[datensicherheit.de, 30.10.2024] Kaspersky warnt in einer aktuellen Stellungnahme vor einer Malware-Kampagne, welche sich demnach gegen sogenannte FinTech-Nutzer richtet. Auch in Deutschland und Österreich gebe es Betroffene – vorwiegend kleine und mittlere Unternehmen (KMU), Finanz- und FinTech-Akteure sowie Anwaltskanzleien. Der für die Attacken genutzte Remote-Access-Trojaner sei vermutlich dem APT-Akteur „DeathStalker“ zuzurechnen.

Laut Kaspersky-Telemetrie richtet sich globale Malware-Kampagne gegen Nutzer in 20 Ländern

Kaspersky habe eine weltweite Spionage-Kampagne entdeckt, welche sich gegen die FinTech- und Trading-Branche richte – betroffen seien sowohl Unternehmen als auch Einzelpersonen: „Dabei nutzen die Bedrohungsakteure ,Telegram’-Kanäle mit Finanzthemen zur Verbreitung einer Trojaner-Spyware. Das ,Global Research and Analysis Team’ von Kaspersky (GReAT) vermutet hinter der Kampagne den Hack-for-Hire-APT-Akteur ,DeathStalker’, der bereits öfters in Erscheinung trat und sich auf die Finanzbranche spezialisiert hat.“

Laut Kaspersky-Telemetrie richtet sich die globale Kampagne gegen Nutzer in 20 Ländern, darunter in Europa auch Deutschland und Österreich. „Bei der jüngsten von Kaspersky beobachteten Angriffswelle versuchten die Bedrohungsakteure, ihre Opfer mit der Malware ,DarkMe’ über ,Telegram’-Kanäle, die sich mit Finanzthemen beschäftigen, zu infizieren.“ Bei „DarkMe“ handele es sich um einen Remote-Access-Trojaner (RAT), der Informationen stehlen und Remote-Befehle ausführen könne, welche von einem unter Täter-Kontrolle stehenden Server stammten.

Die Installation dieser Malware sei das Ende einer Infektionskette, welche höchstwahrscheinlich mit schädlichen LNK-, COM- und CMD-Dateien erfolge. Sie seien in ein Dateiarchiv verpackt – wie zum Beispiel RAR oder ZIP –, welches wiederum Anhang eines „Telegram“-Posts der Angreifer sei. Nach erfolgreicher Installation entferne die Malware die zur Bereitstellung des „DarkMe“-Implantats benötigten Dateien, vergrößere dieses Implantat und lösche weitere Spuren, welche auf eine Malware-Infektion hindeuten könnten.

Kasperky-Experten: APT „DeathStalker“ vermutlich für Angriffe verantwortlich

Kasperky-Experten vermuten hinter diesen Cyber-Angriffen den Bedrohungsakteur „DeathStalker“ (früher „Deceptikons“): „Eine Cyber-Söldner- und Hack-for-Hire-Gruppe, die mindestens seit dem Jahr 2018, möglicherweise bereits seit 2012, aktiv ist. ,DeathStalker’ entwickelt eigene Toolsets und gilt als APT-Experte.“ Hauptziel sei das Sammeln von Unternehmens-, Finanz- und persönlichen Daten für die jeweiligen Auftraggeber, welche sich davon wohl Wettbewerbsvorteile versprächen.

„Angegriffen werden vorwiegend kleine und mittlere Unternehmen, Finanz- und FinTech-Akteure sowie Anwaltskanzleien und – vereinzelt – auch Regierungsstellen.“ Da noch nie ein Diebstahl von Geldern beobachtet worden sei, stufe Kaspersky „DeathStalker“ als eine nicht-staatliche Geheimorganisation ein, welche zudem großen Wert auf die Verschleierung ihrer Aktionen lege und gerne „unter falscher Flagge“ operiere.

„Anstelle von traditionellen Phishing-Methoden nutzen Bedrohungsakteure nun auch ,Telegram’-Kanäle zur Verbreitung ihrer Malware“, so Maher Yamout, „Lead Security Researcher“ im „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Bereits in früheren Kampagnen habe man beobachten können, dass Messaging-Plattformen wie „Skype“ als Infektionsvektoren dienten. Anders als bei Phishing-Websites vertrauten potenzielle Opfer dort eher den Absendern und öffneten schädliche Dateien. „Zudem löst das Herunterladen von Dateien über Messenger-Apps weniger Sicherheitswarnungen aus als ein normaler Internet-Download“, erläutert Yamout. Dies spiele den Bedrohungsakteuren zusätzlich in die Hände. Nutzer sollten daher bei Nachrichten und Links besonders wachsam sein – dies schließe auch Instant-Messaging-Apps wie „Skype“ und „Telegram“ ein.

Kaspersky-Empfehlungen zum Schutz vor „DarkMe“

Für Privatpersonen empfiehlt Kaspersky:

• die Installation einer vertrauenswürdigen Sicherheitslösung (wie z.B. „Kaspersky Premium“)
• und sich stets über aktuelle Cyber-Angriffe etwa mit Hilfe einschlägiger Blogs zu informieren.

Unternehmen empfiehlt Kaspersky folgende Maßnahmen zum Schutz vor fortgeschrittenen Bedrohungen:

• „Die unternehmenseigenen Sicherheitsexperten benötigen tiefgreifenden Einblick in alle Cyber-Bedrohungen, denen das Unternehmen ausgesetzt sein könnte.“ „Kaspersky Threat Intelligence“ beispielsweise vermittele umfassende und aussagekräftige Erkenntnisse im Kontext des Vorfallmanagements und solle dabei helfen, Cyber-Risiken rechtzeitig zu erkennen.
• Zusätzlich sollten Mitarbeiter über Cybersecurity-Kurse auf dem Laufenden gehalten werden. Kaspersky z.B. biete mit seinem „Kaspersky Expert Training Portfolio“ praxisorientierte Schulungsangebote für InfoSec-Experten an.
• „Kaspersky Next“ schließlich biete etwa Unternehmen jeder Größenordnung und Branche Echtzeitschutz, fortschrittliche Endpoint-Protection sowie umfassende EDR- und XDR-Technologien.

Weitere Informationen zum Thema:

kaspersky daily
Neueste Beiträge

Telegrams Beliebtheit bringt erhebliche Herausforderungen mit sich – insbesondere im Bereich der Cyber-Sicherheit

[datensicherheit.de, 27.09.2024] Der Nachrichtendienst „Telegram“ habe sich als eine Plattform herauskristallisiert, die im Spannungsfeld zwischen Datenschutz, Sicherheit und der Verantwortung von Technologie-Unternehmen stehe. „Von Anfang an hat sich ,Telegram’ von anderen Sozialen Netzwerken und Messaging-Apps unterschieden, da es Funktionen bietet, welche die Privatsphäre der Nutzer schützen und die Kommunikation im großen Stil ermöglichen“, so Lothar Geuenich, „VP Central-Europe“ bei Check Point, in seiner aktuellen Stellungnahme. Dazu gehörten Ende-zu-Ende-Verschlüsselung (in geheimen Chats), anonyme Konten und die Möglichkeit, Gruppen mit bis zu 200.000 Mitgliedern zu gründen, was „Telegram“ zu einer beliebten Wahl für Nutzer auf der ganzen Welt mache. Geuenich kommentiert: „Diese Beliebtheit bringt jedoch auch erhebliche Herausforderungen mit sich, insbesondere im Bereich der Cyber-Sicherheit.“

Foto: Check Point

Lothar Geuenich zu „Telegram“: Es ist, wie vieles in der IT-Sicherheit, eine Gratwanderung…

Auffälligster Aspekt bei „Telegram“ die starke Betonung des Datenschutzes

Einer der auffälligsten Aspekte von „Telegram“ sei die starke Betonung des Datenschutzes: Im Gegensatz zu vielen anderen Web-Plattformen ermögliche „Telegram“ seinen Nutzern, Gruppen beizutreten und zu kommunizieren, ohne ihre Telefonnummer preiszugeben, und biete damit ein Maß an Anonymität, welches in einer Zeit, in der sogenannte digitale Fußabdrücke immer genauer untersucht würden, sehr geschätzt werde.

