Bildungswesen

Cyberbedrohungen für das Bildungswesen

Das Bildungswesen ist Cyberbedrohungen durch die folgenden Angreifergruppen ausgesetzt:

  • APT-Gruppen (Advanced Persistent Threat)1, die sich zum Zwecke der Wirtschaftsspionage Zugang zu vertraulichem geistigem Eigentum verschaffen (zum Beispiel aus Forschungszentren).
  • APT-Gruppen, die die Netzwerkinfrastruktur von Bildungseinrichtungen als Ausgangspunkt für Cyberangriffe auf andere Branchen nutzen wollen. Dabei soll der gute Ruf dieser Einrichtungen ihre Aktivitäten als unverdächtig erscheinen lassen.
  • Organisierte Cyberkriminelle, die sensible personenbezogene oder Finanzdaten von Studenten, Lehrkräften und Mitarbeitern stehlen und verkaufen.
  • Hacktivisten, die Websites verunstalten und stören, um Aufmerksamkeit auf einen Protest oder ein bestimmtes Thema zu lenken.
education cyber threat intelligence

Bedrohungslage und Branchenprognose

Die Netzwerke von Bildungseinrichtungen werden höchstwahrscheinlich auch in Zukunft ein wichtiges Ziel von Angreifern sein, die die wertvollen dort gespeicherten Informationen stehlen oder die Infrastruktur als Ausgangsbasis für Angriffe auf andere Ziele missbrauchen wollen. Insbesondere in Universitäten fällt es den Administratoren schwer, für effektive Netzwerksicherheit zu sorgen. Das liegt nicht nur an der Größe eines typischen Universitätsnetzwerks und der Anzahl seiner Nutzer, sondern auch daran, dass interne und externe Nutzer regelmäßig auf eine große Menge an Daten zugreifen und diese weiterleiten müssen. Zukünftige Bedrohungsaktivitäten gegen diese Branche dürften unter anderem durch folgende Faktoren beeinflusst werden:

  • Universitäten, die an potenziell profitablen Forschungsprogrammen oder vertraulichen staatlich geförderten Projekten teilnehmen, sind für APT-Gruppen interessant, die im Auftrag ihrer eigenen Regierung oder staatlicher Unternehmen Wirtschaftsspionage betreiben.
  • Auch die Zusammenarbeit mit prominenten und einflussreichen Wissenschaftlern oder Dissidenten ist ein Risikofaktor. APT-Gruppen sind an Informationen interessiert, die es ihren staatlichen Auftraggebern erleichtern, diese Personen zu überwachen und sich Einblicke in politische Diskussionen zu verschaffen.
  • Renommierte Bildungseinrichtungen werden von Hacktivisten oder APT-Gruppen zudem als medienwirksame oder symbolische Ziele eingestuft und als solche aus politischen Gründen angegriffen.
  • Die Verstrickung in Kontroversen kann Angriffe von Hacktivisten nach sich ziehen, die gegen eine in ihren Augen verantwortliche Institution protestieren oder sie bloßstellen möchten. Dazu blockieren sie zum Beispiel den Zugriff auf deren Website, verunstalten diese oder veröffentlichen vertrauliche Informationen der Institution.
Wir haben mindestens acht technisch hoch gerüstete Angreifergruppen identifiziert, die Unternehmen aus folgenden Teilsektoren infiltrierten:
  • Hochschulen & Universitäten
  • Ausbildungs- & Schulungssoftware
  • Forschungslabore
Aus Bildungseinrichtungen entwendete Daten
  • Geschäftskommunikation
  • Geschäftsdokumente
  • Bewertungen von Mitarbeitern
  • Finanzdokumente
  • Unterlagen für Subventionen/Stipendien
  • Forschungsergebnisse & Nachrichten aus der Branche
  • Rechnungen
  • Marketingmaterial
  • Meeting-Aufzeichnungen
  • Personenbezogene Daten
  • Programme & Initiativen
  • Öffentliche Newsletter

Internetkriminelle aus China nehmen Wissenschaftler ins Visier

FireEye hat die Angriffe einer Hackergruppe aus China auf zwei verschiedene Universitäten in den USA untersucht. Die Angreifer verschafften sich durch das Hochladen schädlicher Webshells auf eine nicht authentifizierte Upload-Seite auf dem Server einer der Universitäten Zugang zum Netzwerk. Anschließend breiteten sie sich im gesamten Netzwerk dieser Universität aus und entwendeten Anmeldedaten für einen von beiden Universitäten gemeinsam genutzten Webserver. Über diesen Webserver drangen sie dann in das Netzwerk der zweiten Universität ein. Die Hacker waren vor allem an Studienprogrammen und Forschungsinstituten interessiert, deren Schwerpunkt China ist.

Angriff auf den Elfenbeinturm

Erfahren Sie, warum Angreifer das Bildungswesen im Visier haben und wie Universitäten sich schützen können.

