Lieblings-Hacker-Taktik

Das Hacken von Computersystemen kann auf viele verschiedene Arten erfolgen - von ausgeklügelten Angriffen mit dem Hacken von Netzwerkkomponenten bis hin zu technisch primitiven Techniken wie der Beeinträchtigung der Geschäftskorrespondenz. In diesem Beitrag analysieren wir die Taktiken, die die gefährlichsten Hacker-Gruppen verwenden - Lazarus, Pawn Storm, Cobalt, Silence und MoneyTaker .

Eines der wichtigsten Kriterien für die Auswahl von Hacker-Tools ist neben dem Grad der Eigenverantwortung der Gruppenmitglieder die Effektivität. Moderne Cyber-Angriffe sind komplexe mehrstufige Vorgänge, deren Implementierung viel Zeit und ernsthafte finanzielle Ressourcen erfordert. Wenn das Eindringen in das System fehlschlägt, sind alle Vorarbeiten und Kosten vergebens. Daher kann die Penetrationstaktik in Systemen, die von führenden Gruppen verwendet werden, als die effektivste angesehen werden.

Unter diesen Taktiken sollte hervorgehoben werden:

1. alle Arten von Phishing - klassisch, zielgerichtet, Phishing über soziale Netzwerke, Tabnabbing;
2. Angriffe auf die Lieferkette;
3. Angriffe wie Watering Hole;
4. Angriffe durch Schwachstellen von Netzwerkgeräten und Betriebssystemen;
5. Angriffe durch DNS-Abfangen.

Tatsächlich sind all diese Methoden seit langem bekannt, aber jede Gruppe bringt ihre eigene „Begeisterung“ mit, indem sie nur effektive Taktiken in ein panzerbrechendes Projektil verwandelt oder mehrere Techniken elegant kombiniert, um die Schutzsysteme von Unternehmen leicht zu umgehen.

Phishing

In seiner einfachsten Form ist Phishing eine normale E-Mail, die einen böswilligen Anhang oder Link enthält. Der Text des Briefes ist so zusammengesetzt, dass der Empfänger überzeugt ist, die für den Absender erforderlichen Aktionen auszuführen: Öffnen Sie den Anhang oder folgen Sie dem Link, um das Passwort zu ändern.

Briefe von Kollegen oder Managern sind glaubwürdiger als Nachrichten von Fremden, insbesondere wenn das Design des Briefes mit dem vom Unternehmen gewählten Stil übereinstimmt. In diesem Zusammenhang umfasst die Vorbereitungsphase einer Cyberkampagne mit Phishing notwendigerweise das Sammeln von Informationen über die Struktur der Organisation, eine Liste der Mitarbeiter und ihrer E-Mails sowie echte Briefe mit Designelementen.

Stille-GruppierungEs verwendet das häufigste Phishing für die Penetration mit einer leichten Nuance: Die Kampagnen umfassen notwendigerweise eine Testphase mit dem Versenden harmloser Briefe, um die Relevanz der gesammelten Adressbasis zu überprüfen. Auf diese Weise können Sie die Effektivität des Angriffs erhöhen, indem Sie Briefe mit böswilliger Belastung an die verifizierte Empfängerdatenbank senden.

Die Pawn Storm-Gruppe verwendet auch Phishing-Mailings, und ein Einflussverstärker wie die Autorität wird hinzugefügt, um ihre Effektivität zu erhöhen. In dieser Hinsicht umfasst die Vorbereitungsphase ihrer Kampagne das sogenannte High-Credential-Phishing - den Diebstahl von Konten auf hoher Ebene. Nachdem Pawn Storm eine ausreichende Menge solcher Daten über die Zielorganisation gesammelt hat, führt er für diese Personen ein Mailing durch und „belastet“ sie mit einer Nutzlast, die die erfolgreiche Erreichung des Ziels sicherstellt.

