Unterhaltung und Medien

Cyberbedrohungen für die Unterhaltungs- und Medienbranche

Unterhaltungs- und Medienunternehmen sind Cyberbedrohungen durch folgende Angreifer ausgesetzt:

  • APT1-Gruppen (Advanced Persistent Threat), die Informationen über die Berichterstattungsaktivitäten von Medienunternehmen stehlen (z. B. über Mitarbeiter, Quellen, lokale Partnerschaften, geplante Veröffentlichungen, allgemeine Aktivitäten im Land und bestimmte Themengebiete), um ihren staatlichen Auftraggebern zu helfen, das Ansehen ihres Landes im Ausland zu beeinflussen.
  • APT-Gruppen, die Wirtschaftsspionage betreiben, um einheimischen Unterhaltungs- und Medienunternehmen Wettbewerbsvorteile zu verschaffen. Hiervon sind insbesondere Informationen über Fusionen und Übernahmen sowie den Vertrieb, Technologien oder Prozesse für eine Verbesserung der Produktion sowie geistiges Eigentum betroffen.
  • Hacktivisten und APT-Gruppen, die den Betrieb eines angegriffenen Unternehmens stören möchten, um ein politisches Anliegen zu vertreten, die Berichterstattung zu beeinflussen oder eine Verbreitung von Inhalten zu verhindern, die als politisch sensibel oder kontrovers eingestuft werden. APT-Gruppen geben sich möglicherweise als unabhängige Hacktivisten aus, um ihre staatlichen Auftraggeber zu schützen.
  • Organisierte, finanziell motivierte Cyberkriminelle, die durch Angriffe auf die Spielebranche und den Diebstahl von Anmeldedaten, Aktivierungscodes, Werten in Spielen oder personenbezogenen Daten (PII) persönlichen Profit erzielen möchten.
entertainment and media cyber threats

Bedrohungslage und Branchenprognose

Die Unterhaltungs- und Medienbranche spielt eine zentrale Rolle bei der Bildung der öffentlichen Meinung sowie der Beeinflussung des nationalen Erscheinungsbildes. Darum stellt sie für APT-Gruppen und Hacktivisten ein attraktives Ziel dar. Bedrohungsaktivitäten gegen diese Branchen dürften unter anderem durch folgende Faktoren beeinflusst werden:

  • Bedenken hinsichtlich der Stabilität im eigenen Land oder der Legitimität der Regierung werden wahrscheinlich zu einer Zunahme von Angriffen durch APT-Gruppen führen, die ihren staatlichen Auftraggeber bei der Überwachung der öffentlichen Meinung, Beeinflussung des Erscheinungsbilds, Verbreitung der eigenen Botschaften und anderweitigen Nutzung von Soft Power zur Wahrung und Vergrößerung des eigenen Einflusses unterstützen möchten.
  • Um Medienunternehmen von der Veröffentlichung kontroverser Berichte und Meinungen abzuhalten, versuchen Angreifer unter Umständen, sich Zugriff auf deren Daten zu verschaffen, um an Informationen über ihre Quellen zu gelangen. Wenn staatlich gesponserte Hacker die Veröffentlichung einer bestimmten Meldung verhindern wollen, greifen sie möglicherweise ein Medienunternehmen an, das über dieses Thema berichtet. Ziel eines solchen Angriffs ist es, herauszufinden, wie viel das Unternehmen bereits weiß und aus welchen Quellen seine Informationen stammen.
  • Mitunter sollen Medienunternehmen mit einem Angriff auch eingeschüchtert oder für die Veröffentlichung eines kritischen oder unvorteilhaften Berichts bestraft werden. Dazu stehlen die Angreifer möglicherweise Daten über Mitarbeiter und Quellen , um diese unter Druck zu setzen oder zu überwachen. Gegebenenfalls versuchen Angreifer auch, vertrauliche Daten zu stehlen und zu veröffentlichen, um das Unternehmen bloßzustellen und seine Glaubwürdigkeit zu untergraben.
  • Spannungen oder Konflikte zwischen Gegnern (egal ob staatlich oder nicht staatlich) werden wahrscheinlich zu einer Zunahme von Bedrohungsaktivitäten durch mit ihnen verbundene Angreifer führen. Die Ziele werden sein, den Gegner an der Verbreitung seiner Botschaft oder Propaganda zu hindern und die eigene Propaganda über die Kanäle des Gegners zu verbreiten.
  • Die steigende Beliebtheit und Verwendung von sozialen Medien wird wahrscheinlich zu fortgesetzten Angriffen auf Anbieter und Plattformen durch APT-Gruppen, Cyberkriminelle und Hacktivisten führen. Ihre Motive werden vermutlich die Vorbereitung gezielter Angriffe durch Social Engineering oder das Vertreten der eigenen Ansichten durch das Stören von Services bzw. die Verunstaltung von Webseiten sein.
Wir haben mindestens 17 technisch hoch gerüstete Angreifergruppen identifiziert, die Unternehmen aus folgenden Teilsektoren infiltrierten:
  • Unterhaltungs- & Spieleanwendungen
  • Diversifizierte Unterhaltung
  • Sammlung & Bereitstellung von Informationen
  • Publishing-, Broadcasting- & Suchportale im Internet
  • Zeitschriftenverleger
  • Multimedia-, Grafik- & Publishing-Software
  • Zeitungsverleger
  • Fernsehkonzerne
Bei Unterhaltungs- und Medienunternehmen entwendete Daten
  • Adressbücher
  • Kalenderdateien
  • Führungskommunikation
  • Verhandlungsdaten
  • Dokumente über die Netzwerkinfrastruktur
  • PR- und Marketingmaterial
  • Kommunikation von Journalisten
  • Anmeldedaten von Benutzern

