[datensicherheit.de, 09.08.2022] Lothar Geuenich, „Regional Director Central Europe/DACH“ bei der Check Point Software Technologies GmbH, kommentiert in seiner aktuellen Stellungnahme die bedrohlichen Auswirkungen des russisch-ukrainischen Cyber-Krieges auf die „(Un-)Sicherheitslage im Cyberspace“. Ein weiteres Jahr in Folge ist demnach nun weiter mit einer starken Zunahme der Cyber-Angriffe zu rechnen. Geuenich erläutert diese Einschätzung: „Unser ,Check Point Cyber Attack Trends: 2022 Mid-Year Report‘ dokumentiert bereits in der ersten Jahreshälfte einen Anstieg der wöchentlich verübten Attacken um satte 42 Prozent.“

Foto: CHECK POINT

Lothar Geuenich prognostiziert: Mit einem weiteren drastischen Anstieg der cyber-kriminellen Aktivitäten nach dem Ende des Konflikts sollte in jedem Fall gerechnet werden

Cyber-Angriffe auf staatliche Einrichtungen sowie öffentliche und private Infrastrukturen

Einen guten Anteil an dieser gefährlichen Entwicklung habe der seit nunmehr rund fünf Monaten tobende russisch-ukrainische Cyber-Krieg. Fester Bestandteil der Kriegsstrategien beider Konfliktparteien seien offensichtlich Cyber-Angriffe auf staatliche Einrichtungen sowie auf öffentliche und private Infrastrukturen des jeweiligen Gegners und seiner Verbündeten.

„Solange der Konflikte andauert, darin sind sich alle Beobachter einig, kann mit einer Besserung der Cyber-Sicherheitslage nicht gerechnet werden“, warnt Geuenich. Was im Rahmen der Überlegungen zum russisch-ukrainischen Cyber-Krieg jedoch häufig übersehen werde: „Das Ende des Konflikts – ob nun schon in wenigen Monaten oder erst in einigen Jahren – wird mit hoher Wahrscheinlichkeit nicht zu einer allgemeinen Entspannung der Sicherheitslage führen.“ Denn der Cyber-Krieg sei nicht allein nur ein Unsicherheitsfaktor, er sei vielmehr noch ein „Unsicherheitskatalysator“, dessen zerstörerische Wirkung wohl erst mit einigen Jahren Verzögerung voll zum Tragen kommen werde.

Als Grund für seine pessimistische Prognose führt Geuenich an, dass neben rein staatlichen Akteuren eine größere Zahl freiwilliger, privater Akteure in den Cyber-Kampf eingebunden worden ist: Sogenannte Hacktivisten und gutartige White-Hat-Hacker arbeiteten mit Cyber-Kriminellen und bösartigen Black-Hat-Hackern zusammen. Sogar Technologie-Unternehmen mischten in dieser illustren Runde mit. Einige von ihnen operierten im Auftrag eines der beiden Kontrahenten, andere auf eigene Faust, aber in deren Namen – „einige frei und unabhängig voneinander, andere zentral gesteuert als feste Gruppe“.

Hacktivisten und gutartige White-Hat-Hacker arbeiteten mit Cyber-Kriminellen und bösartigen Black-Hat-Hackern zusammen

Sie alle brächten hierzu unterschiedliche Toolsets, Vorgehensweisen und Ziele in den Konflikt mit ein – abhängig von ihrem Wissensstand, Erfahrungsschatz und Ausrüstungspool. Einige begnügten sich mit einfachen DDoS-Angriffen, um Websites staatlicher Institutionen lahmzulegen. Andere führten indes hochkomplexe und von langer Hand geplante Angriffe auf Kritische Infrastrukturen durch, um ein Strom- oder Kommunikationsnetz zu unterbrechen.

