten ausgerichtet
  Der Angriff sei hauptsächlich in den Palästinensischen Gebieten, den Vereinigten Arabischen Emiraten, Ägypten und der Türkei beobachtet worden. Angesichts der Art der Phishing-Inhalte gehe Cybereason davon aus, „dass die Zielgruppe aus hochrangigen politischen Persönlichkeiten und Regierungsbeamten im Nahen Osten besteht“.

Politisch brisante Ereignisse als Aufhänger für Malware-Infektionen und Phishing-Kampagnen

„Wenig überraschend ist, wie Bedrohungsakteure politisch brisante Ereignisse ausnutzen, um ihre Phishing-Kampagnen anzuheizen. Aber es ist besorgniserregend, dass Soziale Medien zunehmend für Command-and-Control-Anweisungen und andere legitime Cloud-Dienste für Data-Extrusion-Aktivitäten missbraucht werden“, so Lior Div, Mitgründer und „CEO“ von Cybereason.
Für die Seite der Verteidiger bedeute dies, in Bezug auf potenziell schädlichen Netzwerkverkehr in Verbindung mit legitimen Services besonders achtsam zu sein. Verschleierte Angriffe dieser Art ließen sich ohne den nötigen Kontext nicht erkennen. Deshalb versetze Cybereason Sicherheitsexperten in die Lage, betriebs-zentriert anstatt alarm-zentriert zu arbeiten. Div: „Das erlaubt, Beziehungen zwischen scheinbar beziehungslosen Vorkommnissen im Netzwerk und darüber hinaus herzustellen.“

Weitere Informationen zum Thema:

datensicherheit.de, 04.10.2019
Ransomware-Attacken: FBI gibt seltene Warnung heraus

cybereason, 09.12.2020
New Malware Arsenal Abusing Cloud Platforms in Middle East Espionage Campaign

[datensicherheit.de, 14.08.2020] Mithilfe ihrer „Kaspersky Threat Attribution Engine“ konnten nach eigenen Angaben kaspersky-Forscher „mehr als 300 Samples der Backdoor ,Bisonal‘ mit einer Kampagne der Cyber-Spionage-Gruppe ,CactusPete‘ in Verbindung bringen“. Diese jüngste Kampagne der „APT-Gruppe“ (APT: Advanced Persistent Threat) konzentriert sich demnach auf militärische und finanzielle Ziele in Osteuropa. Wie die verwendete „Backdoor“ auf die Geräte der Opfer kommt, sei noch unklar. Bei „CactusPete“, auch bekannt als „Karma Panda“ oder „Tonto Teaь“, handele es sich um eine Cyber-Spionage-Gruppe, die seit mindestens 2012 aktiv sei. Ihre derzeit eingesetzte „Backdoor“ habe Vertreter des Militär- und Finanzsektors in Osteuropa im Visier, um wahrscheinlich Zugang zu vertraulichen Informationen zu erhalten.

Jüngste CactusPete-Aktivitäten von kaspersky-Forschern erstmals im Februar 2020 bemerkt

Diese jüngsten Aktivitäten der Gruppe sei von kaspersky-Forschern erstmals im Februar 2020 bemerkt worden, als sie eine aktualisierte Version der „Bisonal-Backdoor“ entdeckt hätten. Mithilfe der „Kaspersky Threat Attribution Engine“ – einem Analyse-Tool, um Ähnlichkeiten in Schadcodes von bekannten Bedrohungsakteuren zu finden – habe die „Backdoor“ mit mehr als 300 weiteren, „in the wild“ gefundenen Samples in Verbindung gebracht werden können.
Alle Samples seien zwischen März 2019 und April 2020 entdeckt worden, etwa 20 Samples pro Monat. Das lasse darauf schließen, dass sich „CactusPete“ schnell entwickele. So habe die Gruppe auch ihre Fähigkeiten weiter verfeinert und sich dieses Jahr, 2020, Zugang zu komplexerem Code wie „ShadowPad“ verschafft.