Hackerangriff unter falscher Flagge auf TV5 Monde

Im April 2015 wurde der französische Nachrichtensender TV5 Monde, der Zuschauer auf der ganzen Welt hat, Opfer eines Hacker-Angriffs. Die Angreifer beschädigten Geräte und unterbrachen die Übertragung für mehrere Stunden. Sie verunstalteten die Website und die Social-Media-Seiten des Unternehmens mit Propaganda für ISIS und das CyberCaliphate, eine Gruppe von Hacktivisten, die vermutlich mit ISIS zusammenarbeitet. Der Angriff schien zunächst vom CyberCaliphate auszugehen. Bedrohungsdaten von FireEye brachten jedoch APT28 mit dem Angriff in Verbindung – eine Hacker-Gruppe, die für die russische Regierung arbeitet. APT28 gab sich wahrscheinlich als CyberCaliphate aus, um die Ängste der westlichen Welt vor dem islamischen Extremismus zu schüren – besonders nach dem Angriff auf Charlie Hebdo einige Monate zuvor. Der Angriff auf TV5 Monde war vermutlich eine russische Operation im Informationskrieg, um Frankreich zu verunsichern. Die Beziehungen Frankreichs zu Russland hatten sich (ebenso wie die vieler anderer westlicher Länder) erheblich verschlechtert. Der Angriff sollte wahrscheinlich auch die öffentliche Aufmerksamkeit von der Rolle Russlands in der Ukraine-Krise hin zum Terrorismus im Nahen Osten lenken.

APT28: A Window Into Russia's Cyber Espionage Operations

Bericht über eine russische Hackergruppe, die auf den Diebstahl von Insiderinformationen aus staatlichen Institutionen, Rüstungskonzernen und Sicherheitsunternehmen spezialisiert ist.