Geuenich führt hierzu aus: „Dabei optimieren sie ihre Fähigkeiten und Toolsets – als Einzelperson wie als Gruppe – kontinuierlich. Sie lernen voneinander, lernen zusammenzuarbeiten. Auch und gerade mit denjenigen, die in Friedenszeiten cyber-kriminellen Aktivitäten nachzugehen suchen. Und dies sind – erstmals in einem solchen Konflikt – nicht wenige.“ Der hohe Anteil an Cyber-Kriminellen und Black-Hat-Hackern, welche sich aktiv im russisch-ukrainischen Cyber-Krieg engagierten, stelle ein Novum dar – und berge in Punkto IT-Sicherheit ein erhebliches Bedrohungspotenzial. „Denn wenn der Krieg einmal vorüber ist, wird eine erhebliche Anzahl ehemaliger ‚Cyber-Krieger‘ – ausgestattet mit einem noch nie dagewesenen Grad der Vernetzung – über mehr Wissen, mehr Erfahrung und mehr Tools verfügen als jemals zuvor.“

Die kriminellen, derzeit noch in den russisch-ukrainischen Cyber-Krieg eingebundenen Kräfte würden sich dann wieder „lohnendere Ziele“ suchen – und viele ideologische, bislang nicht zum Kreis der Cyber-Kriminellen zählenden „Krieger“ würden dann rasch erkennen, „dass ihre frisch erlangte Schlagkraft nur zu halten sein wird, wenn sie für Einnahmen in einer ausreichenden Größenordnung sorgen“. Geuenichs Fazit: „Mit einer signifikanten Verschärfung der Unsicherheitslage, mit einem weiteren drastischen Anstieg der cyber-kriminellen Aktivitäten nach dem Ende des Konflikts, sollte deshalb in jedem Fall gerechnet werden.“

Weitere Informationen zum Thema:

CHECK POINT
Cyber Attacks Now State-Level Weapon, Disrupting Everyday Lives, with Ransomware the Number One Threat, says Check Point Software’s 2022 Cyber Attacks Trends: Mid-Year Report

[datensicherheit.de, 22.02.2022] Richard Werner, „Business Consultant“ bei Trend Micro, geht in seiner aktuellen Stellungnahme auf das Thema „Cyber-Krieg“ ein: „Russland gilt als Land, welches Cyber-Kriminalität nicht verfolgt und die Tatsache, dass hier seit Januar mehrere Cyber-Kriminelle verhaftet wurden, überraschte zunächst.“ Politisch bewege man sich damit allerdings auf einem „Minenfeld“. Denn diese Verhaftungen könnten – als Zeichen des guten Willens – zur Entspannung der Ukraine-Krise beitragen; sie könnten aber bei einer Verschärfung der Krise ebenso „als Vorbereitung von staatlich unterstützter Piraterie und wirtschaftlicher Kriegsführung dienen“.

Foto: Trend Micro

Richard Werner: Wirklich erfolgreiche Cyber-Angriffe erzeugen nur punktuelle und schwer einzuschätzende Schäden…

Cyber-Kriminelle wie einst Freibeuter der Meere nur Spielball der Politik

Laut Medienberichten wurden Mitte Januar 2022 einige Protagonisten der Ransomware-Gruppierung „REvil“ durch Moskau verhaftet. „Sicherheitsforscher stellten mit Genugtuung fest, dass dies zu Ängsten und Verwirrung innerhalb der Cyber-Kriminellen-Szene führte. Viele fürchteten mit Russland einen sicheren Hafen zu verlieren. Aber Ransomware-Akteure sind, wie einst die Freibeuter der Meere, nur ein Spielball der Politik“, kommentiert Werner.

Dass im Speziellen „REvil“ festgesetzt wurde, dürfe als deutliches Zeichen zu verstehen sein, denn diese Gruppe habe seinerzeit hinter dem Angriff auf Colonial Pipeline in den USA gestanden – „die einzige Attacke auf eine Kritische Infrastruktur, die eine mehr als deutliche politische Reaktion auslöste“. Damit gebe Moskau potenziellen Nachahmungstätern ein Zeichen, welches von westlichen Beobachtern auch als Entgegenkommen gewertet worden sei.

Werner führt aus: „In einem eskalierenden Konflikt mit der Ukraine, wie wir ihn momentan beobachten, käme es für Russland aus verschiedenen Gründen ungelegen, wenn Cyber-Kriminelle Kritische Infrastrukturen im Westen angreifen und damit automatisch auch den eigenen politischen Handlungsspielraum einschränken.“

Wesen von Cyber-Waffen verstehen!