„Dieser Fokus auf die Privatsphäre erstreckt sich zudem auf die Verschlüsselungspraktiken, mit einer Ende-zu-Ende-Verschlüsselung in geheimen Chats, die sicherstellt, dass die Nachrichten nur für die vorgesehenen Empfänger zugänglich sind.“ Darüber hinaus biete „Telegram“ mit seinem „MTProto“-Protokoll für Standard-Chats ein ausgewogenes Verhältnis zwischen Geschwindigkeit und Sicherheit – „was es zu einer bevorzugten Wahl für Nutzer macht, die sowohl Wert auf Leistung als auch auf Privatsphäre legen“.

„Telegram“ schafft jedoch Sicherheitslücken, welche von Cyber-Kriminellen ausgenutzt werden können

Die gleichen Funktionen indes, die „Telegram“ für datenschutzbewusste Nutzer attraktiv machten, schafften jedoch auch Sicherheitslücken, welche von Cyber-Kriminellen ausgenutzt werden könnten. Geuenich erläutert: „Die Möglichkeit, auf der Plattform anonym zu kommunizieren, und ihr relativ zurückhaltender Ansatz bei der Moderation von Inhalten haben sie zu einem Zufluchtsort für Personen gemacht, die in illegale Aktivitäten verwickelt sind. Von verbrecherischen Handelsaktivitäten bis hin zur Koordination von Cyber-Angriffen – die Infrastruktur von ,Telegram’ wurde teilweise dazu genutzt, Aktivitäten zu erleichtern, die das Gesetz verletzen.“ Dies habe bei Regierungen und Experten zu wachsender Besorgnis über das Missbrauchspotenzial geführt.

Die vor Kurzem erfolgte Verhaftung von Pawel Durov, „CEO“ von Telegram, aufgrund von Anschuldigungen im Zusammenhang mit der Nutzung der Plattform durch illegale Gruppen habe diese Probleme in den Vordergrund gerückt. Dieses Ereignis verdeutliche das anhaltende Bemühen, ein Gleichgewicht zwischen dem Schutz der Privatsphäre der Nutzer und der Notwendigkeit, illegale Aktivitäten im Internet zu verhindern und einzudämmen. Es werfe auch wichtige Fragen über die Verantwortung von Web-Plattformanbietern bei der Überwachung von Inhalten und Kommunikation in ihren Netzwerken auf: „Wie können Plattformen wie ,Telegram’ sicherstellen, dass sie in einer Zeit, in der digitale Privatsphäre immer wichtiger wird, nicht versehentlich kriminelles Verhalten begünstigen? Welche Rolle sollten Regierungen und Cyber-Sicherheitsunternehmen bei der Überwachung und Regulierung dieser Plattformen spielen?“

Aus der Perspektive der IT-Sicherheit stellt „Telegram“ eine besondere Herausforderung dar

Aus der Perspektive der IT-Sicherheit stelle „Telegram“ eine besondere Herausforderung dar: „Die verteilte Infrastruktur der Plattform, die sich über mehrere Länder erstreckt, macht es schwierig, sie zu blockieren oder abzuschalten, selbst in Ländern, in denen sie offiziell verboten ist.“ Diese Widerstandsfähigkeit gegen Zensur sei eine der Hauptstärken von „Telegram“, die es der Plattform ermögliche, auch in Regionen mit restriktiven Regierungen aktiv zu bleiben.

„Dies bedeutet jedoch auch, dass Strafverfolgungsbehörden bei der Überwachung und Unterbindung illegaler Aktivitäten auf der Plattform auf erhebliche Hindernisse stoßen“, so Geuenich. Die eingebaute Proxy-Unterstützung, welche es den Nutzern ermögliche, staatliche Beschränkungen zu umgehen, erschwere die Bemühungen, den Informationsfluss und die Aktivitäten auf „Telegram“ zu kontrollieren.

Reichweite von „Telegram“ als weiteres zentrales Problem

Ein weiteres zentrales Problem sei die Reichweite von „Telegram“: „Mit der Möglichkeit, Gruppen mit bis zu 200.000 Mitgliedern zu gründen, erleichtert ,Telegram’ die schnelle Verbreitung von Informationen. Dies kann sowohl von Vorteil als auch problematisch sein.“ Während dies die Bildung großer, engagierter Gemeinschaften ermögliche, erleichtere es zugleich Hackern, schädliche Inhalte zu verbreiten oder illegale Aktivitäten in großem Maßstab zu koordinieren.

Die schiere Größe dieser Gruppen mache die Moderation zu einer gewaltigen Aufgabe, und der verhältnismäßig nachsichtige Ansatz von „Telegram“ bei der Löschung von Inhalten sei ein Streitpunkt von Kritikern, die argumentierten, dass die Plattform nicht genug unternehme, um illegales Verhalten zu unterbinden.

Wachsende Popularität von „Telegram“ verständlich

Trotz dieser Herausforderungen sei die wachsende Popularität von „Telegram“ verständlich: „Die Plattform bietet ein Maß an Privatsphäre und Funktionalität, das von vielen ihrer Konkurrenten nicht erreicht wird. Für Nutzer, die ihre Anonymität schätzen und in großem Umfang kommunizieren möchten, ohne Angst vor Verfolgung oder Überwachung haben zu müssen, ist ,Telegram’ die ideale Wahl.“ Besonders attraktiv sind demnach die Funktionen der Web-Plattform in Regionen, in denen staatliche Überwachung weit verbreitet ist, da sie den Nutzern ein Kommunikationsmittel bietet, das widerstandsfähig gegen Zensur und staatliche Eingriffe ist.

Geuenich betont: „Die Lösung muss sein, da sich die Digitale Landschaft ständig verändert, dass Technologie-Unternehmen, Regierungen und Cyber-Sicherheitsexperten zusammenarbeiten, um ein Umfeld zu schaffen, in dem die Nutzer frei kommunizieren können, ohne Angst haben zu müssen, dass ihre Privatsphäre beeinträchtigt wird, und gleichzeitig sicherzustellen, dass diese Plattformen nicht zur Förderung illegaler Aktivitäten genutzt werden.“

„Telegram“ sollte Gleichgewicht finden, welches sowohl Schutz der Privatsphäre als auch Berücksichtigung von Sicherheitsbedenken ermöglicht

„Zusammenfassend lässt sich sagen, dass ,Telegram’ zwar einzigartige Vorteile in Bezug auf Datenschutz und Skalierbarkeit bietet, diese Funktionen jedoch erhebliche Herausforderungen in Bezug auf die Cyber-Sicherheit mit sich bringen“, unterstreicht Geuenich. Die Widerstandsfähigkeit, Anonymität und Fähigkeit dieser Plattform, mit großen Gruppen zu kommunizieren, machten sie sowohl zu einem mächtigen Werkzeug für legitime Kommunikation als auch zu einem potenziellen Zentrum für illegale Aktivitäten.

