Mobile Implantate im Zeitalter der Cyberspionage und der zielgerichteten Attacken

Hintergrund

Als einer breiten Öffentlichkeit bekannt wurde, dass es massenhaft produzierte elektronische Spionageprogramme gibt, begannen viele E-Mail-Provider, Unternehmen und Privatpersonen, Datenverschlüsselung zu nutzen. Einige von ihnen führten Lösungen ein, die Verbindungen zu Servern nur noch verschlüsselt aufbauen, während andere noch einen Schritt weiter gingen und eine Ende-zu-Ende-Verschlüsselung sowohl für die Datenübertragung als auch für die Serverspeicher einsetzten.

Doch so wichtig sie auch sein mögen, gelöst haben diese Maßnahmen das Kernproblem leider nicht. Das ursprüngliche architektonische Design von E-Mails macht es möglich, Metadaten sowohl in den gesendeten als auch in den empfangenen Nachrichten im Klartext zu lesen. Unter Metadaten sind in diesem Fall unter anderem zu verstehen: Empfänger, Absender, Sende- und Empfangsdatum, Betreff, Mitteilungsgröße, Angaben darüber, ob es Anhänge gibt oder nicht, sowie der E-Mail-Client, der zum Versenden der Nachricht verwendet wurde.

Diese Informationen sind für jemanden, der eine zielgerichtete Attacke organisiert, ausreichend, um gewisse Konversationszeiten zu rekonstruieren, um herauszufinden, wann bestimmte Personen miteinander kommunizieren, wie oft sie kommunizieren und worüber sie sich austauschen. Indem sie mit diesen Informationen ihre Lücken füllen, sind die Bedrohungsakteure in der Lage, genug über ihre Ziele zu in Erfahrung zu bringen.

Neben dem oben Gesagten ist auch zu bedenken, dass sich die Technologien ständig weiterentwickeln: Etwas, das heute verschlüsselt wird, kann in ein paar Jahren unter Umständen problemlos entschlüsselt werden, je nachdem, wie stark der Chiffrierungsschlüssel ist und wie schnell sich die Technologien entwickeln.

Die oben beschriebenen Szenarien haben dazu geführt, dass manch einer Abstand vom E-Mail-Verkehr nimmt, wenn es um den Austausch vertraulicher Informationen geht. Stattdessen kommen sichere mobile Messaging-Apps mit Ende-zu-Ende-Verschlüsselung, ohne Serverspeicher und mit zeitlich festgelegtem Löschen zum Einsatz. Einerseits bieten diese Anwendungen starke Daten- und Verbindungsverschlüsselung. Andererseits verwalten sie das automatische Löschen auf Mobiltelefonen und Provider-Servern. Schließlich haben sie praktisch keine Metadaten und/oder sind unpersönlich, weshalb Angreifer nichts über potenzielle Ziele herausfinden oder Datenzusammenhänge herstellen können. So sind Konversationen tatsächlich vertraulich, sicher und trotzdem praktisch durchführbar.

Selbstverständlich hat dieses Szenario dazu geführt, dass Bedrohungsakteure Implantate für mobile Geräte entwickeln, die alle diese zuvor erwähnten Einschränkungen (aus der Perspektive eines Hackers) wettmachen sollen, das heißt also die Unmöglichkeit, die Konversation zwischen Nutzern abzufangen, die auf diese sicheren mobilen Messaging-Apps umgestiegen sind. Was genau ist nun ein Implantat? Es handelt sich um eine interessante Terminologie, die von eben den Bedrohungsakteuren eingeführt wurde, die hinter zielgerichteten Attacken stecken. Wir sind zum ersten Mal im Rahmen der Careto-Kampagne, die wir vor einigen Jahren bekannt machten, auf diese Ausdrucksweise gestoßen.

Hier werden wir nun einige Implantate analysieren, die von HackingTeam entwickelt wurden, um mobile Geräte unter iOS (Apple), Android, Blackberry und Windows Mobile zu infizieren. HackingTeam ist nicht die einzige Gruppe, die mobile Implantate entwickelt. Es gibt verschiedene Kampagnen mit unterschiedlichen Wurzeln, die in die Entwicklung mobiler Malware investiert und diese in zielgerichteten Attacken auf regionaler und internationaler Ebene eingesetzt haben.

Implantate für Android

Android-basierte Telefone sind erschwinglicher und daher auch weltweit am populärsten. Aus diesem Grund haben Smartphones unter Android bei Bedrohungsakteuren, die sich für zielgerichtete Attacken verantwortlich zeichnen, auch oberste Priorität und sie haben speziell für dieses Betriebssystem Implantate entwickelt.

