Wasserloch-Angriffe, Teil 1: Ein paar Beispiele
Ab dieser Folge gibt es eine Aktualisierung zu gleich zwei Themengebieten, denn Wasserloch-Angriffe ("Watering Hole Attacks") sind gezielte Drive-by-Infektionen, die meist im Rahmen von Advanced Persistent Threats zum Einsatz kommen.
Eine Drive-by-Infektion auf der Lauer
Wasserloch-Angriffe richten sich gegen bestimmte Personengruppen. Die Cyberkriminellen und "staatlich gesponserten Angreifer" präparieren eine Website für Drive-by-Infektionen, die von ihren Zielpersonen regelmäßig besucht wird.
Im einfachsten Fall können erst mal die Rechner aller Besucher der Website infiziert werden (sofern sie eine entsprechende Schwachstelle enthalten). Tatsächlich aktiv wird der Schadcode aber nur auf Rechnern, die bestimmte Anforderungen erfüllen, an denen sie als Rechner der Zielpersonen erkannt werden. Das könnte zum Beispiel eine IP-Adresse aus einer bestimmten Region oder eines bestimmten Unternehmens oder einer bestimmten Organisation sein. Oder auch bestimmte Benutzernamen, Konfigurationen, ... .
Üblicher ist es aber, schon auf dem Server eine Auswahl zu treffen und nur Rechner von bestimmten IP-Adressen, mit bestimmten Spracheinstellungen im Browser oder ähnlichen Identifikationsmerkmalen zu infizieren, während alle anderen ignoriert werden.
Der Begriff "Wasserloch-Angriffe" für diese Art von Angriffen wurde aus der Natur übernommen: Die Drive-by-Infektionen warten auf den Webservern auf die Benutzer, die sie angreifen sollen, wie Raubtiere in der Nähe von Wasserlöchern auf die Tiere warten, die ihnen als Nahrung dienen.
Beispiel 1: Angriffe auf tibetische Aktivisten und Uiguren
Angriffe gegen tibetische Aktivisten und Uiguren gab es in den vergangenen Jahren etliche. Zum Beispiel 2012 im Rahmen gezielter E-Mail-Angriffe zur Verbreitung verschiedener APT-Schadsoftware, im Rahmen der Vorbereitung der Geburtstagsfeier das Dalai Lama oder mit Hilfe von Fotos tibetischer Organisationen.
2013 wechselten die Angreifer dann auf Wasserloch-Angriffe und
präparierten zum Beispiel im März
die Website der NGO "Tibetan Homes Foundation"
und eine
uigurische Website
für eine Drive-by-Infektion, die eine Signatur eines "gestohlenen"
Zertifikats verwendet, um unentdeckt zu bleiben. Im August folgte dann die
Website der "Central Tibetan Administration",
auf der Benutzern der chinesischen Version der Seiten unter
xizang-zhiye.org Schadcode untergeschoben wurde. Die
englische und tibetische Version der Website verbreiteten keinen Schadcode.
Meist wird zwar Windows-Schadsoftware verwendet, gerade bei Angriffen auf tibetische Aktivisten kommt aber auch Mac-OS-X-Schadsoftware zum Einsatz, da der Dalai Lama als Mac-Nutzer bekannt ist. Entsprechend gab es auch Wasserloch-Angriffe auf tibetische Aktivisten, bei denen Mac-Schadsoftware verbreitet wurde.
Beispiel 2: Angriffe auf Facebook, Apple, Microsoft, ...
Anfang 2013 gab es einige 0-Day-Schwachstellen in Java, Flash Player, Adobe Reader und Acrobat. Angegriffen wurden auch Mac-Rechner. Und zumindest teilweise handelt es sich um Wasserloch-Angriffe.
Zum Beispiel wurden die Laptops einiger Facebook-Angestellter im Januar beim Besuch einer "mobile developer website" kompromittiert. Auch die Rechner einiger Apple-Mitarbeiter wurden beim Besuch einer Entwickler-Website über eine Java-Schwachstelle kompromittiert, laut AllThingsD handelt es sich sehr wahrscheinlich um das iOS-Forum iPhoneDevSDK, das einige Zeit kompromittiert war. Und auch die Rechner einiger Microsoft-Mitarbeiter wurden auf ähnliche Weise mit Schadsoftware infiziert.
Beispiel 3: Angriffe auf französische Luft- und Raumfahrtunternehmen
Ein weiteres schönes Beispiel für einen Wasserloch-Angriff wurde
im Februar 2014 bekannt. Ausgenutzt wurde dabei eine
0-Day-Schwachstelle im IE.
Die wurde auf zwei Websites zum Einschleusen von Schadcode verwendet. Zum
einen der Website der "Veterans of Foreign Wars USA", zum anderen einer
nachgeahmten
Website der GIFAS (Groupement des Industries Françaises
Aéronautiques et Spatiales) auf gifas.assso.net
(Original: gifas.asso.fr).
Hier ist vor allem der zweite, gegen französische Luft- und Raumfahrtunternehmen gerichtete Angriff, interessant. Denn der verfolgte nur ein Ziel: Die Zugangsdaten für die Server eines "multinational aircraft and rocket engine manufacturer" sollten ausgespäht werden.
Der eingeschleuste Schadcode ergänzte die Hosts-Datei der infizierten Rechner um Einträge für die Domains dieser Server. Dadurch wird sicher gestellt, das keine DNS-Probleme den Zugriff auf diese Domains behindern (es wurden die korrekten IP-Adressen eingetragen). Jedes Mal, wenn sich die kompromittierten Rechner mit den Remote-Access-Servern des Unternehmens verbanden, konnten die Angreifer über die eingeschleuste Schadsoftware die verwendeten Zugangsdaten ausspähen. Wie es dann weiter geht, dürfte klar sein: Mit den ausgespähten Zugangsdaten wird auf die Server zugegriffen und kopiert, was die Angreifer brauchen können. Oder gleich alles, was sie finden, denn aussortieren kann man ja später immer noch.
In der nächsten Folge werden einige Wasserloch-Angriffe genauer betrachtet, danach geht es um die entscheidende Frage, wie man sich vor solchen Angriffen schützen kann.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Adobe patcht 0-Day-Schwachstelle im Flash Player
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Wasserloch-Angriffe, Teil 2: Ein Angriff mit gefälschter Website
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues zu den 0-Day-Exploits, besonders bösartige Werbung und mehr
Vorschau anzeigen