Im Arsenal der Fancy Bear-Tricks gibt es eine andere, nicht allzu bekannte - das Ersetzen einer legalen Site durch eine Phishing-Site in Browser-Tabs - Tabnabbing , beschrieben von Aza Raskin aus Mozilla im Jahr 2010. Der Tabnabbing-Angriff ist wie folgt:

• Das Opfer wird an einen harmlosen Ort gelockt, der von einem Angreifer kontrolliert wird.
• Auf der Website befindet sich ein Skript, das das Verhalten des Opfers überwacht: Sobald es zu einem anderen Tab wechselt oder längere Zeit keine Aktionen ausführt, ändert sich der Inhalt der Website auf die Autorisierungsseite in der E-Mail oder im sozialen Netzwerk und das Favicon der Website in das Favicon des entsprechenden Dienstes - Google Mail, Facebook usw. d.
• Wenn das Opfer zur Registerkarte zurückkehrt, stellt es fest, dass es sich "angemeldet" hat, und gibt ohne Zweifel seine Anmeldeinformationen ein.
• , , .

Hacker Lazarus tauschen nicht gegen Kleinigkeiten, sondern treffen lieber genau auf das Ziel. Ihre Waffen zielen auf Phishing per Post und über soziale Netzwerke ab. Nachdem sie einen für ihre Aufgaben geeigneten Mitarbeiter des Unternehmens ausgewählt haben, studieren sie seine Profile in sozialen Netzwerken und nehmen dann eine Korrespondenz mit ihm auf, die normalerweise mit einem attraktiven Angebot für eine neue Stelle beginnt. Mithilfe von Social Engineering überzeugen sie ihn unter dem Deckmantel von etwas Wichtigem, die Malware herunterzuladen und auf ihrem Computer auszuführen.

Das auf Banken spezialisierte MoneyTaker-Team führt im Auftrag anderer Banken, der Zentralbank, des Finanzministeriums und anderer finanzbezogener Organisationen Phishing-Kampagnen durch. Durch das Kopieren der Vorlagen der jeweiligen Abteilungen verleihen sie den Briefen das notwendige und ausreichende Maß an Glaubwürdigkeit für einen erfolgreichen Angriff.

Angriffe von Gegenparteien

Es kommt häufig vor, dass die Zielorganisation gut geschützt ist, insbesondere wenn es um eine Bank, ein Militär oder eine staatliche Organisation geht. Um die Stirn nicht gegen die „Betonwand“ der Verteidigungskomplexe zu brechen, greifen die Gruppen die Gegenmittel an, mit denen ihr Ziel interagiert. Nachdem Hacker die Post mehrerer Mitarbeiter kompromittiert oder sogar die Korrespondenz infiltriert haben, erhalten sie die Informationen, die für eine weitere Durchdringung und die Möglichkeit zur Erfüllung ihres Plans erforderlich sind.

Zum Beispiel drang die Cobalt-Gruppe in Bankennetzwerke ein und griff Systemintegratoren und andere Dienstleister an. Durch Hacks von Entwicklern elektronischer Geldbörsen und Zahlungsterminals konnte sie mithilfe ihres eigenen Programms automatisch Geld über Zahlungsgateways stehlen.

Bewässerungsangriff

Watering Hole oder Watering Hole ist eine der beliebtesten Taktiken von Lazarus. Die Bedeutung des Angriffs besteht darin, die legalen Websites zu gefährden, die häufig von Mitarbeitern der Zielorganisation besucht werden. Für Bankangestellte wären solche Ressourcen beispielsweise die Website der Zentralbank, Finanzministerien und Industrieportale. Nach dem Hacken werden Hacking-Tools unter dem Deckmantel nützlicher Inhalte auf der Website platziert. Besucher laden diese Programme auf ihren Computer herunter und bieten Angreifern Zugriff auf das Netzwerk.

Zu den gehackten Lazarus-Standorten gehören die polnische Finanzaufsichtskommission , die Bank der Ostrepublik Uruguay und die National Banking and Stock Commission von Mexiko . Hacker nutzten Schwachstellen in Liferay und JBoss, um Websites zu hacken.

Schwachstellen in Betriebssystem und Netzwerkhardware

Das Ausnutzen von Schwachstellen von Betriebssystemen und Netzwerkgeräten bietet erhebliche Vorteile, erfordert jedoch professionelles Wissen und Können. Die Verwendung von Exploit-Kits ohne ein tiefes Verständnis der Prinzipien ihrer Arbeit wird den Erfolg des Angriffs schnell zunichte machen: Sie haben sich in einen Hack gehackt, konnten aber nichts tun.