Schauen wir doch einmal, wozu diese Implantate im Stande sind.

HEUR:Trojan-Spy.AndroidOS.Mekir.a

Es ist allgemein bekannt, dass der in Textnachrichten verwendete Verschlüsselungsalgorithmus schwach ist. Man kann durchaus annehmen, dass praktisch alle gesendeten Textnachrichten abgefangen werden können. Genau aus diesem Grund verwenden viele Nutzer Instant-Messaging-Programme. In dem oben abgebildeten Code-Fragment ist zu sehen, wie sich Bedrohungsakteure Zugriff auf die von WeChat verwendete Messaging-Datenbank verschaffen können, eine mobile App zum Austausch von Textnachrichten.

Nehmen wir einmal an, die vom betroffenen Anwender genutzte Messaging-App ist wirklich sicher und verwendet eine starke Ende-zu-Ende-Verschlüsselung, aber alle gesendeten und empfangenen Nachrichten werden lokal gespeichert. In diesem Fall hätten Angreifer immer noch die Möglichkeit, alle diese Nachrichten zu entschlüsseln. Und wenn sie eine Datenbank zusammen mit dem Chiffrierungsschlüssel stehlen, der auf dem Gerät des Opfers gespeichert ist, dann können die Akteure hinter diesen Attacken den gesamten Inhalt dechiffrieren. Dazu gehören alle Datenbank-Elemente – nicht nur die Textinformationen, sondern auch die geteilten geografischen Standorte, Bilder, Dateien und andere Daten.

Außerdem haben Angreifer die Möglichkeit, die Kamera des Gerätes zu manipulieren. Sie können sogar Aufnahmen vom User machen, um dessen Identität zu bestätigen. Das wiederum wird mit anderen Daten abgeglichen, wie zum Beispiel mit dem WLAN-Provider, mit dem das Telefon verbunden ist.

Tatsächlich ist es ganz egal, welche App das Opfer benutzt. Ist der mobile Endpoint erst einmal infiziert, sind die Angreifer in der Lage, alle vom Telefon gesendeten und empfangenen Nachrichten zu lesen. In den folgenden Code-Segmenten sehen wir die Anweisungen, die für die Interaktion mit den Apps Viber und WhatsApp gelten.

Ist ein mobiles Gerät einmal mit einem Implantat infiziert, so lautet die simple Regel: Wenn Sie eine sichere Textnachricht auf Ihrem Telefon lesen, so tut das der Angreifer, der hinter diesem Implantat steckt, ebenfalls.

Implantate für iOS

Zweifellos haben mobile Geräte von Apple auch einen großen Marktanteil. Bestimmt sind sie in einigen Märkten sogar populärer als Android-Geräte.

Apple hat die Sicherheitsarchitektur seiner Geräte sehr gut eingerichtet. Trotzdem sind auch sie nicht komplett immun gegen Malware-Attacken. Insbesondere dann nicht, wenn prominente Bedrohungsakteure mitmischen.

Es gibt verschiedene Infektionsvektoren für diese Geräte. Wenn prominente Ziele im Visier stehen, ist es wahrscheinlich, dass die Organisatoren der zielgerichteten Attacken Infektionstechniken mit Exploits anwenden, deren Kosten zwar sehr hoch sind – sie betragen unter Umständen mehrere hunderttausend US-Dollar –, die aber auch ebenso effizient sind. Handelt es sich eher um durchschnittliche Ziele, so werden weniger raffinierte, aber gleichermaßen effiziente Techniken eingesetzt. Darunter fällt beispielsweise die Malware-Installation via zuvor infiziertem Computer, mit dem das mobile Gerät dann über einen USB-Port verbunden wird.

Über welche technischen Möglichkeiten verfügen iOS-Implantate? Werfen wir einen Blick auf das folgende Beispiel:

Trojan.OSX.IOSInfector.a

Dieser Trojaner infiziert iOS-Geräte unter Ausnutzung eines zuvor auf dem Gerät durchgeführten Jailbreaks, wenn es von dem Angriffsopfer aufgeladen wird. Mit anderen Worten: Wenn die ins Visier genommenen User ihre Smartphones normalerweise mit Hilfe eines USB-Kabels aufladen, kann ein zuvor infizierter Computer einen kompletten Jailbreak auf dem Gerät erzwingen, und wenn dieser Prozess auf dem Gerät abgeschlossen ist, wird das oben erwähnte Implantat installiert.

