Das Schlechteste aus beiden Welten- APT meets Ransomware

Es ist ein offenes Geheimnis in IT und Politik, dass es vor allem Hacker aus China sind, die in westliche Unternehmen und Organisationen digital einbrechen und Daten stehlen. Dies weiß man nicht erst seit dem Aufsehen erregendem Bericht über APT1 von Mandiant, der eindeutig die staatlich-militärische Unterstützung dieser Gruppe belegen konnte. In den USA ist man sich auch sehr sicher, dass sowohl der verheerende Hack des OPM als auch der Einbruch bei der Krankenversicherung Anthem ihren Ursprung im Reich der Mitte haben. Nicht zuletzt diese beiden gravierenden IT-Sicherheitsvorfälle haben zu einem „digitalem Nichtangriffspakt“ zwischen China und den USA geführt, der im September 2015 von den Präsidenten Obama und Jinping unterzeichnet wurde. Die Chinesen haben zugesichert, zumindest nicht mehr aus wirtschaftlichen Gründen in US-amerikanische Unternehmen einzudringen.

Und wie sieht es mit Deutschland und Europa aus? Diese Frage stellt sich fast automatisch, denn was werden nun die zahlreichen Hacker künftig tun, wenn Angriffe auf US-amerikanische Unternehmen neuerdings tabu sind? Auf wen zielen nun diese APT?

Was bedeutet die Abkürzung APT?

APT steht für Advanced Persistent Threat und steht für eine digitale Bedrohung (Threat) durch einen professionellen, planvoll agierenden Angreifer, der über großes fachliches Wissen, Organisationsgrad und Geduld verfügt. Er nutzt fortgeschrittene (advanced) Methoden, oftmals selbst entdeckte Sicherheitslücken und setzt sich in der IT-Infrastruktur der Organisation fest (persistent). Ein Alptraum für jedes Unternehmen, denn diese Profis haben es auf Patente, Kundendaten und andere Informationen abgesehen, die sich zu Geld machen lassen.

Aus der Definition eines APT fallen alle Familien von Schadsoftware heraus. Viren, Trojaner und Würmer gelten weder als besonders gewieft, anspruchsvoll in der Entwicklung oder persistent: sie lassen sich durch die Hilfe von fertigen „Baukästen“ ohne Programmierkenntnisse zusammenklicken und es reicht theoretisch ein kostenloser Virenscanner, um sich ihrer zu entledigen. Eine besondere Familie von Schadsoftware aber, die in letzter Zeit zu großer Aufmerksamkeit gelangte und enormen finanziellen Schaden verursacht, ist RansomwareIn meinem letzten Artikel bin ich bereits darauf eingegangen; nach der Veröffentlichung meines Blogartikels erschien überdies eine neue Variante  namens Locky, die für zahlreiche erfolgreiche Erpressungen von Gemeinden, Krankenhäusern und tausenden Privatleuten eingesetzt wurde. Und nun kommt das Schlechteste aus beiden Welten zusammen, wie die Unternehmen Dell SecureWorks und Attack Research berichten:

Arbeitslose chinesische Hacker, hochqualifiziert und erfahren beim Hacken westlicher Unternehmen, haben die Erpressung durch Verschlüsselung als neue Einnahmequelle entdeckt.

Beides zusammen ergibt eine völlig neue Qualität der Bedrohung. Unternehmen und Organisationen, die starke Barrieren gegen Viren und Trojaner aufgebaut haben, sehen sich nun Angreifern gegenüber, die jahrelange Erfahrung im „Knacken“ westlicher IT-Sicherheitsarchitekturen haben. Die APT-Gruppen verschaffen sich Zugang zum Unternehmen durch die bekannten Wege (Spear Phishing, Waterhole Attacks, Social Enginering), diesmal aber stehlen sie keine Firmengeheimnisse oder Intellectual Property und verschwinden wieder lautlos. Sie verseuchen die Notebooks und Server des Unternehmens, definieren einen exakten Zeitpunkt für die Verschlüsselung und gehen wieder. Wenn dann zeitgleich die Dateiserver, Datenbanken und E-Mailserver verschlüsselt werden, ist die Organisation chancenlos.  Sie würde Wochen brauchen und Personal, das rund um die Uhr arbeitet, um wieder handlungsfähig zu werden- falls überhaupt jemals wieder. Die Zahlung eines Lösegeldes bedeutet in vielen Fällen für die betroffene Organisation die einzige Chance auf ihr wirtschaftliches Überleben.

