Cyberbedrohungen nehmen gegenwärtig deutlich an Fahrt auf:  Die Angriffe internationaler Hackerbanden werden nicht nur ausgeklügelter, oft sind sie auch von langer Hand geplant. Während beispielweise gigantische DDoS-Angriffe (Distributed Denial of Service) publikumswirksam für Schaden sorgen, planen APT-Gruppen (Advanced Persistent Threat) im Hintergrund cyberkriminelle Aktivitäten – oder führen sie parallel durch. Diese spielen sich insbesondere im Crimeware- und Malware-Umfeld ab.

DDoS-Attacken im TBit/s-Bereich sind kein Science-Fiction-Szenario mehr. Der Schaden aus diesen extrem schnellen und weitreichenden DDoS-Angriffen ist wirtschaftlich, sicherheitstechnisch wie auch politisch von enormer Tragweite. Als Akteure hinter diesen Machenschaften sind ebenso staatlich finanzierte APT-Gruppen wie kriminelle Vereinigungen oder versierte Einzelkämpfer auszumachen. Der aktuelle Threat Intelligence Landscape Report fasst die Ergebnisse aus Netscouts Atlas (Active Threat Level Analysis System) zusammen. Das Asert-Personal (Atlas Security and Engineering Research Team) analysiert etwa ein Drittel des weltweiten Datenverkehrs im Internet. Dies erlaubt fundierte Rückschlüsse auf den gegenwärtigen Hackeruntergrund und die Aktivitäten seiner Mitglieder.

An sich sind DDoS-Angriffe keine große Neuigkeit. Was allerdings Sicherheitsverantwortliche auf Trab hält, ist die Geschwindigkeit und das Volumen, mit denen die Angreifer inzwischen Server-Störungen hervorrufen. Die fortlaufende Erfassung und Analyse von Web-Attacken durch Atlas zeigt deutlich, dass sowohl deren Frequenz als auch ihre Komplexität zugenommen hat. Teilweise setzen Angreifer DDoS-Mechanismen nur zur Ablenkung ein, um aus diesem taktischen Hinterhalt deutlich gefährlichere APT-Angriffe zu realisieren. Man spricht hier von „DDoS as a Smoke Screen“ (DDoS als Nebelwand). Die Angreifer wollen so Aufmerksamkeit bündeln und damit Systemressourcen von der eigentlichen Bedrohung ablenken: DDoS fungiert als Nebelkerze, welche die Sicht auf die eigentliche Gefahr verschleiern soll.

Inwieweit diese taktischen Angriffe bereits als automatisierte Botnets operieren, zeigt die Auswertung von Honeypot-Kennzahlen. Diese legen offen, wie Bedrohungsakteure jedes neu mit dem Internet verbundene IoT-Gerät innerhalb von Minuten einem Standard-Passwort-Scan unterziehen. Ist ein Gerät nicht geschützt oder bereits konfiguriert, initiieren sie in der Regel direkt dessen Integration in ein Botnet. Im Februar und März 2018 hat man erstmals Angriffe im TBit/s-Bereich durch diese IoT-BotNetze erfasst. Zwar zeigte die zweite Jahreshälfte keine weiteren Attacken in diesem Spektrum, dafür stieg die Gesamtzahl der Angriffe um satte 26 Prozent. Die Anzahl derer zwischen 100 bis 400 GBit/s explodierte regelrecht. Es ist nur eine Frage der Zeit und weniger Optimierungen, bis sich die Angriffshäufigkeit im mittleren Segment auf den TBit/s-Bereich ausdehnt.

Massive Risiken durch unzureichenden Schutz

Die Urheber von Malware produzieren nicht nur immer schlauere Tools, sie optimieren auch den Prozess rund um die Akquise von Bots – also von Netzelementen, die unter ihrer Kontrolle stehen. Gerade IoT-Geräte sind aufgrund mangelnder oder ineffizienter Schutzmaßnahmen verstärkt ins Visier geraten. Sobald ein IoT-Device mit Malware kompromittiert ist, gerät die Funktion, für die dieses Modul gebaut worden ist, in den Hintergrund. Dabei werden auch kleine Geräte, die nur einen geringen Datenverkehr erzeugen, zu einer ernsthaften Bedrohung. Denn zu großen Clustern zusammengeschlossen erzielen sie ein enormes DDoS-Angriffsvolumen.