In Zukunft werde es entscheidend sein, ein Gleichgewicht zu finden, welches sowohl den Schutz der Privatsphäre der Nutzer als auch die Berücksichtigung von Sicherheitsbedenken ermögliche, welche mit einer so mächtigen Plattform einhergingen. Geuenich abschließend: „Es ist, wie vieles in der IT-Sicherheit, eine Gratwanderung…“

Weitere Informationen zum Thema:

datensicherheit.de, 04.06.2024
Telegram: Über 122 Gigabyte an Daten in Kanälen der Messenger-App veröffentlicht / Darunter sollen auch hochsensible Daten wie Nutzernamen bzw. E-Mail-Adressen und Passwörter zu verschiedenen Online-Accounts sein

datensicherheit.de, 05.05.2023
Keine Scheu mehr vor der Öffentlichkeit: Cyber-Kriminalität, das Dark Net und Telegram / Im Interview mit Oded Vanunu zur aktuellen Bedrohungslage der IT-Sicherheit, Trends, Zukunft des Web 3 und Telegram

datensicherheit.de, 05.11.2020
Telegram: Illegale Marktplätze geschlossen / BKA meldet Sicherstellung der Kommunikation in 9 Telegram-Gruppen mit ca. 8.000 Mitgliedern

datensicherheit.de, 14.06.2019
Hackerangriff auf Telegram – Digitale Angriffe mit politischer Intention auf dem Vormarsch / Ein Statement von Marc Wilczek, Geschäftsführer von Link11

[datensicherheit.de, 04.06.2024] Laut aktuellen Medien-Berichten sollen zahlreiche Nutzerdaten in „Telegram“-Kanälen geleakt worden sein – darunter hochsensible Angaben wie Nutzernamen bzw. E-Mail-Adressen und Passwörter zu verschiedenen Online-Accounts. ESET kommentiert in einer Stellungnahme diesen Vorfall und gibt evtl. betroffenen Nutzern Tipps.

Cyber-Kriminelle missbrauchen Telegram-Kanäle zur Verbreitung gestohlener Daten

Einer aktuellen Meldung des Blogs „Troy Hunt“ zufolge haben Unbekannte über 122 Gigabyte an Daten in Kanälen der Messenger-App „Telegram“ veröffentlicht. Der Blog-Herausgeber ist zudem Betreiber von „‘;–have i been pwned?“, einer Web-Datenbank für geleakte Zugangsdaten. Darin enthalten: „361 Millionen E-Mail-Adressen, von denen knapp die Hälfte bis dato anscheinend noch nie in einem solchen Datenleck aufgetaucht ist.“

Auch Benutzernamen und Passwörter zu Online-Konten seien Teil dieses Leaks. Cybersecurity-Experten haben demnach diese Anmeldedaten von mehreren „Telegram“-Kanälen gesammelt: „In diesen von Cyber-Kriminellen genutzten Kanälen werden gestohlene Daten verbreitet, um den Ruf des Kanals zu verbessern und Abonnenten zu gewinnen.“ Die dort geposteten Informationen seien höchstwahrscheinlich zum großen Teil echt.

Starker und aktueller Malware-Schutz für Datensicherheit unabdingbar

„Telegram wird häufig als offenes, app-basiertes ,Dark Forum’ genutzt, in dem Benutzerdaten und illegales Material ausgetauscht werden. Es teilt viele Eigenschaften mit dem ,DarkWeb’ hinsichtlich Anonymisierung und zieht auch Cyber-Kriminelle für bösartige Aktivitäten an“, erläutert der ESET-IT-Sicherheitsexperte Jake Moore.

„Benutzernamen und Kennwörter werden häufig mithilfe von Infostealer-Malware gestohlen, mit der Cyber-Kriminelle Computer infizieren. Ein starker und aktueller Malware-Schutz ist deshalb unabdingbar“, so Moores dringender Rat.

Weitere konkrete ESET-Tipps zur Stärkung der Datensicherheit für Nutzer:

Eigene Daten überprüfen!
Auf der Website „‘;–have i been pwned?“ könnten Nutzer feststellen, ob ihre E-Mail-Adressen und Passwörter bereits vom aktuellen oder einem vorangegangenen Leak betroffen waren.

Auf Spam-Nachrichten achten!
Sind die eigenen Daten bereits im Umlauf, sollten Nutzer in nächster Zeit besonders vorsichtig sein: „Die gesammelten E-Mail-Adressen werden häufig für Spam-Kampagnen genutzt.“

Bestehende Passwörter ändern!
„Hacker werden die erbeuteten Zugangsdaten für den Zugriff auf verschiedene Accounts nutzen.“ Experten sprächen hier von „Credential Stuffing“. Vor allem sollten Nutzer für jedes Konto ein einzigartiges, sicheres Passwort verwenden.

Eine Zweifaktor-Authentifizierung (ZFA) einrichten!
Sobald neben Nutzernamen und Passwort ein weiterer Faktor – wie z.B. eine Smartphone-App – in Benutzung ist, könnten Cyber-Kriminelle nicht mehr ohne weiteres auf Online-Konten zugreifen, sollten sie in den Besitz von Login-Daten gelangen.

Weitere Informationen zum Thema:

Troy Hunt, 04.06.2024
Telegram Combolists and 361M Email Addresses

‚;–have i been pwned?
Check if your email address is in a data breach

Im Interview mit Oded Vanunu zur aktuellen Bedrohungslage der IT-Sicherheit, Trends, Zukunft des Web 3 und Telegran

datensicherheit.de, 05.05.2023] Im Rahmen der CPX 360 EMEA in München, der Hausmesse von Check Point Software Technologies, dem großen IT-Sicherheitsanbieter aus Israel, hat Herausgeber und Chefredakteur von datensicherheit.de (ds)  Carsten J. Pinnow mit Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point, über die aktuelle Bedrohungslage der IT-Sicherheit und die Trends unter Hackern gesprochen. Außerdem wurden die Zukunft des Web 3 mit Smart Contracts als neuer Basis und Telegram als öffentlicher Plattform und Schwarzmarkt für Cyber-Kriminelle thematisiert.

Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point, Foto: Check Point

ds: Guten Tag, Herr Vanunu! Schön, dass wir uns heute mal wieder von Angesicht zu Angesicht unterhalten können. Beginnen wir gleich mit der ersten Frage: Sie haben schon einige große Nachforschungen durchgeführt und veröffentlicht, aber welche war die faszinierendste Entdeckung Ihrer Karriere?