Die Zukunft sieht düster aus

Diese Entwicklung verheißt nichts Gutes. Europäische Unternehmen sind schon vor dem Pakt zwischen den USA und China verstärkt in den Fokus chinesischer Hacker geraten. Die großen amerikanischen Unternehmen haben einen Reifegrad in der Erkennung und Abwehr von Cybercrime entwickelt, der Angreifern immer größere Aufwände für einen erfolgreichen Hack abverlangte. Europäische Unternehmen – vielleicht von einigen Banken und DAX-Konzernen abgesehen – sind von diesem Reifegrad ihrer US-amerikanischen Mitbewerber sprichwörtlich noch meilenweit entfernt. Das amerikanisch-chinesische Vertragswerk erhöht den Druck auf Firmen der hiesigen Wirtschaft noch weiter. Und viele von Ihnen sind und bleiben leichte Opfer für einen professionellen Angreifer.

Unternehmen sehen sich von nun an mit drei möglichen Verhaltensweisen von Hackern konfrontiert, nachdem diese in das Unternehmen eingedrungen sind:

  • Informationen werden gestohlen und gewinnbringend weiterverkauft
  • Daten auf Arbeitsplatzrechnern und Servern werden verschlüsselt und gegen Lösegeld wieder freigegeben
  • Hardware und/ oder Daten werden umfassend zerstört
    (demonstriert bei der Shamoon Attacke auf die Saudi Aramco)
Hardware zerstören?

Spätestens seit der Shamoon Attacke im Jahre 2012 ist das Risiko einer geplanten, umfassenden und totalen Datenlöschung als mögliche Folge eines Cyberangriffs bekannt. Lassen sich auch Chips, Mainboards oder CPU in Notebooks oder Servern vollautomatisiert zerstören? Ja, das funktioniert auch!

Die Gründer von CrowdStrike, George Kurtz und Dmitri Alperovitch, zeigten auf der RSA Conference 2014 einen meiner Meinung nach viel zuwenig beachteten „Proof of concept“ einer vollautomatisierten Hardwarezerstörung durch Software. Im Video „Hacking Exposed: Day of Destruction“  wird ab 26:20 die Überhitzung eines MacBooks gezeigt.

Das Prinzip der Zerstörung des MacBooks würde auch bei einem Gerät mit  Windows oder Linux Betriebssystem funktionieren. Für die Zerstörung durch Hitze wird dem Rechner durch eine manipulierte Software vorgegaukelt, die Temperatur des Prozessors sei so gering ist, dass der aktive Lüfter nicht zugeschaltet werden muss. Gleichzeitig wird das MacBook mit einer sehr rechenintensiven Aufgabe beschäftigt. Schon nach sehr kurzer Zeit herrschen im Inneren des MacBooks an die 100 Grad Celsius. Dies ist definitiv ein Temperaturbereich, bei dem Hardwarekomponenten zerstört werden und das Gerät Feuer fangen kann. Ein derart manipuliertes Softwarepaket könnte von einer Hackergruppe mit geringem Aufwand automatisiert auf alle Clients und Server der Organisation ausgerollt und gestartet werden. Der Defekt aller Geräte und die mögliche Gefährdung von Menschenleben wären die Folge.

Perfiderweise können die zweite oder dritte Option auf die erste folgen: Sie werden also zuerst (unerkannt) digital beraubt und später von den gleichen Tätern erpresst.

Eine umfassende Vorbereitung auf diese Angriffsmöglichkeiten ist das A und O dieser Stunde. Unternehmen benötigen nicht nur einen Data Breach Response Plan, sie brauchen auch einen Data Destruction Response Plan und einen Ransom Attack Reponse Plan. Sie müssen in der Lage sein, jede dieser Bedrohungen rechtzeitig zu erkennen, korrekt zu reagieren und die Bedrohung zu beseitigen. Der erste Schritt in diese Richtung ist bereits die Einsicht, dass es auch ihr Unternehmen treffen kann. Und die Wahrscheinlichkeit dafür ist im Jahre 2016 größer als jemals zuvor.