Formen der Cyber-Kriegsführung, wie Cyber-Spionage, Desinformationskampagnen oder disruptive Attacken auf Kritische Infrastrukturen bzw. Serversysteme eines Landes kann laut Werner nur verstehen, „wer sich mit dem Wesen von Cyber-Waffen auseinandersetzt“. Mit kleineren Aktionen ließen sich begrenzte Auswirkungen erzielen – „das beobachten wir schon seit über zehn Jahren“. Dadurch, dass es nicht möglich sei, den Urheber und dessen Motivation zweifelsfrei zu erfassen, handele es sich um politische Waffen, „die so lange wirken, wie sie in der Lage sind, Menschen zu verängstigen“. Größere Vorfälle, die auf Kritische Infrastrukturen oder ganze IT-Systeme eines Landes abzielten, seien hingegen für staatliche Täter nur extrem schwer kontrollierbar – „und damit als Kriegswaffe eigentlich ungeeignet“.

Als Beispiel diene „NotPetya“ von 2017. Werner erinnert: „Diese Attacke stellte sich mit großer Wahrscheinlichkeit als getarnter staatlicher Cyber-Angriff heraus, weil die Technik der Verbreitung und der angerichtete Schaden enorm fortschrittlich waren. Ganz im Gegensatz zum Ransomware-Anteil, der so unterentwickelt war, dass von einem Ablenkungsmanöver ausgegangen werden kann – im Gegensatz zu einem monetären Motiv.“ Die Ukraine habe dabei als Hauptopfer gegolten, aber auch europäische, US-amerikanische und russische Unternehmen seien von „NotPetya“ betroffen gewensen. „Denn ähnlich atomarer, biologischer und chemischer Waffen lassen sich digitale Waffen in ihrer Wirkung nicht einschränken. In einer vernetzten Welt treffen sie jeden“, betont Werner und warnt:

„Wer sie in einem Konflikt als Waffe einsetzt, muss damit rechnen, auch nicht teilnehmende Nationen sowie früher oder später sich selbst zu treffen.“ Versuche man als Täter dagegen die Waffe kontrolliert einzusetzen, brauche man Personal, um sie in ihrer Wirkung zu „betreuen“. Hierzu seien Spezialisten gefragt, um etwa pro ins Visier genommenem Unternehmen Erfolge sicherzustellen. Die Anzahl der möglichen Opfer sei durch diesen hohen Aufwand an Ressourcen automatisch begrenzt.

Cyber-Attacken eher für Manipulation und Ablenkung geeignet

Bisherige Vorfälle wie „Stuxnet“, ein im Jahr 2010 aufgedeckter und effektiver Computerwurm, oder „NotPetya“ hätten bewiesen: „Es ist möglich, mit gezielten Aktionen enorme Schäden anzurichten. Ein Kriegsgegner könnte Waffen wie diese einsetzen, um in einem eskalierenden Konflikt einer anderen Nation massive Probleme zu bereiten – mit Konsequenzen für weitere Staaten.“ Denn ebenso wie der Einsatz einer nuklearen Waffe hätte eine unkontrollierte digitale Eskalation der Krise zwischen Russland und der Ukraine auch Auswirkungen auf Deutschland, Europa und die ganze Welt.

Da die Folgen aber wesentlich milder seien als die einer nuklearen Bedrohung, könnte dieses Szenario für militärische „Falken“ weniger abschreckend wirken. Umso wichtiger sei es, die diplomatische Konfliktlösung in den Vordergrund zu stellen. Tatsächlich könne davon ausgegangen werden, dass heute jedes Land über Mittel verfügt, nicht allein defensiv zu reagieren. „So ist auch die Bundesregierung zumindest im Besitz der notwendigen Technik für einen ,Hackback‘, um bei Attacken zurückschlagen zu können“, so Werner.

Cyber-Kriegsführung sei in manchen Nationen mittlerweile fest etabliert und Angriffe kämen demzufolge strategisch zum Einsatz. In der Regel seien staatliche Täter jedoch mehr daran interessiert, durch Cyber-Attacken die öffentliche Wahrnehmung zu manipulieren oder Ablenkungsmanöver zu inszenieren, anstatt dauerhafte, weitgreifende Störungen – zum Beispiel Kritischer Infrastrukturen – zu verursachen. Die psychologische Wirkung überwiege an dieser Stelle. Wirklich erfolgreiche Cyber-Angriffe erzeugten nur punktuelle und schwer einzuschätzende Schäden, „die bestenfalls den Weg für einen konventionellen Schlag ebnen, ihn aber nicht ersetzen“, so Werners Fazit.