CactusPete offenbar auf der Suche nach hochsensiblen Informationen

„Die Funktionalität des schädlichen Payloads lässt darauf schließen, dass die Gruppe auf der Suche nach hochsensiblen Informationen ist.“ Nach der „Backdoor“-Installation auf dem Gerät des Opfers könne die Gruppe über „Bisonal“ verschiedene Programme unbemerkt starten, Prozesse beenden, Dateien hochladen, herunterladen oder löschen und eine Liste der verfügbaren Laufwerke abrufen.
Sobald die Angreifer tiefer in das infizierte System vorgedrungen sind, komme ein Keylogger zum Einsatz, um Anmeldeinformationen zu sammeln und Malware herunterzuladen, die Berechtigungen und somit schrittweise mehr Kontrolle über das System ermögliche.

In der Vergangenheit setzte CactusPete überwiegend auf Spear-Phishing-Mails

Es sei noch unklar, wie die „Backdoor“ in dieser Kampagne auf das Gerät gelangt. In der Vergangenheit habe „CactusPete“ jedoch überwiegend auf Spear-Phishing-Mails gesetzt, die schädliche Anhänge enthielten, um Geräte zu infizieren.
„,CactusPete‘ ist eine interessante APT-Gruppe, weil sie eigentlich nicht so fortgeschritten ist, auch nicht ihre ,Bisonal-Backdoor‘“, berichtet Konstantin Zykov, Sicherheitsexperte bei kaspersky.

CactusPete nutzt erfolgreich Social Engineering

Ihr Erfolg beruht nicht auf komplexer Technologie oder ausgeklügelten Verteilungs- und Verschleierungstaktiken, sondern auf erfolgreichem „Social Engineering“, erläutert Zykov: „Sie schaffen es, hochrangige Ziele zu infizieren, indem ihre Opfer schädliche Anhänge in Phishing-Mails öffnen.“
Dies sei ein gutes Beispiel dafür, warum Phishing weiterhin eine so effektive Methode zum Starten von Cyber-Angriffen sei und „warum es für Unternehmen so wichtig ist, ihre Mitarbeiter darin zu schulen, wie sie solche E-Mails erkennen und wie sie mittels ,Threat Intelligence‘ über die neueste Bedrohung auf dem Laufenden bleiben können“.

kaspersky-Empfehlungen zum Schutz vor APT-Gruppen wie z.B. CactusPete:

•  Das Team des „Security Operations Center“ (SOC) sollte stets Zugriff auf die neuesten Bedrohungsinformationen haben, um über neue und zukünftige Tools, Techniken und Taktiken, die von Bedrohungsakteuren und Cyber-Kriminellen verwendet werden, auf dem Laufenden zu bleiben.
• Unternehmen sollten eine EDR-Lösung (wie z.B. „Kaspersky Endpoint Detection and Response“) implementieren, um Vorfälle rechtzeitig erkennen, untersuchen und darauf reagieren zu können.
• Mitarbeiter sollten regelmäßig zum Thema Cyber-Sicherheit geschult werden, da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken begännen. Simulierte Phishing-Angriff könnten dabei helfen, die Mitarbeiter zu testen, zu trainieren und auf das Vorgehen von Cyber-Kriminellen aufmerksam zu machen.
•  Etwa mit der „Kaspersky Threat Attribution Engine“ (als ein Beispiel) könnten schädliche Samples schnell mit bekannten Angriffsakteuren verknüpft werden.

Weitere Informationen zum Thema:

kaspersky SECURELIST, Konstantin Zykov, 13.08.2020
CactusPete APT group’s updated Bisonal backdoor / The backdoor was used to target financial and military organizations in Eastern Europe

kaspersky SECURELIST, GreAT, 29.07.2020
APT trends report Q2 2020

datensicherheit.de, 09.07.2020
kaspersky: Neues Geschäftsmodell von Cyber-Kriminellen

PSW GROUP gibt Tipps zu sinnvollem Schutz vor Spionage-Software

[datensicherheit.de, 09.07.2020] Die Verwendung von Spyware gewinnt an Bedeutung – um an Daten und Informationen von Unternehmen zu gelangen, wenden Cyber-Kriminelle offensichtlich nicht nur reines Hacking an, sondern betreiben auch Cyber-Spionage. Das gelingt laut der PSW GROUP „recht simpel durch sogenannte Spyware, die auf dem Rechner installiert wird“. Wer ungewöhnliche Nachrichten, beispielsweise über Soziale Netzwerke, per E-Mail, Messenger oder per SMS erhält, könnte schon Opfer einer Spyware geworden sein.