Sicherheitslückenangriffe sind bei MoneyTaker, Lazarus und Pawn Storm häufig. Die ersten beiden Gruppen verwenden hauptsächlich die bekannten Fehler in der Firmware von Netzwerkgeräten, um ihren Server über ein VPN in das Netzwerk des Unternehmens einzuführen, über das sie weitere Aktionen ausführen. Im Arsenal von Pawn Storm werden jedoch gefährliche Zero-Day-Schwachstellen entdeckt, für die es keine Patches gibt. Es sucht nach Systemen mit bekannten Schwachstellen.

DNS-Angriffe

Dies ist eine Familie von Angriffen, die wir nur mit Pawn Storm aufgezeichnet haben. Andere bekannte Gruppen beschränken sich normalerweise auf Phishing und zwei bis drei alternative Methoden.

Pawn Storm verwendet mehrere DNS-Kompromissstufen. Es gibt beispielsweise Fälle, in denen Unternehmensanmeldeinformationen aus dem DNS-Kontrollfeld gestohlen und MX-Server auf ihre eigenen geändert wurden, um vollen Zugriff auf die Korrespondenz zu erhalten. Der böswillige Server empfing und sendete die gesamte E-Mail an das Zielunternehmen und ließ Kopien in seinem Besitz. Hacker konnten jederzeit jede Kette infiltrieren und das gewünschte Ergebnis unentdeckt erzielen.

Eine andere Möglichkeit der Kompromittierung bestand darin, die vollständige Kontrolle über die Server des DNS-Registrars zu übernehmen. In vielen Ländern gibt es nur eine sehr kleine Anzahl von Registraren, so dass die Übernahme der Kontrolle über die größten von ihnen nahezu endlose Möglichkeiten bot, die meisten öffentlichen und privaten Organisationen in den Informationsaustausch, Phishing und andere Arten von Einfluss einzubeziehen.

Ergebnisse

Phishing ist nicht nur bei Skript-Kiddis beliebt, die Zugriff auf schädliche Dienste wie Phishing-as-Service oder Extortion-as-Service mieten. Die Wirksamkeit und relative Billigkeit dieser Methode machte sie zur wichtigsten und manchmal einzigen Waffe der gefährlichsten Gruppen. Die Fülle an Optionen für die Verwendung spielt Kriminellen in die Hände: Bevor die Geschäftskorrespondenz beeinträchtigt wird, werden die meisten Schutzlösungen verabschiedet, und die Glaubwürdigkeit und Ablenkung der Benutzer wird auf lange Sicht eine zuverlässige Unterstützung für betrügerische Angriffe sein.
Der Schutz von Computersystemen und Netzwerkgeräten ist zweifellos eine wichtige Aufgabe, ebenso wie die rechtzeitige Installation von Sicherheitsupdates. Unter Berücksichtigung der Diagramme der Cyberkriminalitätstaktiken stehen jedoch Maßnahmen zum Schutz vor dem menschlichen Faktor an erster Stelle.

Abgefangene Anmeldeinformationen aus der E-Mail einer älteren Person ermöglichen es Kriminellen, vertrauliche Informationen von besonderer Bedeutung zu stehlen und diese E-Mail und Informationen dann für einen Multi-Pass-Angriff zu verwenden. In der Zwischenzeit würde ein banales Training von Fähigkeiten und der Einsatz von MFA Hackern diese Möglichkeit nehmen.

Verteidigungssysteme stehen jedoch auch nicht still und erkennen böswillige Aktionen mithilfe künstlicher Intelligenz, tiefem Lernen und neuronalen Netzen. Viele Unternehmen entwickeln diese Klasse weiter, und wir bieten unseren Kunden mithilfe speziell ausgebildeter künstlicher Intelligenz Schutz vor hoch entwickelten BEC-Angriffen. Ihre Verwendung in Verbindung mit der Schulung von Mitarbeitern in sicheren Verhaltensfähigkeiten ermöglicht es ihnen, Cyber-Angriffen selbst der technisch am besten ausgebildeten Gruppen erfolgreich zu widerstehen.