Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

15.01.2015
von: Fireye

Auf die sanfte Tour: Mit Social Engineering an Insider-Informationen gelangen

Speziell dann, wenn Festtage anstehen, wie etwa Weihnachten, Ostern oder auch der Valentinstag, quillt die E-Mail-Box über. Dann haben Versender von Spam-E-Mails Hochkonjunktur. In den Mitteilungen, die den Weg an Spam-Filtern vorbei finden, werben die Versender für Markenprodukte dubioser Herkunft oder "drohen" Empfängern damit, ihr Bankkonto werde aus Sicherheitsgründen gesperrt, wenn sie ihre Account-Daten nicht online "bestätigen" würde.
Auch die allseits beliebte Masche mit "Lade Dir doch dieses lustige Video von der Betriebsweihnachtsfeier herunter" wird verstärkt an solchen Tagen eingesetzt. Statt eines Videos, das den Chef angeblich in glühweinseliger Stimmung zeigt, "fängt" sich der Empfänger jedoch einen Trojaner oder andere Schadsoftware ein, wenn er die vermeintliche Video-Datei oder einen Web-Link zu dem File öffnet.

Intelligente Cyber-Attacken sehen anders aus
Solche Cyber-Angriffe sind relativ plump und setzen darauf, dass von den Millionen Spam-E-Mails wenigstens ein paar ihr Ziel finden oder einige Trojaner auf PCs und mobilen Endgeräten landen, deren Nutzer keine IT-Sicherheitssoftware einsetzen.

Deutlich intelligenter gehen jedoch Cyber-Kriminelle vor, deren Aktivitäten der Exclusive-Networks-Partner FireEye entdeckt und analysiert hat, die einer Gruppe namens "FIN4". Sie zielen auf börsenrelevante Insider-Informationen von Unternehmen aus der Gesundheits- und Pharma-Branche ab. Das Ziel von FIN4: Sich vertrauliche Informationen von solchen Unternehmen beschaffen, etwa über den Stand von Forschungsaktivitäten, Patentverfahren, die Zulassung von Produkten durch Genehmigungsbehörden oder über den Status von Übernahmeverhandlungen.

Auf Basis dieser Daten können die Angreifer im Vorfeld abschätzen, wann ein Unternehmen neue Produkte auf den Markt bringt, ob Großkunden Liefervereinbarungen abgeschlossen haben oder ob die Führungsgremien und Eigentürmer eines Unternehmens einer Übernahme durch eine andere Firma zugestimmt haben. Diese Insider-Informationen lassen sich in handfeste finanzielle Vorteile umsetzen.

Aktien kaufen und mitverdienen
Ein Beispiel: Ein Pharmakonzern will ein neues Medikament auf den Markt bringen. Wenn ein Insider bereits frühzeitig weiß, dass dieses Medikament von den Zulassungsbehörden freigegeben wurde und Großabnehmer wie Kliniken bereits signalisiert haben, dass sie das Mittel ordern werden, kauft er umgehend Aktien des Pharmaunternehmens. Werden diese Informationen offiziell bekanntgegeben, ist mit einem massiven Anstieg des Aktienkurses des Unternehmens zu rechnen. Das bedeutet einen Geldsegen für die Cyber-Kriminellen.

Wie FireEye ermittelte, setzt FIN4 auf ausgefeilte, gezielte Angriffe. Dabei kommt eine Kombination von Social-Engineering-Techniken, gefälschten E-Mails, manipulierten, gestohlenen Office-Dokumenten und gekaperten Accounts in Firmennetzen zum Einsatz.

Um Zugang zu verwertbaren Daten zu erhalten, setzt die Gruppe beispielsweise gestohlene, offizielle Word-Dokumente von Unternehmen oder Consulting-Firmen ein, die diese Firmen beraten, etwa im Rahmen von Übernahmeverhandlungen. Diese Word-Files werden gezielt per E-Mail an bestimmte Mitarbeiter verschickt. Die Dokumente sind mit manipuliertem VBA-Makros (Visual Basic for Applications) versehen. Sie fordern den Mitarbeiter auf, seine Account-Daten einzugeben, um das angeblich vertrauliche Dokument lesen zu können. Dadurch erhalten die Angreifer Zugang zu Log-in-Informationen von Mitarbeitern, können deren Korrespondenz mitlesen und in ihrem Namen Mitteilungen an Dritte versenden: Kollegen oder Beratungsfirmen.

Reger Informationsaustausch

FireEye zufolge gehen FIN4-"Mitarbeiter" hoch professionell vor: Alle gefälschten Mitteilungen sind in fehlerfreiem Englisch abgefasst und mit Fachbegriffen aus dem Finanzwesen und der Pharma- und Biotechnologie-Branche durchsetzt. Das erhöht die Glaubwürdigkeit der E-Mails. Zudem ist es Indiz dafür, dass hinter den Angriffen hoch professionelle Experten mit Branchenkenntnissen stecken.

Teilweise initiieren die Kriminelle mithilfe "gefakter" Mitteilungen oder Anfragen einen regen Informationsaustausch zwischen den Zielunternehmen, Beratungsfirmen und Rechtsanwaltskanzleien. Selbstverständlich lesen die Angreifer fleißig mit. Denn auch sie sind Geschäftsleute und benötigen belastbare Daten, um eine vernünftige Risikoabwägung ihrer "Investitionen" vornehmen zu können.

Damit Warnmeldungen von Kollegen oder Partnerfirmen nicht "durchkommen", manipuliert FIN4 zudem die Outlook-Regelwerke: Nachrichten, in denen von "Hacking", "Schadsoftware" oder "Phishing" die Rede ist, werden ausgefiltert und gelöscht.

Maßnahmen gegen solche Attacken
Dies alles klingt nach einem nahezu perfekten Angriffssystem. Doch auch solche Attacken lassen sich vermeiden. Wichtig ist, dass ein Unternehmen eine IT-Sicherheitslösung einsetzt, die "fortgeschrittene" Angriffe (Advanced Persistent Threats) erkennt und unterbindet. Dazu zählen beispielsweise die Systeme von FireEye auf Basis der Adaptive-Defense-Technologie des Unternehmens. Sie überwachen alle Aktivitäten im Firmennetzwerk und auf Endgeräten, analysieren übermittelte Dateien und reagieren innerhalb von Minuten auf Bedrohungen. Bei konventionellen Ansätzen kann es dagegen Tage oder gar Wochen dauern, bis Attacken wie die der FIN4-Gruppe erkannt werden.

Weitere Vorsichtsmaßnahmen sind das Deaktivieren von VBA-Makros in Office-Dokumenten und der Einsatz einer Mehrfaktor-Authentifizierung. Sie sichert den Zugriff auf Firmennetze ab. Zudem ist sollte überprüft werden, mit welchen Domains Rechner im Firmennetz kommunizieren. Verdächtig ist beispielsweise, wenn ein Informationsaustausch von Firmensystemen mit "Endpoints" stattfindet, die dem Tor-Netzwerk angehören. Tor ist eine Infrastruktur, die Verbindungsdaten anonymisiert und dadurch verschleiert, mit wem ein Firmennetz tatsächlich Verbindung aufnimmt. Auch die FIN4-Gruppe setzt Tor ein, um das Risiko der Entdeckung zu reduzieren.


Security-Finder Schweiz: Newsletter