Foto: PSW GROUP

Patrycja Tulinska: In aller Regel bleibt Spyware verborgen

Spyware oder Stalkerware kommt zunehmend im Privatbereich zum Einsatz

„Tatsächlich existieren sogenannte legale Spyware-Apps, auch als Stalker- oder Spouseware bezeichnet, die installiert werden können, um andere auszuspionieren. In aller Regel bleiben spionierende Apps und Software verborgen. Der cyber-kriminelle Täter wird mit Informationen sowie Daten, beispielsweise Standortdaten, Browserverlauf, SMS oder Social-Media-Chats, versorgt“, so Patrycja Tulinska, Geschäftsführerin der PSW GROUP.
Der IT-Sicherheitsexpertin bereitet die steigende Beliebtheit von Spionage und Überwachung, sowohl im Unternehmens- als auch im Privaten Bereich, Sorge: „Spy- oder Stalkerware findet zunehmend im Privatbereich Einsatz – jedoch darf man hier durchaus von technologischem Missbrauch sprechen, der ethisch mehr als bedenklich erscheint.“

Auch Unternehmen sehen sich vielfach Spyware ausgesetzt

Die Sicherheitsrisiken, die solche Stalkerware mit sich bringt, sollte nicht nur die Opfer, sondern auch die Täter sehr beunruhigen, könnten solche Apps doch die Daten der Opfer gefährden und den Geräteschutz aushebeln. Tulinska: „Letzteres würde Tür und Tor auch für andere Schadsoftware öffnen.“ Apps dieser Art würden oft recht schamlos als Geheimwaffe für besorgte Eltern beworben, die die Aktivitäten ihrer Kinder zu ihrem eigenen Schutz überwachen sollten. Dass solche Apps oft missbraucht werden, sei eine wenig überraschende Erkenntnis: Stalkerware befasse sich schließlich mit dem Digitalleben seiner Opfer.
„Eine unschöne Entwicklung des gesellschaftlichen Miteinanders, jedoch ist der Privatbereich nur einer, den es treffen kann. Denn auch Unternehmen sehen sich vielfach Spyware ausgesetzt, die dafür genutzt wird, Unternehmensgeheimnisse preiszugeben oder sonstige Informationen für eigene Zwecke zu missbrauchen.“ Industriespionage und Erpressung seien reale Gefahren, die jedes Unternehmen treffen könnten. Tatsächlich seien sogar Klein- und Mittelständische Unternehmen (KMU) häufige Opfer: „Sie denken zum einen nicht daran, dass sie überhaupt Opfer werden könnten. Zum anderen sind die Möglichkeiten solcher Unternehmen in finanzieller oder personeller Hinsicht begrenzt, so dass IT-Sicherheit zuweilen eher halbherzig angegangen wird“, berichtet Tulinska.