Weitere Informationen zum Thema:

BBC NEWS, 14.01.2022
REvil ransomware gang arrested in Russia

datensicherheit.de, 18.01.2022
REvil-Ransomware-Gruppe: Verhaftung in Russland auf Anfrage der USA / Diesmal REvil-Rädelsführer tatsächlich verhaftet und Vermögenswerte beschlagnahmt

[datensicherheit.de, 21.03.2012] Die vom russischen Innenministerium jüngst verhafteten acht Verdächtigen seien die mutmaßlichen Betreiber eines weniger bekannten, dafür aber umso effektiveren Botnetzes mit Namen „CARBERP“, meldet TREND MICRO. International bekannt gemacht worden sei die Verhaftung durch den Sicherheitsexperten Dr. Gary Warner von der University of Alabama in den USA.
Die für Spionage und Diebstahl eingesetzte Schadsoftware verfüge über ausgeklügelte Tarntechniken, die auch die Sicherheitsmechanismen der neuesten „Windows“-Versionen überlisteten. Wie aktuelle Recherchen von TREND MICRO zeigten, befinde sich über ein Viertel der infizierten Systeme in Deutschland. Die Opfer stammten aus dem öffentlichen Sektor, der Industrie und Universitäten.
TREND MICRO beobachtet das Botnetz nach eigenen Angaben bereits seit mehreren Jahren. Hinter dem Namen „CARBERP“ verberge sich eine Trojaner-Familie, die wahrscheinlich als Konkurrent zur viel bekannteren „ZeuS“-Schadsoftware entwickelt worden sei. Da der Schädling Einträge in der „Windows Registry“ weder erzeuge noch modifiziere und sich perfekt getarnt in Verzeichnissen festsetze, für die keine Administratorenrechte nötig sind, werde er vom „Windows“-Betriebssystem nicht erkannt.
„CARBERP“ überwache die Browsing-Aktivitäten des Opfersystems. Darüber hinaus kontaktiere der Schädling seinen Befehls- und Kontrollserver. Dort lade er eine Konfigurationsdatei herunter, schicke eine Liste der auf dem betroffenen System laufenden Prozesse und nehme verschiedene Befehle entgegen. Mit diesen Fähigkeiten könnten die Cyber-Kriminellen jede gewünschte Information einschließlich Zugangsdaten zu Online-Bankkonten stehlen.
Die Festnahme der acht Verdächtigen in Russland zeige einmal mehr die Notwendigkeit, aber auch die Wirksamkeit einer internationalen Zusammenarbeit zwischen Ermittlungsbehörden und Vertretern der IT-Sicherheitsindustrie, betont Martin Rösler, „Director Threat Research“ bei TREND MICRO. Das sei die gute Nachricht für 2012. Wie sie vorhergesagt hätten, werde die Zahl der Festnahmen steigen. Doch das könne nur der erste Schritt sein, denn der Kampf um die Netze durch immer komplexere gezielte Angriffe habe gerade erst begonnen, so Rösler.