Whitepaper herunterladen

Cyberbedrohungen für das Bildungswesen

Verschaffen Sie sich einen Überblick über Cyberbedrohungen für das Bildungswesen.

Bericht lesen

education malware and crimeware

WICHTIGSTE MALWARE

FireEye identifizierte die im Bildungswesen am häufigsten verwendeten Malware-Typen und warnte seine Kunden vor:

SOGU (oder auch Kaba, PlugX) ist eine Backdoor, die Folgendes ermöglicht: Hoch- und Herunterladen von Dateien, Starten beliebiger Prozesse, Zugriff auf Dateisystem, Registry und Dienstkonfigurationen, Fernzugriff auf Shells sowie Implementierung eines individuell angepassten VNC/RDP-ähnlichen Protokolls, um dem Command-and-Control-Server (C2-Server) Zugriff auf die grafische Bedienoberfläche des Desktops zu verschaffen.
WITCHCOVEN ist ein Skript, das Informationen über die Betriebssysteme, Browser und Anwendungen der Besucher einer bestimmten Website erfasst. Wir vermuten, dass APT-Angreifer dieses Skript zum Footprinting nutzen. Mit dieser Methode erstellen Hacker ein Profil von Unternehmen und ihren Computersystemen.
Gh0stRAT ist ein Remote Access Tool (RAT), das einem frei verfügbaren Quellcode entstammt. Es kann Bildschirm- und Audioaufnahmen durchführen, Webcams einschalten, Prozesse auflisten und beenden, eine Befehlsshell öffnen, Ereignisprotokolle löschen sowie Dateien erstellen, manipulieren, löschen, ausführen und übertragen.
SpyNet ist ein frei verfügbares RAT, mit dem Internetkriminelle über eine Remote-Shell mit einem gekaperten System kommunizieren, Dateien hoch- und herunterladen, mit der Registry interagieren sowie Prozesse und Dienste starten und beenden können. Das Tool kann Desktop-Screenshots erstellen, Webcam- und Audioaufnahmen mitschneiden, gespeicherte Kennwörter extrahieren und ein infiltriertes System als Proxyserver missbrauchen. Des Weiteren ermöglicht SpyNet das Aufzeichnen von Tastatureingaben, verfügt über Anti-Debugging-Funktionen und kann VM-Abwehrmechanismen aushebeln.
PANDORA ist eine Multithread-Backdoor, die sich durch verschiedene Techniken tarnt und per UDP und TCP kommuniziert. Sie verschafft sich persistenten Zugang, indem sie mehrere Kopien von sich selbst erstellt und die ausführbaren Dateien im Schlüsseleintrag „Run“ in der System-Registry ersetzt. Zu ihren Funktionen gehören das Aufzeichnen von Tastatureingaben, das Erstellen von Bildschirmaufnahmen, die Veränderung und Infizierung von Dateien, die selbstständige Aktualisierung sowie das Herunterladen und Ausführen weiterer Malware. Sie verschafft Hackern Fernzugriff auf ein System, wird jedoch nicht auf Systemen mit gängigen chinesischen Antivirus-Programmen gestartet.

WICHTIGSTE CRIMEWARE

Sinkhole-Daten von FireEye und durch dynamischen Austausch gewonnene Bedrohungsdaten zeigen, dass im Bildungswesen am häufigsten die folgenden Crimeware-Arten entdeckt wurden:

FAREIT (oder auch Pony Loader bzw. InfoStealer) ist ein Trojaner für den Datendiebstahl, der infizierte Systeme auch für DDoS-Angriffe missbrauchen und weitere Arten von Malware herunterladen kann.
Zeus (oder auch Zbot, Citadel, Gameover) bezeichnet eine Gruppe von Trojanern, die in erster Linie entwickelt wurden, um Onlinebanking-Anmeldedaten zu stehlen. Zeus unterstützt verschiedenste weitere Funktionen, darunter die ferngesteuerte Ausführung von Shellbefehlen.
Cryptowall (oder auch Crowti) ist eine Ransomware, die Dateien auf dem infiltrierten Gerät verschlüsselt. Sie nutzt den „Onion Router“ TOR für die Kommunikation mit ihrem Command-and-Control-Server.
Simda ist ein Mehrzweck-Trojaner, der Anmeldedaten stehlen, weitere Dateien infizieren, Malware herunterladen sowie eine Backdoor auf infizierten Systemen installieren kann.
TREEMZ ist ein Trojaner, der Tastatureingaben aufzeichnet. Er ist unter Umständen als Update für ein beliebtes Online-Spiel getarnt.

1 Unserer Einschätzung nach agieren Advanced Persistent Threat-Angreifer (APT-Angreifer) im Auftrag einer Regierung, für die sie Daten stehlen oder Netzwerke infiltrieren. Zudem zeichnen sie sich durch Beharrlichkeit und den Einsatz eines breiten Spektrums an Tools und Taktiken aus.