Diese Offensiven haben zum Ziel, Internet-Services, IT-Komponenten oder die IT-Infrastruktur von Unternehmen zu verlangsamen, gänzlich lahmzulegen oder zu schädigen. Der Angreifer interessiert sich hier nur für die Offensivkapazitäten, also die Netzwerk- und CPU-Ressourcen der betreffenden Komponente. Ein bedrohliches Szenario ist dies vor allem vor dem Hintergrund, dass IoT-Geräte in industriellen Fertigungsprozessen, aber auch in kritischen Einrichtungen wie Krankenhäusern oder Überwachungssystemen zum Einsatz kommen. Der unabsichtlich herbeigeführte Kollaps Bot-befallener Systeme kann hier im Extremfall lebensgefährliche Szenarien heraufbeschwören.

Die Vormachtstellung im teils staatlich geförderten Hackersegment ist unverändert im Nahen Osten und Südostasien zu verorten. China, der Iran, Nordkorea, Vietnam und Russland unterstützen nach wie vor die Weiterentwicklung von APT-Einheiten – der Ausbau von Angriffsfertigkeiten auf taktischer, technischer und prozessualer Ebene scheint ein eigenes, staatliches In-novationsfeld geworden zu sein. Neben bestehenden Gruppen sind neue entstanden – ein Ende dieser Entwicklung ist nicht absehbar. Ebenso vielseitig wie die angreifenden Organisationen sind ihre weltweiten Ziele: Sie reichen von Bildungs- und Regierungseinrichtungen über Finanzunternehmen bis hin zum Gesundheits- und Versorgungssektor.

Während es chinesische ATP-Gruppen wie Leviathan, Temp.Periscope, Stone Panda oder Lucky Mouse offenbar im Wesentlichen auf geistiges Eigentum abgesehen haben, befassen sich iranische Cyberangreifer wie Dark Hydrus, Charming Kitten oder OilRig mit wechselnden Angriffszielen. Diese sind innerstaatlich wie auch international angesiedelt und reichen von der privaten Überwachung bis hin zu Spionageaktivitäten in gängigen Sektoren wie Luft- und Raumfahrt, IT oder Regierungseinrichtungen. Aus Russland stammende APT-Gruppen wie Fancy Bear, APT28 oder Sednit hingegen fokussieren mit ihren Angriffen staatliche, behördliche oder staatsnahe Netzwerke.

Ein vergleichsweise neuer Player auf der globalen Hackerbühne ist Vietnam: Bis vor Kurzem haben APTs wie PoisonVine und Ocean Lotus außerhalb des Angriffsradars agiert. Die zentralen Ziele vietnamesischer Aktivitäten sind neben weltweiter Wirtschaftsspionage vor allem Einblicke in die strategischen Ziele und Planungen von Anrainerstaaten des Südchinesischen Meers. Hier ist es in vergangener Zeit mehrfach zu Spannungen gekommen. Eine Besonderheit unter den ATP-Gruppen stellen die nordkoreanischen Hacker-Spezialisten dar: Ihre Zielsetzung liegt neben dem Diebstahl geistigen Eigentums vor allem darin, mit ihren zerstörerischen Aktivitäten das Regime zu unterstützen. Ein Beispiel, das für Aufsehen sorgte, ist die im Mai 2018 gestartete „Stolen Pencil“-Kampagne. Hier spähte man vermutlich im Auftrag der nordkoreanischen Regierung vier Universitäten und deren biomedizinische Forschungsabteilungen aus.

Florierender Markt

Mit APT-Gruppen als treibenden Kräften sind Cyberangriffe, Internet-Spionage und die fortlaufende Weiterentwicklung von Malware längst zu nachfragestarken Produkten geworden. Man findet sie auf einem Markt feilgeboten, der sich abseits offizieller und legitimer Pfade abspielt – ein Markt, der deshalb jedoch nicht weniger floriert. Ein Teil der globalen politischen und wirtschaftlichen Machtverhältnisse wird also hinter den virtuellen Kulissen der Cyberwelt verhandelt. Damit die eigenen IT-Ressourcen, insbesondere IoT-Geräte, nicht selbst zum Spielball dieser APT-Gruppen werden, müssen Unternehmen auf einen konsequenten und flächendeckenden Schutz ihrer Infrastrukturen achten. Ansonsten werden nicht nur ihre Ressourcen zum Ziel von Angriffen, die zu massiven Schäden führen können: Ihre Rechenleistung und Ressourcen können zusätzlich als Mittel dienen, um Dritte zu attackieren.

Guido Schaffner ist Channel Sales Engineer bei Netscout Arbor, www.netscout.com.