Nicht immer lässt sich ein Angriff mit Spyware zweifelsfrei feststellen

Wie groß die Gefahr tatsächlich ist, Spyware zum Opfer zu fallen, habe der Branchenverband Bitkom im Jahr 2019 durch eine anonyme und bundesweit durchgeführte Umfrage herausgefunden: „Der Studienbericht ,Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt‘ zeigt deutlich, dass 75 Prozent der Unternehmen in den vergangenen zwei Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen waren. Weitere 13 Prozent waren vermutlich betroffen – denn nicht immer lässt sich ein Angriff zweifelsfrei feststellen.“ Somit sei fast die gesamte Industrie von Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen oder vermutlich betroffen – mit hoher Wahrscheinlichkeit lägen die tatsächlichen Zahlen noch höher, denn nicht jeder Cyber-Angriff werde auch bemerkt.
Spyware könne es auf PCs, Server oder Notebooks absehen, oder in die Lage versetzen, Video- und Sprachaufnahmen aufzuzeichnen. Aber auch auf Mobilgeräte wie Smartphones und Tablets. Spyware sei keine Malware im eigentlichen Sinne und sie versuche auch nicht, sich selbst zu verbreiten, wie es Viren täten. Jedoch könnten Viren eingesetzt werden, um die Spyware auf das Zielsystem zu bringen. „Leider gibt es keinen absolut wirksamen und 100-prozentigen Schutz gegen Spy- und Stalkerware. Wer jedoch ein paar Tipps beherzigt, kann sich recht gut schützen“, betont Tulinska.

Getarnte Spyware: Werbeanzeigen oder Links nur mit Bedacht anklicken!

„Die Antiviren-Software auf jedem Endgerät sollte immer aktuell sein und regelmäßige Scans schaffen eine gute Basis, dass Spy- oder Stalkerware auch aufgespürt werden. E-Mail-Anhänge oder Datei-Downloads sollten zudem nur aus bekannten und vertrauenswürdigen Quellen geöffnet werden.“ Gleiches gelte im Übrigen auch für kostenfreie Software: „Vor Installation kann ich nur dringend empfehlen, Herkunft und Funktion zu prüfen.“ Wer im Web surft, sollte Werbeanzeigen oder Links nur mit Bedacht anklicken – „Finger weg, sobald etwas fragwürdig erscheint“.
Wer vermutet, dass sein Smartphone kompromittiert sein könnte, sollte dringend den PIN und die Passwörter für alle möglichen Online-Accounts, einschließlich E-Mail und Soziale Netzwerke ändern, rät Tulinska. Updates und Patches sollten bei Verdachtsfällen dann stets von sicheren Geräten ausgeführt werden, niemals von Geräten, die verdächtig erscheinen. Ein Hinweis einer Kompromittierung könne es sein, wenn sich die Geräteeinstellungen ohne Zutun des Eigentümers ändern. Vorsicht sei auch geboten, wenn das Smartphone vorher verlorenging. Wurden Anwendungen aus anderen Quellen als den offiziellen App-Stores von Google und Apple geladen, könne dies ein Hinweis auf unerwünschte Stalkerware sein.

Spyware kann von Hackern auch in Bildern eingeschleust werden

„Für Unternehmen gilt, dass strengere Zugriffskontrollen auf unternehmenseigenen Geräten, aber auch Richtlinien zum Verwenden von Endbenutzergeräten implementiert werden müssen. Gerootete Geräte und jene mit ,Jailbreak‘ sollten aus dem unternehmenseigenen Netzwerk ausgeschlossen werden. Stalkerware könnte nämlich dafür sorgen, dass die sensiblen Unternehmensdaten in die falschen Hände geraten“, unterstreicht Tulinska.
Umso wichtiger sei Aufklärung: Ist der Ursprung einer Nachricht unbekannt, sollten weder Links angeklickt, noch Anhänge geöffnet werden. Oft handele es sich um Phishing-Versuche, die darauf abzielten, an Informationen zu kommen. Spyware könne von Hackern auch in Bildern oder GIFs eingeschleust werden. Gerne würden süße Bildchen oder lustige Memos verschickt – „der Virus befindet sich dann als verschlüsselter Code in der Datei“. Öffnet der Empfänger den Anhang, werde die Spyware installiert und setze sich auf dem Gerät fest, warnt Tulinska.

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 23.06.2020
Bedrohungslage / Cyberspionage: Gefahren durch Spionage-Software

bitkom
Studie / Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt

datensicherheit.de, 05.05.2019
Scranos: Spyware wird zum Global Player / Unternehmen müssen ihr Sicherheitsniveau verbessern, um der Gefahr ausgeklügelter APTs zu begegnen (Gastautor Liviu Arsene, Bitdefender)