Oded Vanunu: Hallo! Ja, ich freue mich auch, dass wir wieder Veranstaltungen vor Ort abhalten und besuchen können. Zu Ihrer Frage: Es gibt viele Dinge, auf die ich stolz sein kann. Nicht jeder Tag ist gleich strukturiert, ganz anders als beispielsweise in einer Position als Leiter der Cyber-Kriegsführung oder in einem Cyber-Unternehmen, das sich wirklich nur auf Cyber konzentriert. Ich habe jedoch auf fast allen großen Plattformen Schwachstellen entdeckt. Die Auswirkungen betrafen sofort Millionen, Hunderte von Millionen oder sogar Milliarden von Menschen. Wir fanden, zum Beispiel, eine Sicherheitslücke in WhatsApp. Das war eine der wichtigsten Entdeckungen. Wir waren sogar in der Lage, die gesamte Kommunikation nachzuvollziehen. Wir konnten Nachrichten im Namen anderer Personen oder von Personen, die nicht in der Gruppe waren, versenden. Wir konnten Nachrichten löschen und bearbeiten. Das war eine wichtige Erkenntnis, denn WhatsApp wird von den meisten Menschen für die tägliche Kommunikation genutzt. Daneben hatten wir Schwachstellen im DGI gefunden. Dies ermöglichte uns den Zugang zu Drohnen oder zu den Assets anderer Leute, sogar zu den Assets von Strafverfolgungsbehörden. Uns stand alles offen. Es gab Schwachstellen in Instagram, die wir ausnutzen konnten, um den Leuten eine bösartige Story zu senden. Sobald Sie diese öffnete, konnten wir Code auf Ihrem Gerät ausführen. Es gab also viele faszinierende Entdeckungen, aber ich denke, die Sache mit WhatsApp war bemerkenswert, da es sehr lange dauerte, bis die Sicherheitslücke geschlossen wurde.

ds: Sie nannten zwei Hauptaspekte, neben dem menschlichen Faktor, wenn etwas schief geht, nämlich die Konfiguration und die Implementierung der Algorithmen. Sie haben in Ihrem Kurzvortrag auch den Übergang von Web 2 zu Web 3 erwähnt und über Blockchains und deren Manipulation gesprochen. Mein Vater hat mir vor 40 Jahren schon von einigen Problemen, die Sie noch auf Ihrer Liste haben, erzählt: Division durch Null, Pufferüberlauf, hartkodierte Passwörter, Debugging-Informationen und fünf Weitere. Es sind somit noch dieselben. Die Frage lautet daher: Vielleicht sind die Algorithmen sicher, wenn man Blockchains verwendet, aber was ist mit der Implementierung der Algorithmen?

Oded Vanunu: Das ist das Problem. Sie haben völlig Recht, denn das Konzept der Ende-zu-Ende-Verschlüsselung ist nicht neu. Wir sind nun lediglich mit diesem Konzept sehr vertraut geworden. Es wurde in allen Instanzen von Messaging-Anwendungen implementiert. Es gibt das Backend, welches nicht wirklich dezentralisiert ist und im Grunde genommen als Basis genutzt wird, wenn man Sicherheitsdienste oder Cloud-Dienste anbietet oder aufbaut. Zusätzlich erstellt man das Frontend, welches die gesamte Geschäftslogik beinhaltet und alles für den Kunden zur Verfügung stellt, aber: Im Web 3 wird die wichtigste Neuerung sein, das Modell des Smart Contracts hinzuzufügen. Es ist wie eine Software oder wie ein QuellCcode, der auf eine Aktion wartet, um eine Art von Trigger Code zu erzeugen, um daraufhin eine Transaktion in der Blockchain durchzuführen. Genau dort liegen die Schwachstellen in der Umsetzung. Mir reicht nur eine Schwachstelle dort aus. Wenn ich diese ausnutze, erreiche ich eine Erhöhung meiner Zugriffsrechte auf die Blockchain. Beispielsweise bin ich bei Open Sea, einem der größten NFT-Marktplätze, auf diese Weise kürzlich fündig geworden. Es ist wie das Facebook der NFTs. Bedenken Sie, dass NFTs nicht nur dazu da sind, um Affenbilder zu verkaufen.

ds: Dazu kann ich sagen: ein Freund von mir arbeitet an einer neuen Art von Journalismus. Wenn man Artikel schreibt, wird man derzeit nur einmal bezahlt, aber in Zukunft will er Texte schreiben, die man wie NFTs verkaufen kann. So kann man mehrmals Geld verdienen. Ist das eine reale Möglichkeit, NFTs zu nutzen, nicht um Affenbilder zu verkaufen, sondern um ein digitales Produkt zu vertreiben?

Oded Vanunu: Ja, so wird es funktionieren! Das wird ganz einfach sein. Es wird eine App geben und alle Artikel werden dort auf einer Blockchain mit einem Smart Contract gespeichert, der die Logik des Angebots implementiert. Sobald jemand diese Daten nutzen möchte, muss er dafür bezahlen oder eine im Smart Contract implementierte Bedingung erfüllen, damit der Besitz wechseln kann. Angenommen aber, es handelt sich um die App Ihres Freundes, die er erstellt hat, und alle seine Artikel sind darin enthalten. Ich schaue mich um und finde eine Sicherheitslücke in seiner Anwendung, die ich ausnutzen kann. Eine Art Logikfehler oder eine Schwachstelle in der Eingabesicherheit. Das sind die häufigsten Fälle. Dann schicke ich Ihrem Freund einen bösartigen Link aus dem E-System. Wenn er daraufklickt, löst das den Angriff aus und gibt mir seine Token, die ich meiner Wallet hinzufüge und so ihm stehle. Das ist der größte Schwachpunkt.

ds Arbeiten Sie an einer Lösung für dieses Problem?

Oded Vanunu: Im Prinzip ja. Wir testen die gerade mit Kunden. Ich gehe davon aus, dass diese in naher Zukunft auf den Markt kommen wird. Außerdem versuchen wir nicht nur diesen, sondern noch einige andere Aspekte abzudecken.

ds: Es ist also immer dasselbe. Das, was heute als etwas Neues präsentiert wird, wurde in der Vergangenheit bereits entwickelt. Das ist also die nächste Stufe davon.

Oded Vanunu: Ja, doch es ist dennoch eine Innovation, die wir angesichts der künftigen Herausforderungen im Cyberspace fördern wollen, denn im Jahr 2022 wurden auf die beschriebene Weise bereits Vermögenswerte von rund 3 Milliarden US-Dollar entwendet. Das NFT-Ökosystem und die Innovation in diesem Bereich entwickeln sich und die IT-Sicherheit muss mithalten.

ds Das ist ein sehr spannendes Thema. Wir könnten sicher noch viel länger darüber reden. Aber ich würde gerne noch ein anderes Thema ansprechen. Hat die Pandemie das Verhalten von APT-Gruppen verändert?

Oded Vanunu: Ich habe viel zu diesem Thema geforscht. Die Pandemie war ein immenser Anstoß für viele Veränderungen und Entwicklungen, die wir heute beobachten können. Die Cyber-Kriminalität ist viel aggressiver und direkter geworden, vor allem, was Geldforderungen betrifft. Vor der Pandemie fanden alle böswilligen Aktivitäten und die Vorbereitung aller Hacker-Angriffe im Dark Net statt. Das Dark Net ist ein Ort, der für normale Menschen nicht leicht zugänglich ist. Es war daher ein Marktplatz, auf dem Akteure an andere Akteure verkaufen konnten, und ein Ort des Austausches unter Hackern. Als die Pandemie ausbrach, sahen wir eine große Verlagerung vom Dark Net, das ein isolierter Bereich ist, hin zu Telegram, einem leicht zugänglichen Messenger-Dienst. In den letzten zwei Jahren hat sich Telegram zum wichtigsten Marktplatz für Cyber-Kriminelle entwickelt, um ihre Waren zu vertreiben und Dienste anzubieten. Das ist etwas Außergewöhnliches, denn die Geschäftslogik von Telegram erlaubt es, Kanäle zu erstellen, sie mit Bots auszustatten, so dass man nicht einmal anwesend sein muss, und zudem geschieht alles anonym. Man kann eine Anwendung erstellen, die im Grunde Bots sprechen lässt, woraufhin wir anfingen, irrsinnige Ergebnisse zu sehen. Es war wie eine Tiefenrecherche, irre Zahlen rund um die Welt über die Entstehung von Schwarzmärkten. Es ist sehr simpel, weil man nur Krypto oder eine Gift Card verschicken muss, um, was auch immer man haben will, zu kaufen. Im Jahr 2021 war Telegram die wichtigste Plattform für Hacker und APT-Gruppen. Seitdem haben die Aktivitäten jedes Jahr zugenommen. Es gab daher einen generellen Anstieg der Cyber-Angriffe um 60 bis 80 Prozent. Was mit gefälschten Impfausweisen begann, hat sich zu einer Plattform für viele verschiedene Arten von Scams entwickelt. Aus meiner Sicht war die Epidemie der Übergang der Cyber-Kriminalität vom Verstecken ihrer Kanäle, Produkte und Aktivitäten im Dark Net hin zum Präsentieren im öffentlichen Netz.

ds: Wird Telegram weiterhin dafür genutzt?

