22 Jun 2020
Ein Update der Quarantäne-Cybernachrichten: März 92, 2020
Die meisten Menschen auf der ganzen Welt sind seit etwa drei Monaten eingesperrt! Sie gehören bestimmt auch dazu, daher bin ich mir sicher, dass Sie in den letzten Monaten vieles über einen konkreten Film gehört haben: Und täglich grüßt das Murmeltier ist nämlich keine Komödie mehr! Dann das Wetter: Wenn es noch nass und winterlich ist, ist es deprimierend für alle (abgesehen von der Erfahrung, zuhause eingesperrt zu sein). Wenn es besser und sommerlich wird, bleibt es auch weiterhin eine Enttäuschung für alle, da niemand hinausgehen kann, um das prima Wetter zu genießen!
Dennoch nehme ich an, dass es vielleicht ein Trost ist, dass wir alle im selben Boot sitzen. Vielleicht. Aber wir sind gesetzestreue Menschen. Was ist mit den Cyberkriminellen? Wie geht es ihnen wohl zu Hause? Nun, ich habe neulich einige Statistiken und Trends dazu veröffentlicht. Heute möchte ich weitere Daten veröffentlichen, denn ja, Cyberkriminelle handeln schnell. // Ach ja, und übrigens, wenn Sie an weiteren Cyber-Nachrichten von der dunklen Seite interessiert sind, verpassen Sie nicht diesen Tag, der alle Beiträge sammelt.
Zuerst einmal ein paar mehr Statistiken – aktualisierte und beruhigende dazu…
Im März und vor allem im April sprang die gesamte Cyberkriminalität sprunghaft an; im Mai ist sie jedoch wieder stark zurückgegangen – bis etwa auf das Niveau vor der Coronakrise im Januar-Februar:
Gleichzeitig haben wir einen stetigen Rückgang aller Malware, die mit dem Coronavirus in Verbindung stehen, verzeichnet:
// Mit „Malware, die mit dem Coronavirus in Verbindung stehen“ sind Cyberattacken gemeint, die das Coronavirus-Thema in irgendeiner Weise dazu benutzt haben, um kriminellen Ziele zu erreichen.
Es scheint also, dass die Nachrichten vielversprechend sind. Die Cyberschurken treiben weniger als früher ihr Unwesen. Was die Statistiken jedoch nicht zeigen, ist das warum; oder – was tun sie stattdessen? Sicherlich haben sie sich nicht den ganzen Monat Mai freigenommen, der in vielen Teilen der Welt eine recht hohe Zahl von freien Tagen hat, einschließlich der Tage, an denen das Ende des Zweiten Weltkriegs gefeiert wird. Nein, das kann nicht sein. Was dann?…
Leider weiß ich es nicht. Sie erzählen mir ja nichts über ihre kriminellen Geschäftspläne. Aber ich habe meine eigene Hypothese: Vielleicht haben sie es im April so sehr übertrieben, dass sie sich im Mai eine Auszeit nehmen mussten, um ihren „Fang“, also die Masse an Daten, zu analysieren. Es braucht nämlich durchaus etwas Zeit, um sie zu sichten und richtig zu monetarisieren. Das ist nur eine Vermutung, aber durchaus möglich.
Deshalb glaube ich, dass es noch zu früh ist, um sich in der neuen „Normalität“ in Sicherheit zu wiegen. Cyber-Bösewichte haben schon immer gehackt, hacken immer noch und werden auch in der Zukunft hacken. Und alle verschiedenen Arten von Hacks nutzen immer noch die Panik rund um Corona aus, um ihnen bei ihren bösen Taten zu helfen. Viele APT-Gruppen haben es zum Beispiel in Phishing-E-Mails verwendet. Es gibt jedoch einige besondere Verwendungen des Coronavirus als Leitmotiv (apropos, es gibt auch einige Angriffe, die das Coronavirus nicht als Köder verwenden), die besonders hervorgehoben werden müssen:
So hat in letzter Zeit zum Beispiel die Hackergruppe Transparent Tribe (über die wir kürzlich einen APT-Bericht geschrieben haben), die sich auf Angriffe auf indische Unternehmen, den öffentlichen Sektor und militärische Einrichtungen spezialisiert, noch weitere, dunklere Schritte gewagt. Sie haben sich als die offizielle indische Coronavirus-App, die auf allen Geräten im Land installiert werden muss, ausgegeben, um Android-Backdoors zu verbreiten. Und es sieht so aus, als würden sie Ziele angreifen, die beim Mlitär arbeiten.