Bericht herunterladen

cyber threats entertainment industry

TOP 5 DER MALWARE-ARTEN

Bei der Untersuchung gezielter Cyberangriffen auf Unternehmen in der Unterhaltungs- und Medienbranche hat FireEye vor allem die folgenden Malware-Arten gefunden:

ChinaChopper ist eine kleine Webshell, die Hackern mithilfe eines einfachen Authentifizierungs-Passworts unberechtigten Zugriff auf Informationssysteme verschafft und Microsoft.NET-Code innerhalb von HTTP POST-Befehlen ausführen kann.
SOGU (oder auch Kaba, PlugX) ist eine Backdoor, die Folgendes ermöglicht: Hoch- und Herunterladen von Dateien, Starten beliebiger Prozesse, Zugriff auf Dateisystem, Registry und Dienstkonfigurationen, Fernzugriff auf Shells sowie Implementierung eines individuell angepassten VNC/RDP-ähnlichen Protokolls, um dem Command-and-Control-Server (C2-Server) Zugriff auf die grafische Bedienoberfläche des Desktops zu verschaffen.
Gh0stRAT ist ein Remote Access Tool (RAT), das einem frei verfügbaren Quellcode entstammt. Es kann Bildschirm- und Audioaufnahmen durchführen, Webcams einschalten, Prozesse auflisten und beenden, eine Befehlsshell öffnen, Ereignisprotokolle löschen sowie Dateien erstellen, manipulieren, löschen, ausführen und übertragen.
POISONIVY ist ein frei verfügbares RAT, das umfassenden Fernzugriff auf ein infiltriertes System bietet. Poison-Ivy-Varianten werden mit einer eigenen, online verfügbaren grafischen Verwaltungsoberfläche erstellt, konfiguriert und gesteuert. Das Tool kann so konfiguriert werden, dass es Shellcode produziert. Dieser kann zur Tarnung in eine ausführbare Datei gepackt oder mit einer bereits vorhandenen ausführbaren Datei kombiniert werden. Meist wird es so konfiguriert, dass mehrere Shellcode-Stücke in den Prozess „explorer.exe“ eingeschleust werden.
Page (oder auch ELISE) ist ein Downloader, der versucht, verschlüsselte DLLs von einem vorkonfigurierten Command-and-Control-Server abzurufen, mit dem er über HTTP-Anfragen kommuniziert. Nach dem Herunterladen der DLLs lädt sie der Downloader in den Arbeitsspeicher. Page verfügt über verschiedene Funktionen, die ein Reverse Engineering auf der Quellcodeebene verhindern sollen.

TOP 5 DER CRIMEWARE-ARTEN

Sinkhole-Daten von FireEye und durch dynamischen Austausch mit anderen Beobachtern gewonnene Bedrohungsdaten zeigen, dass in der Unterhaltungs- und Medienbranche die folgenden Crimeware-Arten am häufigsten entdeckt werden:

Upatre ist ein Downloader, der oft über Spam-E-Mails, Drive-by-Downloads oder Exploits eingeschleust wird. Er lädt in der Regel eine oder mehrere weitere Malware-Arten auf ein infiziertes System herunter, darunter zum Beispiel Zbot, Dyre, Rovnix, CryptoLocker und Necurs.
Delf bezeichnet eine Gruppe von Trojanern, die in der Programmiersprache Delphi verfasst wurden. Sie können eine Verbindung zum Remote-Server herstellen, um ohne die Zustimmung oder das Wissen des Nutzers weitere Malware herunterzuladen und auf dem System zu installieren. Darüber hinaus stehlen sie vertrauliche Daten.
ZeroAccess (oder auch Sirefef) ist ein Trojaner mit anspruchsvollen Rootkit-Funktionen. Er wurde ursprünglich für die Einschleusung anderer Schadprogramme entwickelt und dann für den Klickbetrug weiterentwickelt.
Allaple ist ein Wurm, der DoS-Angriffe (Denial of Service) auf konkrete Ziele verübt und versucht, andere Systeme im selben Netzwerk zu infizieren.
Muxif ist ein Trojaner, der Informationen über das infiltrierte System an einen Command-and-Control-Server sendet und von diesem Anweisungen erhält und weitere ausführbare Dateien herunterlädt. Er modifiziert die Registry, um sich permanenten Zugriff zu verschaffen.

1 Unserer Einschätzung nach agieren Advanced Persistent Threat-Angreifer (APT-Angreifer) im Auftrag einer Regierung, für die sie Daten stehlen oder Netzwerke infiltrieren. Zudem zeichnen sie sich durch Beharrlichkeit und den Einsatz eines breiten Spektrums an Tools und Taktiken aus.