In diesem Code sieht man, dass die Angreifer in der Lage sind, ein Gerät zu infizieren und die Identität des Opfers zu bestätigen. Das ist ein kritischer Schritt im Verlauf einer zielgerichteten Attacke, da die dahinter stehenden Bedrohungsakteure nicht das falsche Opfer infizieren oder – noch schlimmer – die Kontrolle über ihr Implantat verlieren und die gesamte Operation verderben wollen, indem sie ihre Attacke der Öffentlichkeit preisgeben.

Folgerichtig gehört zu den technischen Möglichkeiten solcher Implantate auch die Fähigkeit, die Telefonnummer ihrer Ziele zusammen mit anderen Daten zu bestätigen, um sicher zu gehen, dass nicht die falsche Person angegriffen wird.

Neben anderen vorbereitenden Erkundungsaktionen überprüft dieses Implantat auch den Namen des mobilen Gerätes, das genaue Modell, den Batteriestatus, die Wi-Fi-Verbindungsdaten und die für jedes Gerät einmalige IMEI-Nummer.

Was ergibt es aber für einen Sinn, den Akkustatus zu überprüfen? Dafür gibt es mehrere Gründe, wobei der wichtigste wohl darin liegt, dass die Daten über das Internet an den Server der Hacker übermittelt werden können, sobald diese Informationen von dem infizierten Gerät abgegriffen werden. Wenn Smartphones mit dem Internet verbunden sind, sei es über eine Mobilfunk- oder eine WLAN-Verbindung, so wird die Akkuladung schneller aufgezehrt als im Normalfall. Wenn Angreifer zu einem unpassenden Zeitpunkt Daten abfischen, könnte das Opfer schnell bemerken, dass da irgendetwas mit seinem Telefon nicht stimmt, da der Akku heiß wird und er sich schneller als üblich leert. Aus diesem Grund stehlen Angreifer eher dann Informationen von ihren Opfern – insbesondere große Daten wie Fotos oder Videos –, wenn der Akku gerade aufgeladen wird und das Smartphone mit dem WLAN verbunden ist.

Ein wichtiger Teil der Spionage-Technik ist die Kombination der realen Welt des Opfers mit seiner digitalen Welt. Mit anderen Worten: Das einzige Ziel sind nicht nur die auf dem Smartphone gespeicherten Informationen – auch normale Gespräche, die offline geführt werden, sollen ausgekundschaftet werden. Doch wie stellen die Verbrecher das an? Indem sie die Frontkamera und das Mikrofon auf den gehackten Geräten aktivieren. Das Problem ist allerdings, dass das Telefon ein Geräusch macht, wenn ein Foto aufgenommen wird, sofern es nicht im lautlosen oder im Vibrations-Modus ist. Wie lösen die Hacker dieses Problem? Dazu haben die Implantate eine spezielle Einstellung, die die Kamera-Geräusche deaktiviert.

Wurde die Identität des Opfers bestätigt, so sammeln die Angreifer erneut die Informationen, die sie interessieren. Der Code unten zeigt, dass die Bedrohungsakteure auch an der Skype-Konversation ihrer Opfer interessiert sind.

Auf diese Weise haben die Angreifer die komplette Kontrolle über die Konversation ihrer Opfer. In diesem Fall ist Skype die Messaging-App, die die Angreifer verwenden, doch eigentlich könnte es jede andere App ihrer Wahl sein, auch eine derjenigen, die als besonders sicher gelten. Wie oben erwähnt, ist das mobile Endgerät das schwächste Glied, und ist es einmal kompromittiert, so besteht für die Angreifer keine Notwendigkeit mehr, den Verschlüsselungsalgorithmus zu knacken, wie stark er auch immer sein mag.

Implantate für Blackberry

Einige Ziele benutzen unter Umständen Blackberry-Telefone, die unter dem gleichnamigen Betriebssystem laufen, das als das Sicherste auf dem Markt gilt. Doch selbst wenn diese Telefone sicherer sind, so lassen sich die Akteure, die hinter zielgerichteten Attacken stehen, davon nicht abschrecken und haben bereits aufgerüstet.

Trojan-Spy.BlackberryOS.Mekir.a

Dieses Implantat wird charakterisiert durch eine starke Code-Obfuskationstechnik. Die Malware zu analysieren ist eine komplexe Aufgabe. Mit einem Blick auf den Code können wir eindeutig feststellen, dass der Entwickler – auch wenn das Implantat von demselben Bedrohungsakteur stammt –, zu einer anderen Entwicklergruppe gehört. Es scheint, als ob eine eigene Gruppe zuständig für die Entwicklung von Implantaten für dieses spezielle Betriebssystem war.