Oded Vanunu: Natürlich. Es hört nicht auf. Im Gegenteil: die Nutzung nimmt zu.

ds: Wie untersucht Check Point die Nutzung von Telegram und wie sammelt ihr eure Informationen?

Oded Vanunu: Die Grundlage ist Aufklärung. Es müssen viele Informationen auf verschiedenen Plattformen und in verschiedenen Bereichen abgefragt werden. Sobald wir die Möglichkeit haben, Informationen in Echtzeit zu sehen, beginnen wir, eine Art von Operation im Dark Net aufzubauen. Dafür erstellt man Avatare, tritt einer Gruppierung bei, besucht Foren und versucht ständig, Dinge zu kaufen. Diese Operation wurde auf Telegram übertragen und wir haben Tools und Funktionen entwickelt, mit denen wir nach Schlüsselwörtern suchen und Kanäle durchsuchen können, die wir infiltrieren wollen. Wir haben also intelligente Funktionen entwickelt, um die relevanten Informationen zu finden, die wir suchen.

ds: Haben Sie, wie viele Israelis im Bereich der IT-Sicherheit, Ihre Fähigkeiten in der Armee gelernt?

Oded Vanunu: Nein, ich habe in der Armee keine IT gemacht. Jedes Jahr bildet die Armee Tausende von jungen Menschen im Alter von 21 oder 22 Jahren im realen Kampf und im Cyberwar aus. Das ist unbezahlbar. Wenn sie mit der Militär-Ausbildung fertig sind, nehmen sie dieses Wissen und setzen es in Innovationen um. Wir haben also großes Glück, dass wir diese Möglichkeit haben, denn der Cyberspace ist einer der wichtigsten Bereiche, der sich ständig verändert und man muss Schritt halten.

ds: Herr Vanunu, haben Sie vielen Dank für das interessante Gespräch.

Weitere Informationen zum Thema:

datensicherheit.de, 30.03.2023
Cybersicherheit: Prävention vor nachträglicher Erkennung

datensicherheit.de, 03.02.2023
Hacker-Angriffe: Check Point meldet Zunahme der Nutzung von Code-Paketen

datensicherheit.de, 29.06.2020
Cybersicherheit: Vision einer mutigen neuen Welt während und nach der Pandemie

Sicherheitsforscher von Check Point beobachten enormen Anstieg des Angebots auf dem Telegram-Schwarzmarkt

[datensicherheit.de, 11.08.2021] Die Check Point® Software Technologies Ltd. aktualisiert nach eigenen Angaben ihre Nachforschung zu gefälschten „Corona“-Impfnachweisen: Deren Sicherheitsforscher weisen demnach auf eine Zunahme von solche Angebote bewerbenden „Telegram“-Gruppen um weltweit 257 Prozent hin, wobei die meisten weiterhin aus Europa stammten. Im März 2021 seien die Werbungen vor allem für die USA, Großbritannien und Deutschland gedacht gewesen – nun kämen viele Länder in großer Zahl hinzu, darunter die Niederlande, Schweiz, Italien, Griechenland, Pakistan, Indonesien und Frankreich.

Foto: Check Point

Oded Vanunu: Anbieter haben es auf mehr abgesehen, als nur gefälschte Impfausweise zu verkaufen und Geld zu verdienen…

Über 2.500 Telegram-Gruppen derzeit aktiv

Check Point schätzt, „dass über 2.500 Gruppen derzeit aktiv sind“. Die Nutzerzahlen in diesen Gruppen hätten sogar um 566 Prozent zugenommen, wodurch jede Gruppe im Schnitt 100.000 Teilnehmer aufweise. Manche Gruppen wiesen sogar über 450.000 Teilnehmer auf.
„Die Preise für die gefälschten Impfausweise sanken aufgrund des hohen Angebots um die Hälfte.“ Im März habe ein Pass rund 171 Euro (200 US-Dollar) gekostet, nun sei er für 85 Euro (100 US-Dollar) zu haben.

Kontaktiert werden Verkäufer über Telegram, Whatsapp, Wickr, Jabber oder E-Mail

Hinzu komme das Angebot, sogar digitalisierte EU-Nachweise kaufen zu können, sowie gefälschte PCR-Test-Ergebnisse. „Die Anbieter werben sogar damit, dass ihre Pässe in den digitalen Systemen der USA, Großbritanniens und der EU registriert seien.“
Bezüglich der Bezahlung würden „Paypal“ und Krypto-Währungen, wie „Bitcoin“, „Ethereum“, „Monero“, „Dogecoin“, „Litecoin“, akzeptiert. Manchmal außerdem „Amazon Pay“, die Videospiele-Plattform „Steam“ und „ebay“-Gutscheine. Kontaktiert werden könnten die Verkäufer über „Telegram“, „Whatsapp“, „Wickr“, „Jabber“ und E-Mail. Damit werde auch deutlich, dass sich dieser Schwarzmarkt vom sogenannten Darknet zu Nachrichten-Anwendungen, allen voran „Telegram“, verschiebe, um ein breites Publikum ohne große Hindernisse zu erreichen.

Telegram im Vergleich zum Darknet technisch weniger kompliziert zu bedienen

„Wir haben in diesem Jahr das Darknet und ,Telegram‘ auf ,Corona‘-Virus-bezogene Angebote untersucht. Im Moment können gefälschte Impfausweise für fast alle Länder erworben werden. Alles, was Interessierte tun müssen, ist, das Land anzugeben, aus dem sie stammen und welches Produkt sie möchten“, berichtet Oded Vanunu, „Head of Products Vulnerabilities Research“ bei Check Point Software Technologies.
Anbieter entschieden sich übrigens dafür, auf „Telegram“ zu werben und Geschäfte zu machen, weil sie so ihren Vertrieb skalieren könnten. „Telegram“ sei im Vergleich zum Darknet wenig technisch kompliziert zu bedienen und könne schnell eine große Anzahl von Menschen erreichen.

Zunahme der Nutzerzahlen im Darknet und bei Telegram zu erwarten

Vanunu führt aus: „Wir glauben, dass die rasante Ausbreitung der ,Delta‘-Variante und der damit verbundene Druck, sich impfen zu lassen, den Markt beflügelt haben. In der Tat gibt es Menschen, die sich nicht impfen lassen wollen, aber trotzdem die Freiheiten haben möchten, die mit dem Nachweis einer Impfung einhergehen. Diese Menschen wenden sich zunehmend dem Darknet und ,Telegram‘ zu.“
Seit März 2021 seien die Preise für gefälschte Impfausweise um die Hälfte gesunken, und Online-Gruppen für diese betrügerischen „Corona“-Virus-Dienste hätten eine Anhängerschaft von Hunderttausenden von Menschen gewonnen. Vanunu abschließender Rat: „Ich empfehle dringend, sich nicht auf diese Verkäufer einzulassen, denn diese Anbieter haben es auf mehr abgesehen, als nur gefälschte Impfausweise zu verkaufen und Geld zu verdienen.”