Am 20. April wurde auf dem 4chan-Forum ein Beitrag über ein Leak von Logins und Passwörtern des Instituts für Virologie von Wuhan veröffentlicht. Kurz darauf gab es in vielen Beiträgen auf verschiedenen Social-Media-Plattformen einen Aufschrei (und auch viel Medientrubel) über angeblich durchgesickerte Daten nicht nur vom Wuhan-Institut, sondern auch von der WHO, der Weltbank, der Gates Foundation und anderen Organisationen. Unsere eigene interne Untersuchung des Leaks ergab, dass die meisten Daten aus älteren Leaks stammten. Darüber hinaus wurden die Informationen, die in verschiedenen Foren gepostet wurden, meist als vermutlicher Beweis für eine absichtliche Verbreitung von SARS-CoV-2 / COVID-19 herangezogen. Im Großen und Ganzen sieht es nach echten gefälschten (!) Nachrichten mit politischen Untertönen aus. Wer da wohl dahintersteckt?
Die nächste Nachricht steht nicht direkt mit dem Coronavirus in Verbindung; allerdings wurden viele der gehackten Supercomputer zur Erforschung von COVID-19 genutzt, so dass die Forschung verlangsamt wurde. Wie auch immer…
Eines Tages, Anfang Mitte Mai, wurden mehrere Supercomputer weltweit gleichzeitig gehackt. Archer in Edinburgh, das deutsche bwHPC, das Swiss National Supercomputing Centre (das derzeit das Coronavirus-Protein analysiert) und viele weitere Hochleistungsrechenzentren in Europa, Nordamerika und China. Unsere Analyse zeigte, wie die Cyberkriminellen Backdoors benutzten, um… Krypto-Währung zu minen! All das Superhacken von Supercomputern nur deswegen? Sicherlich nicht. Da Cryptomining heutzutage wohl kaum der profitabelste Bereich der Cyberkriminalität ist, bleibt die Frage nach einem Grund: Was hatten sie wirklich vor? Ein Testlauf für etwas viel Größeres, das noch kommen wird? Und wieder einmal bleibt das Wer und Warum ein Rätsel.
Eine interessante, in Forbes veröffentlichte Untersuchung behauptet, dass Xiaomi-Smartphones die Internet-Links und Suchanfragen aller Benutzer zusammen mit Metadaten über ihre Geräte an… die Server von Alibaba gesendet haben! Jepp, der Forscher installierte seinen eigenen Browser auf seinem Telefon und das hat er entdeckt. Xiaomi dementiert natürlich alles, versprach aber trotzdem ein Software-Update und fügte ein Kontrollkästchen hinzu, mit dem die Benutzer sich gegen das Senden von Daten entscheiden können.
Und zu guter Letzt noch ein weiteres Unternehmen, dessen Ruf kürzlich aufgrund von Sicherheitsproblemen einen weiteren Imageschaden erlitt: Zoom. Die Probleme waren so eklatant schlimm, dass ich beschloss, ihre Software (seit Beginn des Corona-Lockdowns) nur auf einem „leeren“ Computer zu verwenden, sofern ich zur Benutzung von Zoom gezwungen wurde. Trotzdem muss man es Zoom lassen – in zwei Monaten haben sie die Dinge wirklich geändert. Mit jedem Patch verbessern sie die Sicherheit, und sie haben ein gutes Bug-Bounty-Programm gestartet (unter der Leitung von Katie Moussouris, die ein solches Programm zuvor bei Microsoft eingeführt hatte). Und erst kürzlich gab Zoom bekannt, dass es den Kryptodienst Keybase zum Schutz der übermittelten Daten kaufen wird. Ich hoffe also, dass Zoom ein gutes Beispiel dafür wird, wie eine gute Einstellung zur Sicherheit zum Geschäftserfolg führt – und dass sogar Zoom den Weg auf meinen „Kampf“-Laptop findet). Gut gemacht, Zoom!
Und das war’s für heute. Wenn weitere Cyber-Meldungen von der Quarantäne-Front auftauchen, werde ich Sie bald darauf auf den neuesten Stand bringen. Und jetzt… zurück an die Arbeit!