Welche Aktionen können diese Implantate auf einem infizierten Blackberry-Gerät durchführen? Mehrere Aktionen sind möglich:

• Überprüfung des Akkustatus
• Verfolgen der geografischen Position des Opfers
• Erkennen, wenn eine SIM-Karte ersetzt wird
• Lesen der auf dem Gerät gespeicherten Text-Nachrichten
• Erstellen einer Liste der ein- und ausgehenden Anrufe

Wenn Blackberry-Telefone anfangen, das Betriebssystem Android zu nutzen, werden die Bedrohungsakteure sehr viel weiter reichende Möglichkeiten erhalten.

Implantate für Windows Mobile

Windows Mobile ist nicht unbedingt das populärste Betriebssystem für mobile Geräte auf dem Markt, aber es ist das Betriebssystem, das traditionell von Nokia-Geräten benutzt wird. Und diese werden wiederum von Leuten bevorzugt, die auf Qualität und eine solide Trackhistory Wert legen. Weil die Möglichkeit besteht, dass einige Anwender Windows Mobile nutzen, ist die Entwicklung von Implantaten für Geräte unter diesem Betriebssystem ebenfalls in vollem Gange. Schauen wir uns nun also einmal die technische Bandbreite der Implantate für Geräte unter Windows Mobile an.

HEUR:Trojan-Spy.WinCE.Mekir.a

Wird das mobile Gerät eines Anwenders infiziert, so wird dieses Implantat unter einer dynamischen Bibliothek mit dem Namen bthclient.dll verborgen, bei der es sich vermutlich um einen Bluetooth-Treiber handelt.

Die technischen Möglichkeiten dieser Implantate sind praktisch unbegrenzt. Angreifer können verschiedene Aktionen durchführen, wie zum Beispiel das:

• Abfragen einer Liste der installierten Apps
• Abfragen des Namens des Wi-Fi-Zugriffspunkts, mit dem das Opfer verbunden ist
• Abfragen des Inhalts der Zwischenablage, die normalerweise Informationen enthält, die für den User von Interesse und dementsprechend auch für die Angreifer interessant sind

Die Bedrohungsakteure sind unter Umständen sogar in der Lage, den Namen des Access Points (APN) herauszufinden, mit dem sich die Anwender verbinden, während sie den Datenplan über ihren Provider nutzen.

Des Weiteren können Angreifer aktiv spezielle Apps überwachen, wie zum Beispiel den Standard-E-Mail-Client und die von einem Gerät unter Windows Mobile genutzte Kommunikationszentrale zur Verarbeitung der Kommunikationsdaten des Opfers.

Fazit

Wie bereits einleitend dargelegt, ist es sehr wahrscheinlich, dass die wirklich vertraulichen Konversationen in sicheren mobilen Ende-zu-Ende-Apps stattfinden und nicht in mit PGP-verschlüsselten E-Mails. Angreifer wissen das und daher haben sie nicht nur intensiv an der Entwicklung von Implantaten für Desktop-Computer gearbeitet, sondern auch für mobile Geräte. Wir können mit Sicherheit behaupten, dass Bedrohungsakteure in den Genuss zahlreicher Vorteile gelangen, wenn sie ein mobiles Gerät anstelle eines traditionellen Computers infizieren. Ihre Opfer tragen ihre Smartphones stets bei sich, das heißt, diese Geräte enthalten Informationen, die auf ihren Arbeitscomputern nicht zu finden sind. Außerdem sind mobile Geräte vom technologischen Standpunkt aus gesehen in der Regel weniger gut geschützt und die Opfer glauben meist nicht, dass ihre mobilen Geräte überhaupt infiziert werden können.

Trotz starker Datenverschlüsselung ist ein kompromittiertes mobiles Endgerät möglicher Spionage schutzlos ausgeliefert, da die Angreifer Nachrichten genauso lesen können wie die Nutzer selbst. Bedrohungsakteure müssen sich nicht mit Verschlüsselungsalgorithmen herumschlagen oder Daten auf Netzwerkebene abfangen. Sie lesen diese Informationen auf dieselbe Art und Weise, wie ihre Opfer es auch tun würden.