Weitere Informationen zum Thema:

Check Point Blog
Black market for fake vaccine certificates reaches new peaks, while Delta variant keeps spreading globally

datensicherheit.de, 04.02.2021
Darknet: Vermeintliche COVID-19-Impfstoffe im Angebot / Preise zwischen 165 und 1.000 Euro auf Darknet-Handelsplätzen

[datensicherheit.de, 19.05.2021] Das Bundeskriminalamt (BKA) hat nach eigenen Angaben im Auftrag der Generalstaatsanwaltschaft Bamberg, Zentralstelle Cybercrime Bayern (ZCB), am 18. Mai 2021 insgesamt sieben Objekte in vier Bundesländern durchsucht. Diese Maßnahmen richteten sich demnach gegen sieben Männer im Alter von 20 bis 37 Jahren – diesen werden unter anderem „banden- und gewerbsmäßiger Computerbetrug und Datenhehlerei“ vorgeworfen.

Einsätze des BKA in Brandenburg, Baden-Württemberg, Nordrhein-Westfalen und Rheinland-Pfalz

Bei den Einsätzen in Brandenburg, Baden-Württemberg, Nordrhein-Westfalen und Rheinland-Pfalz seien unter anderem zahlreiche Smartphones und andere digitale Beweismittel, betrügerisch erlangte Waren sowie Bargeld und Krypto-Währungen sichergestellt worden.
„Darüber hinaus konnten sechs ,Telegram‘-Accounts übernommen und gesichert werden.“ Die Beschuldigten stünden im Verdacht, gewerbs- und bandenmäßig die Durchführung sogenannter Refund-Betrugstaten in der „Telegram“-Gruppe mit dem Namen „GermanRefundCrew“ angeboten und letztendlich über 600 solcher Betrugstaten begangen zu haben.
Beim Refund-Betrug handele es sich um eine Erscheinungsform des Computerbetrugs, bei welcher „die Täter Waren im Internet bestellen und im Anschluss eine Rücksendung vortäuschen, um eine Rückerstattung des Zahlbetrags zu erhalten“.

BKA geht von einem Gesamtschaden von über 500.000 Euro aus

Mit den in der „Telegram“-Gruppe beworbenen Taten sei ein Gesamtschaden von über 500.000 Euro verursacht worden. „Für ihre kriminellen Dienstleistungen verlangten die Beschuldigten eine Provision in Höhe von 23 bis 27 Prozent des jeweiligen Warenwertes.“
Ihnen drohten nun Freiheitsstrafen von sechs Monaten bis zu zehn Jahren.
Bereits im Oktober 2020 seien die „Telegram“-Gruppe „GermanRefundCrew“ im Rahmen eines bundesweiten Einsatzes geschlossen und die Wohnräume des Hauptverdächtigen durchsucht worden. Die weiteren Ermittlungen hätten dann die Strafverfolgungsbehörden auf die Spur der sieben Männer geführt.

Weitere Informationen zum Thema:

datensicherheit.de, 27.01.2021
BKA-Erfolgsmeldung: Emotet-Infrastruktur zerschlagen

[datensicherheit.de, 05.11.2020] Laut einer Meldung des Bundeskriminalamts (BKA) wurden am 29. Oktober 2020 in einer konzertierten Aktion in sechs Bundesländern insgesamt neun Chatgruppen im Messenger-Dienst Telegram übernommen und sichergestellt. Hierzu hätten die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das BKA sowie weitere Strafverfolgungsbehörden kooperiert.

Ermittlungen gegen Administratoren entsprechender Telegram-Gruppen sowie dortige Händler seit Anfang Juni 2020

Die bundesweiten Ermittlungen gegen Administratoren entsprechender Gruppen sowie dortige Händler seien seit Anfang Juni 2020 geführt worden und hätten bislang zur Identifizierung von 28 Beschuldigten geführt, gegen die dann „Durchsuchungsbeschlüsse in 30 Objekten vollstreckt werden konnten“.
Die Beschuldigten stehen demnach im Verdacht, „Handel mit Betäubungsmitteln, gefälschten Dokumenten, illegal erlangten Daten und anderen inkriminierten Gütern“ über den Messenger-Dienst „Telegram“ betrieben zu haben.

In den übernommenen Telegram-Kanälen und -Gruppen wurden Sicherstellungsbanner veröffentlicht

An dieser konzertierten Aktion seien mit der „Durchführung strafprozessualer Maßnahmen in eigener Zuständigkeit“ auch die Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybercrime Bayern (ZCB) – und die Staatsanwaltschaften in Bremen, Chemnitz, Essen, Hagen, Konstanz und Mannheim in Zusammenarbeit mit örtlichen Polizeidienststellen beteiligt gewesen.
Auch in der Republik Österreich seien durch die Staatsanwaltschaft Feldkirch mit der Polizei Vorarlberg zeitgleich Durchsuchungen durchgeführt worden.
Im Kontext dieser Maßnahmen habe die Kommunikation in insgesamt neun Chatgruppen des Messengers „Telegram“ mit ca. 8.000 Mitgliedern übernommen und sichergestellt werden können, darunter u.a. „Silk Road“, „Marktplatz//Schwarzmarkt“, „GermanRefundCrew“ oder „Cracked Accounts Shop“. In den übernommenen Kanälen und Gruppen sei ein Sicherstellungsbanner veröffentlicht worden. „Im Rahmen der Durchsuchungen der Wohnungen der Tatverdächtigen konnten zudem über vier Kilogramm Betäubungsmittel, acht Waffen und 8.000 Euro Bargeld sowie zahlreiche weitere Beweismittel, insbesondere Smartphones und diverse Datenträger, sichergestellt werden.“

Darknet-Alternative: Handel mit illegalen Waren und Dienstleitungen über Telegram

Der von ZIT und BKA geführte Teil des Ermittlungskomplexes richte sich gegen 13 Männer im Alter von 18 bis 54 Jahren. Gegen sie bestehe u.a. „der Verdacht des Verschaffens einer Gelegenheit zum unbefugten Erwerb bzw. zur unbefugten Abgabe von Betäubungsmitteln (§ 29 Abs. 1 Ziff. 10 BtMG) bzw. des unerlaubten Handels mit Betäubungsmitteln in teils nicht geringer Menge (§§ 29 Abs. 1, 29a Abs. 1 BtMG).“ Gegen einen 25-jährigen Mann aus dem Landkreis Offenbach habe ein durch die ZIT bei dem Amtsgericht Offenbach am Main erwirkter Haftbefehl vollstreckt werden können. Zudem sei ein weiterer 19-jähriger Mann aus dem Landkreis Offenbach vorläufig festgenommen worden, der noch am 30. Oktober 2020 dem Haftrichter des Amtsgerichts Offenbach am Main vorgeführt werden sollte.
Bei dem Handel mit illegalen Waren und Dienstleitungen über „Telegram“ handele es sich um eine Alternative zu Handelsplattformen im sogenannten Darknet. Dabei erfolge in den teilweise öffentlich zugänglichen Kanälen und Chatgruppen von „Telegram“ die Anbahnung der illegalen Geschäfte, etwa durch mit Bildern beworbene Angebote oder durch Listen verifizierter Händler. Die Abwicklung der illegalen Geschäfte zwischen Händler und Käufer erfolge danach in separaten Chats zwischen einzelnen „Telegram“-Nutzern.