[datensicherheit.de, 24.09.2011] Die Hackerangriffe auf Regierungen und Länder gehen nach Erkenntissen von TREND MICRO weiter. Nach dem Angriff auf die Rüstungsindustrie vor allem in den USA und Japan sei eine Attacke entdeckt worden, die insbesondere Länder der Gemeinschaft Unabhängiger Staaten (GUS) ins Visier genommen habe:
Die am meisten betroffenen Länder seien Russland, Kasachstan und die Ukraine. Angegriffen worden seien unter anderem diplomatische Vertretungen, Ministerien, Raumfahrtbehörden sowie Forschungsinstitute.
Die Angreifer, welche die vollständige und ununterbrochene Kontrolle über die infizierten Systeme gehabt hätten, hätten es offensichtlich gezielt auf bestimmte Dateien und Tabellen abgesehen.
Insgesamt seien 1.465 Rechner, davon allein 1.063 in Russland, in 47 Einrichtungen und in 61 Ländern ausspioniert worden. Die Hacker hätten die Angriffsmethode „LURID“ in Form von mehr als 300 zielgerichteten Einzelattacken verwendet. Bei „LURID“, oftmals auch als „Enfal“ bezeichnet, handele es sich zwar um eine bekannte Schadsoftware; allerdings werde sie nicht im digitalen Untergrund gehandelt, stehe also den Online-Gangstern nicht beliebig zur Verfügung, so Udo Schneider, „Solution Architect EMEA“ bei TREND MICRO. Bislang sei „LURID“ vor allem gegen Behörden und Nichtregierungsorganisationen in den USA eingesetzt worden. Dieses Mal seien vor allem Nachfolgestaaten der ehemaligen Sowjetunion das Ziel der Angreifer. Ihren bisherigen Erkenntnissen zufolge bestünden aber keine Beziehungen zwischen den verschiedenen „LURID“-Angriffsserien.
Die betroffenen Einrichtungen seien von TREND MICRO unterrichtet worden.

blog.trendmicro.de
Neues Hackernetz: Angriff auf Russland, Kasachstan und die Ukraine

[datensicherheit.de, 19.05.2011] Deutschland zähle gemeinsam mit Japan, Serbien, Tschechien und Luxemburg zu den „sichersten Surf-Regionen im Web“, so der „Malware-Report“ für das erste Quartal 2011 von KASPERSKY lab:
Diese Aussagen stützten sich auf Auswertungen des „Kaspersky Security Networks“ (KSN), an dem Millionen von Nutzern der Heimanwenderprodukte aus 213 Ländern teilnähmen. Allein im ersten Quartal des laufenden Jahres habe KASPERSKY lab über 254 Millionen Malware-Angriffe aus dem Web blockiert. Dabei kämen 89 Prozent aller Webangriffe aus insgesamt nur zehn Ländern. Unangefochten an erster Stelle dieser Liste stänen die Vereinigten Staaten von Amerika. Zwischen Januar und März 2011 sei der Anteil der bösartigen Websites aus den USA um 1,7 Prozentpunkte gestiegen. Dabei sei der Großteil des gefährlichen Inhalts auf kompromittierten, legalen Websites zu finden. Die Anzahl der Websites mit schädlichem Inhalt aus China und Deutschland habe hingegen stetig abgenommen. Aus beiden Ländern hätten die Experten von KASPERSKY lab3,33 beziehungsweise 3,28 Prozentpunkte weniger Webattacken als noch im Jahr 2010 feststellen können.
Nutzer in Russland und dem Oman seien dem größten Infektionsrisiko im Internet ausgesetzt gewesen. Nahezu jeder zweite Computer (insgesamt 49 Prozent) in diesen beiden Ländern habe in den ersten drei Monaten des Jahres das Ziel einer Webattacke dargestellt. Zu den Ländern mit einem ähnlich hohen Risiko zählten der Irak, Weißrussland, Armenien, Aserbaidschan und Kasachstan.

Weitere Informationen zum Thema:

Viruslist.com
Malware-Report, erstes Quartal 2011

[datensicherheit.de, 17.08.2009] Die Arbeiterkammer Niederösterreich warnt vor dubiosen E-Mails, die zur Zeit in Österreich und Deutschland kursieren sollen:
Darin stelle sich ein „Zusammenschluss von Investoren in Zusammenarbeit mit Banken“ bzw. eine „Interessenvertretung russischer und ukrainischer Unternehmer“ vor und suggeriere eine schnelle, unbürokratische Vermittlung von Krediten – weitgehend ohne Sicherheiten, praktisch in jeder Höhe und ohne Überprüfungen.
Wer auf eine solche E-Mail reagiert, erhalte ziemlich schnell eine Zahlungsaufforderung über 45 Euro – angeblich eine „Gebühr“ für die Übersetzung des Kreditantrags, die an eine Bank in Spanien zu überwiesen sei.

Weitere Informationen zum Thema:

NÖ Arbeiterkammer, 17.08.2009
Wunschkredit aus Russland