DarkVishnya: interne Angriffe auf Unternehmensinfrastrukturen

Cyberkriminelle müssen Ihre Computer nicht mit Malware infizieren, wenn sie ihre eigenen Geräte einfach direkt an Ihr Netzwerk anschließen können.

Normalerweise beginnen wir mit der Untersuchung eines Cybervorfalls, indem wir uns auf die Suche der Infektionsquelle begeben. Für gewöhnlich ist diese Quelle nicht besonders schwer zu finden – wir halten ganz einfach Ausschau nach einer E-Mail mit Malware-Anhang, einem schädlichen Link oder einem gehackten Server. Im Regelfall verfügen Sicherheitsexperten über eine umfassende Geräteliste; sie müssen also lediglich herausfinden, welches ​​dieser Geräte die schädliche Aktivität entfacht hat. Was aber, wenn alle Ihre Computer scheinbar einwandfrei sind – und es dennoch bösartige Aktivitäten gibt?

Kürzlich haben unsere Experten genau eine solche Situation untersucht. Worauf sie gestoßen sind? Die Angreifer haben ihr eigenes Gerät physisch mit dem Unternehmensnetzwerk verbunden.

Der Ausgangspunkt dieser Art des Angriffs, DarkVishnya genannt, ist ein Krimineller, der ein Gerät zum Büro oder Arbeitsplatz des Opfers bringt und es dann mit dem Unternehmensnetzwerk verbindet. Über dieses Gerät können die Kriminellen dann die IT-Infrastruktur des Unternehmens aus der Ferne untersuchen, Passwörter abfangen, Informationen aus öffentlichen Ordnern lesen und vieles mehr.

Alle technischen Details zu diesem Angriff finden Sie in diesem Beitrag auf Securelist. In diesem besonderen Fall hatten es die Kriminellen auf mehrere Finanzinstitute in Osteuropa abgesehen. Die Methode kann potenziell aber gegen jedes Großunternehmen eingesetzt werden. Je größer desto besser; denn in den Büroräumen eines Großunternehmens ist es deutlich einfacher, ein schädliches Gerät unbemerkt unterzubringen. Besonders effektiv ist diese Methode aber vor allem dann, wenn ein Unternehmen über viele Büros weltweit verfügt, die mit einem einzigen Netzwerk verbunden sind.

Die Geräte

Bei der Untersuchung dieses Falls stießen unsere Experten auf drei unterschiedliche Gerätetypen. Derzeit können wir allerdings noch nicht genau sagen, ob all diese Geräte von einer einzigen Gruppe in die betroffenen Unternehmen eingeschleust worden sind oder ob es mehrere Akteure gab; alle Angriffe verfolgten allerdings denselben Ansatz. Bei allen beteiligten Geräten handelte es sich um:

  • Ein billiges Note- oder Netbook. Angreifer sind definitiv nicht auf ein Flaggschiffmodell angewiesen. Sie können ganz einfach ein gebrauchtes Modell kaufen, diesem ein 3G-Modem einsetzen und zusätzlich ein Remote-Control-Programm installieren. Dann verstecken sie das Gerät, um zu verhindern, dass es bemerkt wird, und verbinden es mit zwei Kabeln – eines davon mit dem Netzwerk und das andere mit einer Steckdose.
  • Ein Raspberry-Pi. Der Raspberry Pi ist ein Miniaturcomputer, der über eine USB-Verbindung mit Strom versorgt wird und sehr kostengünstig und vor allem unauffällig ist und somit besser in einem Büro versteckt werden kann als ein sperriger Laptop. Der Raspberry kann beispielsweise an einen Computer angeschlossen werden, wo er von zahlreichen Drähten getarnt wird, oder am USB-Anschluss eines Fernsehers in einer Empfangshalle oder im Warteraum.
  • Ein Bash Bunny. Der Bash Bunny ist als Tool für Penetrationstests gedacht und wird in Hackerforen frei verkauft. Für die angemessene Funktionsweise des Geräts ist keine dedizierte Netzwerkverbindung erforderlich; es funktioniert ganz einfach über den USB-Anschluss eines Computers, was es darüber hinaus einfacher zu verstecken macht. Optisch ähnelt der Bash Bunny einem USB-Stick.

Wie werden sie verbunden?

Selbst in Unternehmen, in denen Sicherheitsbedenken ernst genommen werden, ist das Einschleusen eines solchen Geräts nicht unmöglich. Postboten, Job-Bewerber sowie Kunden- und Partnervertreter gehen in den meisten Büros ein und aus, sodass Kriminelle versuchen können, sich als eine dieser Personen auszugeben.

Ein zusätzliches Risiko: Ethernet-Steckdosen werden in Büros so gut wie fast überall installiert – in Fluren, Meetingräumen, Empfangshallen, usw. Schauen Sie sich in einem durchschnittlichen Business Center um, und wir garantieren Ihnen, dass Sie irgendwo ein kleines Gerät finden werden, das mit dem Netzwerk und einer Steckdose verbunden ist.

Das können Sie tun

Immerhin hat diese Art des Angriffs einen Schwachpunkt – Angreifer müssen erst in das gewünschte Büro gelangen und dort eines der oben genannten Geräte physisch anschließen. Aus diesem Grund sollten Sie zunächst den Zugriff auf das Netzwerk in Bereichen beschränken, die für Außenstehende frei zugänglich sind.

  • Entfernen Sie nicht verwendete Ethernet-Steckdosen in öffentlichen Bereichen. Wenn dies nicht möglich ist, isolieren Sie diese zumindest in einem separaten Netzwerksegment.
  • Platzieren Sie Ethernet-Steckdosen so, dass sie für bestehende Sicherheitskameras sichtbar sind (dies könnte Kriminelle abschrecken oder zumindest bei der Untersuchung eines Vorfalls hilfreich sein).
  • Verwenden Sie eine Sicherheitslösung mit zuverlässigen Gerätesteuerungstechnologien (z.B. Kaspersky Endpoint Security for Business).
  • Erwägen Sie die Verwendung einer speziellen Lösung zur Überwachung von Anomalien und verdächtigen Aktivitäten im Netzwerk (z.B. Kaspersky Anti Targeted Attack Platform).
Tipps