Weitere Informationen zum Thema:

datensicherheit.de, 29.08.2020
Empire Market: Weltgrößter Darknet-Markt nicht mehr erreichbar

Zu dem jüngsten Hacker-Angriff auf den Messengerdienst „Telegram“ bezieht Dr. Guy Bunker Stellung 

[datensicherheit.de, 17.06.2019] Zu dem kürzlich bekannt gewordenen Hacker-Angriff auf „Telegram“ nimmt Dr. Guy Bunker, „CTO“ bei Clearswift, Stellung und fordert auf, Anbietern „kritische Fragen“ zu stellen.

DDoS-Angriff am 12. Juni 2019

„Wie Mitte letzter Woche bekannt wurde, ist der Messengerdienst ,Telegram‘ Opfer eines umfassenden Hacker-Angriffs geworden. Es handelte sich hierbei um einen sogenannten DDoS-Angriff (Distributed-Denial-of-Service)“, erläutert Dr. Bunker. Der Service sei am 12. Juni 2019 für Stunden nicht erreichbar gewesen.
Wie Unternehmensgründer Pavel Durov per twitter erklärt habe, liege eine Verbindung zu den aktuell andauernden Protesten in Hongkong nahe – die Nachrichten-App sei von Demonstranten genutzt worden, um sich zu organisieren. Dr. Bunker: „Laut Durov hatte der Angriff seinen Ursprung hauptsächlich in China.“

Botnetz zu „mieten“…

Solche Angriffe seien nicht neu und könnten auf unterschiedliche Art und Weise durchgeführt werden. Innerhalb der letzten Jahre (2018) sei es immer einfacher geworden, ein Botnetz zu „mieten“, um die Attacke auf mehreren verschiedenen Wegen zu lancieren – eine Tatsache, welche die Prävention von Angriffen dieser Art deutlich erschwere.
Nicht zuletzt habe das Bundeskriminalamt (BKA) in seinem aktuellen Bericht „Bundeslagebericht Cybercrime“ berichtet, dass es sich bei DDoS-Angriffen um die am häufigsten beobachteten Sicherheitsverletzungen im Cyber-Raum handele. „Die Folgen dieser sind für Betriebe nicht selten beträchtliche Umsatzeinbußen sowie Imageschäden“, warnt Dr. Bunker..

Junk-Anfragen herausfiltern und verfügbare Bandbreite erhöhen!

Für Großunternehmen, die Messaging-Dienste wie „Telegram“ anbieten, sei die Frage, wie sie sich künftig gegen solche Attacken schützen können, eine quantitative. Grundsätzlich gehe es darum, die Junk-Anfragen herauszufiltern und die verfügbare Bandbreite zu erhöhen, so dass der Dienst für die eigentlichen, legitimen Benutzer schneller verfügbar bleibt als die vielen gesendeten Junk-Anfragen zum Lahmlegen des Systems.
Kleinere Anbieter in diesem Bereich – insbesondere solche, die keine eigenen Rechenzentren besitzen – hätten oftmals Bandbreitenbeschränkungen eingeführt. Diese könnten somit fatalerweise von den Angreifern noch leichter außer Gefecht gesetzt werden.

Gezielt Fragen an den Anbieter bezüglich der Sicherheit stellen!

„Doch welche Konsequenzen sollten Betriebe anderer Branchen ziehen, die unter Umständen selbst Messenger-Services wie Telegram verwenden?“ Generell sollten Unternehmen, die Cloud-basierte Anwendungen nutzen, unbedingt sicherstellen, dass sie gezielt Fragen an den Anbieter bezüglich der Sicherheit stellen. „Während es in diesem Zusammenhang oft um Datenverlust geht und wie dieser verhindert werden kann, sollten hier auch Fragen in Hinblick auf Risiken für die Business-Continuity gestellt werden.“
Ein Aspekt seien hierbei DDoS-Attacken. „Konkret sollte geklärt werden, welche Monitoring- und Kontrollmechanismen es gibt, um einen DDoS-Angriff und somit exzessive Ausfallzeiten zu verhindern“, empfiehlt Bunker. Schließlich sei es innerhalb der Cloud (je nach Anwendung) durchaus möglich, dass ein Angriff gegen einen anderen Kunden desselben Dienstes gestartet werde – dieser Vorstoß führe zum Abstürzen des Systems und wirke sich somit auf das eigene Unternehmen aus. Die Sicherstellung, dass der Anbieter über eine angemessene DDoS-Erkennung und -Prävention verfügt, müsse Teil der Bewertung dieses Dienstes sein.

Foto: clearswift

Dr. Guy Bunker: Sicherstellung, dass der Anbieter über eine angemessene DDoS-Erkennung und -Prävention verfügt!

Weitere Informationen zum Thema:

datensicherheit.de, 14.06.2019
Hackerangriff auf Telegram – Digitale Angriffe mit politischer Intention auf dem Vormarsch / Ein Statement von Marc Wilczek, Geschäftsführer von Link11

Ein Statement von Marc Wilczek, Geschäftsführer von Link11

[datensicherheit.de, 14.06.2019] Wie gestern bekannt wurde, ist der Messengerdienst Telegram Ziel eines umfassenden Hackerangriffs geworden. Bei dem Angriff handelte es sich um eine DDoS (Distributed-Denial-of-Service)-Attacke – Ziel war es also, die Anwendung durch Überlastung lahmzulegen. Weltweit kam es in zahlreichen Regionen zu Verbindungsproblemen, Nutzerdaten seien nicht kompromittiert worden. Wie Telegram-Gründer Pavel Durov am Donnerstag erklärte, ging der Angriff größtenteils von China aus. Durov setzte die Attacke in Zusammenhang mit den aktuellen Massenprotesten in Hongkong. Er erklärte weiterhin, der Vorfall sei keine Ausnahme – in der Vergangenheit hatten sich ähnliche Hackerangriffe, bei denen staatliche Akteure beteiligt waren, oft gleichzeitig mit Protestbewegungen in Hongkong ereignet. Das Angriffsvolumen dieser Attacken bewegte sich laut dem Telegram-Gründer regelmäßig im Bereich von 200 bis 400 Gigabit pro Sekunde. Zum Hintergrund: Der Messengerservice ist in China nicht verfügbar, die Bewohner Hongkongs haben allerdings Zugriff auf den verschlüsselten Dienst und nutzen ihn, um die Überwachung durch chinesische Behörden zu umgehen. Im Zuge der aktuellen Demonstrationen in Hongkong hatten Aktivisten die App zur Organisation der Proteste genutzt.

Politische Konflikte mit digtaler Dimension

Der aktuelle Fall zeigt, dass politische Konflikte auch künftig vermehrt eine digitale Dimension haben werden und der Unmut zunehmend auch digital ausgetragen wird. Der Protest auf der Straße ist das Eine – Angriffe aus dem Verborgenen, die unter dem Deckmantel vermeintlicher Anonymität verübt werden, das Andere. In Europa ist dies insbesondere bei öffentlich in der Kritik stehenden Infrastrukturprojekten bereits gängige Praxis. Auch die jüngste Angriffswelle der sogenannten Turkish Hacker Group, welche jüngst in Italien für Aufruhr sorgte und nun in Island weitergeführt wurde, war protestorientiert: Der Hintergrund war in diesem Fall ein verlorenes Fußball-Länderspiel und mangelnder Respekt vor dem Gegner. Die Gruppe von Cyberkriminellen hatte im Zusammenhang des EM-Qualifikationsspiels Türkei vs. Island die Website des isländischen Flughafens für Stunden lahmgelegt. Der Anlass war hier unter anderem Kritik der türkischen Nationalmannschaft an intensiven Sicherheitschecks und peniblen Durchsuchungen des Gepäcks, welche über die sozialen Medien zum Ausdruck gebracht wurde. Die Tatsache, dass all dies nun digital Chaos verursacht und DDoS-Angriffe auf isländische Unternehmen nach sich zieht, zeugt von einer neuen Qualität. Aktivistengruppen und Kriminelle haben längst verstanden, wie sie einen größtmöglichen Schaden verursachen und machen sich nun die allgemein zunehmende Abhängigkeit von IT zu Nutze.