Mobile Implantate kommen nicht bei massenhaften Attacken zum Einsatz, die von Cyberkriminellen initiiert werden; es handelt sich vielmehr um zielgerichtete Angriffe, bei denen die Opfer vor Beginn des Überfalls sorgfältig ausgesucht werden. Und was macht sie zum Ziel?

Es gibt verschiedene Faktoren, die einen zum Opfer machen. So spielt es beispielsweise eine Rolle, ob man eine politisch exponierte Person ist, ob man über Kontakte verfügt, die für die Angreifer von Interesse sind, oder ob man an einem geheimen oder vertraulichen Projekt arbeitet, das ebenfalls von Interesse ist. Eins ist jedoch sicher: Ist man Ziel einer solchen Attacke, ist die Wahrscheinlichkeit einer Infektion des mobilen Geräts sehr hoch.

Alles, was jetzt noch bleibt, ist eine Geldschlacht. Man kann sich nicht aussuchen, ob man zum Opfer wird oder nicht, doch man kann die durch eine solche Attacke entstehenden Kosten so weit in die Höhe treiben, dass die Bedrohungsakteure möglicherweise aufgeben und sich einem anderen, weniger kostspieligen Opfer zuwenden, bei dem das Verhältnis zwischen investierter Zeit und dem Risiko, entdeckt zu werden, ausgewogener ist. Wie kann man nun die Kosten für eine Attacke in die Höhe treiben? Hier gibt es eine Auswahl an Lösungen, besten Methoden und Gewohnheiten im Allgemeinen. Jeder Fall ist einmalig, doch die Grundidee dahinter ist, die Angreifer zu demotivieren, wenn es für sie erst einmal zu aufwändig wird, ihre Operationen durchzuführen, während das Risiko zu versagen, immer weiter steigt.

Von unseren grundlegenden Empfehlungen zur Verbesserung der Sicherheit mobiler Geräte möchten wir die folgenden ganz besonders hervorheben:

• Gehen Sie immer über eine VPN-Verbindung ins Internet. Dadurch ist Ihr Netzwerk-Traffic nicht mehr so leicht abzufangen und nicht so anfällig gegenüber Malware, die direkt in eine legitime, aus dem Internet heruntergeladene Applikation eingeschleust werden kann.
• Laden Sie Ihre mobilen Geräte nicht über einen USB-Port am Computer auf. Das Beste ist, das Telefon direkt an den Netzadapter anzuschließen.
• Installieren Sie ein Anti-Malware-Programm. Es muss das Beste sein. Es scheint, als läge die Zukunft dieser Lösungen exakt in denselben Technologien, die bereits in der Desktop-Sicherheit umgesetzt wurden: Default Deny und Whitelisting.
• Schützen Sie Ihre Geräte mit einem Passwort, nicht mit einer PIN. Wird die PIN gefunden, so können Angreifer physischen Zugriff auf Ihr mobiles Gerät erhalten und das Implantat ohne Ihr Wissen installieren.
• Verwenden Sie Verschlüsselungen in den von Ihrem mobilen Gerät genutzten Datenspeichern. Das gilt insbesondere für Geräte, die Speicherextraktion zulassen. Wenn Angreifer Ihren Speicher auslesen, indem sie ihn mit einem anderen Gerät verbinden, sind sie auch in der Lage, ohne Probleme Ihr Betriebssystem und Ihre Daten im Allgemeinen zu manipulieren.
• Führen Sie KEINEN Jailbreak auf Ihrem Gerät durch, insbesondere wenn Sie nicht wissen, was das nach sich zieht.
• Benutzen Sie keine Smartphones aus zweiter Hand, die bereits vorinstallierte Implantate enthalten können. Das ist besonders dann zu berücksichtigen, wenn das Telefon von jemandem stammt, den Sie nicht wirklich gut kennen.
• Halten Sie das Betriebssystem auf Ihrem mobilen Gerät auf dem neusten Stand und installieren Sie das neueste Upgrade, sobald es verfügbar ist.
• Überprüfen Sie alle Prozesse, die in Ihrem Gerätespeicher ausgeführt wurden.
• Überprüfen Sie alle autorisierten Apps auf Ihrem System und deaktivieren Sie die automatische Datenübertragungsfunktion für Logs und andere Dienstdaten, selbst wenn es sich um die Kommunikation zwischen Ihrem Smartphone und Ihrem Provider handelt.
• Denken Sie schließlich immer daran, dass konventionelle Konversation in einer natürlichen Umgebung zweifellos sicherer ist als elektronische Kommunikation.