Foto: Link11
Marc Wilczek: Auch Unternehmen anderer Wirtschaftszweige sollten sich an KRITS-Vorgaben orientieren!

Marc Wilczek, Geschäftsführer von Link11

Abhilfe durch DDoS-Schutz aus Basis von Künstlicher Intelligenz

Insgesamt ist davon auszugehen, dass beide Gruppierungen künftig ihren Unmut in dieser Form – durch gezielte Attacken auf Unternehmen – zum Ausdruck bringen, ergänzt um staatliche Akteure. Ziel ist es immer, durch Ausfallzeiten möglichst viel finanziellen Schaden sowie Imageverlust zu erreichen und letztlich Aufmerksamkeit zu erregen. Dies spricht für eine neue Gefährdungssituation, auf die sich Unternehmen und Organisationen einstellen müssen. Ein auf Künstlicher Intelligenz (KI) basierender DDoS-Schutz, welcher Angriffe in Echtzeit abwehren kann, schafft für diese Situation Abhilfe. Wird der gesamte Datenverkehr des Rechenzentrums umgeleitet und durch mehrstufige Filterprozesse eines Schutzanbieters bereinigt, sind Unternehmen vor großvolumigen DDoS-Attacken geschützt und die Angriffe laufen ins Leere.

Weitere Informationen zum Thema:

datensicherheit.de, 09.02.2019
Link11: Cyber-Kriminalität nimmt weiter zu

datensicherheit.de, 06.08.2018
Link11 DDoS-Report: Gefahr durch Hochvolumen-Angriffe bleibt

[datensicherheit.de, 20.06.2018] ESET, europäischer IT-Security-Hersteller, warnt vor der mobilen Malware HeroRat. Sie nutzt das Protokoll des beliebten Messengers Telegram, um Kontrolle über Android-Smartphones zu erlangen und sie fernzusteuern. Der gefährliche Schädling ist Teil einer ganzen Familie von Android RATs (Remote Administration Tools), die ESET Sicherheitsforscher bereits im August 2017 entdeckt hatten.

Im März dieses Jahres wurde der Quellcode kostenlos in verschiedenen Telegram-Hacking-Kanälen verfügbar gemacht. Daraus entwickelten sich dann parallel Hunderte Varianten der Malware, die sich nun in freier Wildbahn im Umlauf befinden.
Trotz des frei verfügbaren Quellcodes unterscheidet sich die Variante HeroRat signifikant von den anderen und ist daher besonders bedrohlich. In Hackerkreisen hat die Malware bereits eine zweifelhafte Berühmtheit erlangt und wird in einem eigenen Hacking-Kanal zu Telegram angeboten. HeroRat ist je nach Funktionalität in drei Preismodellen erhältlich und verfügt über einen Video-Support-Kanal. Es ist unklar, ob diese Variante aus dem durchgesickerten Quellcode erstellt wurde, oder ob es sich hierbei sogar um das „Original“ handelt, dessen Quellcode durchgesickert ist.

Funktionsweise des RAT

Angreifer animieren die Opfer das RAT herunterzuladen, indem sie es unter verschiedenen attraktiv klingenden Schein-Apps, über App Stores von Drittanbietern, Social Media und Messaging Apps verbreiten. „Wir haben die Malware als Apps gesehen, die kostenlose Bitcoins, kostenlose Internetverbindungen und zusätzliche Anhänger in sozialen Medien versprechen“, erläutert Lukas Stefanko, Malware Forscher bei ESET. Auf Google Play sei die Malware noch nicht aktiv.

Der Schädling läuft auf allen Android-Versionen. Bevor er aktiv werden kann, müssen Nutzer jedoch von der App benötigten Berechtigungen akzeptieren. Nachdem die Malware auf dem Gerät des Opfers installiert und gestartet wurde, erscheint ein Popup. Es behauptet, dass die Anwendung auf dem Gerät nicht ausgeführt werden kann und daher deinstalliert wird. „In den von uns analysierten Varianten erscheint vermeintliche Deinstallationsmeldung je nach Spracheinstellung des Zielgerätes in Englisch oder Persisch“, so Stefanko. Nachdem die Deinstallation scheinbar abgeschlossen ist, verschwindet das Symbol der Anwendung. Auf der Seite des Angreifers wird jedoch genau zu diesem Zeitpunkt das befallene Smartphone als neues Opfergerät registriert.

Nachdem der Angreifer Zugriff auf das Gerät des Opfers erhalten hat, nutzt er die Bot-Funktionalität von Telegram. So kann er das befallene Gerät selbst steuern und nahezu beliebig manipulieren. Denn die Malware verfügt über eine breite Palette von Spionage- und Datei-Filterfunktionen. Dazu zählen neben dem Abfangen von Textnachrichten und Kontakten das Senden von Textnachrichten und Anrufen, Audio- und Bildschirmaufzeichnungen, das Abrufen der Geräteposition und die Steuerung der Geräteeinstellungen. Das Opfer bemerkt davon nichts. Die Übertragung von Befehlen an die kompromittierten Geräte und die Übermittlung von sensiblen Daten an die Hacker werden vollständig über das Telegrammprotokoll abgedeckt. Diese Tarnung verhindert geschickt, dass die Malware aufgrund des Datenverkehrs zu bekannten Upload-Servern entdeckt wird.

Sicherheit für Android-Nutzer

Mit dem kürzlich kostenlos zur Verfügung gestellten Quellcode der Malware konnten bereits neue Mutationen entwickelt und weltweit eingesetzt werden. Da die Verteilungsmethode und die Form der Tarnung dieser Malware von Fall zu Fall variiert, reicht es nicht aus, wenn mobile Anwender das Gerät auf das Vorhandensein bestimmter Anwendungen überprüfen, um festzustellen, ob Ihr Gerät kompromittiert wurde. Um eine Gefährdung auszuschließen, empfiehlt sich der Scan mit einer zuverlässigen mobilen Sicherheitslösung. ESET-Lösungen erkennen und blockieren nach Angaben des Herstellers diese Bedrohung als Android/Spy.Agent.AMS und Android/Agent.AQO.

Um nicht Opfer von Android-Malware zu werden, sollten Nutzer Apps ausschließlich aus vertrauenswürdigen Quellen wie dem offiziellen Google Play-Store herunterladen. Vor dem Download von Apps empfiehlt sich ein Blick in die Benutzerbewertungen. Nicht zuletzt sollten Anwender darauf achten, welche Berechtigungen sie den Apps vor und nach der Installation gewähren.

Weitere Informationen zum Thema:

datensicherheit.de, 16.08.2016
RAT-Trojaner Orcus beliebt bei Cyber-Kriminellen

Welivesecurity
Ausführlicher Blogbeitrag