Hightech und Informationstechnologie

Cyberbedrohungen für die Hightech- und IT-Branche

Unternehmen in der Hightech- und IT-Branche sind Cyberbedrohungen durch folgende Angreifer ausgesetzt:

  • APT1-Gruppen (Advanced Persistent Threat), die durch den Diebstahl wirtschaftlicher oder technischer Daten versuchen, die Kosten heimischer Unternehmen für Forschung und Entwicklung zu senken oder ihnen andere Wettbewerbsvorteile zu verschaffen.
  • Hacktivisten und andere Angreifer, die Internetanbieter infiltrieren, um deren Geschäftsabläufe zu stören und so auf ihr Anliegen aufmerksam zu machen.
  • Organisierte, finanziell motivierte Cyberkriminelle, die versuchen, Konto- oder Finanzdaten von Kunden (z. B. Anmeldedaten, Zahlungsinformationen) oder andere personenbezogene Daten zu stehlen.
high tech cyber threats

Bedrohungslage und Branchenprognose

Aufgrund ihrer Relevanz für die Wirtschaft, Nachrichtendienste und andere sicherheitsrelevante Bereiche gehört die Hightech- und IT-Branche zu den wichtigsten Zielen diverser Internetkrimineller. Zukünftige Bedrohungsaktivitäten gegen diese Branche dürften unter anderem durch folgende Faktoren beeinflusst werden:

  • Die Entwicklung neuer Technologien könnte die Bedrohungsaktivität gegenüber der Branche verstärken, da Angreifergruppen es hauptsächlich auf entsprechendes geistiges Eigentum und geschützte Daten abgesehen haben, um ihrer heimischen Industrie einen unmittelbaren Wettbewerbsvorteil zu verschaffen.
  • Partnerschaften mit der Regierung oder militärischen Stellen könnten Hightech- und IT-Unternehmen ebenfalls in Gefahr bringen. Staatlich unterstützte Hacker aus dem Ausland werden vermutlich die Infrastruktur für die Netzwerksicherheit abklopfen, um zukünftige Datendiebstähle oder Sabotageakte im Konfliktfall vorzubereiten und sich Zugang zu Daten aus Forschung und Entwicklung sowie ein besseres Verständnis von Militärtechnologieprogrammen zu verschaffen.
  • Zudem könnten Cyberkriminelle mit finanziellen Motiven versuchen, sich Zugang zu Konten, Zahlungsinformationen oder Finanzdaten von Kunden bzw. anderen personenbezogenen oder sensiblen Daten zu verschaffen, die sie zu Geld machen können.
  • Die wahrgenommene Verstrickung in Kontroversen rund um mangelhafte Arbeitsbedingungen, Umweltprobleme oder die Überwachung von Bürgern könnte zudem eine erhöhte Aktivität von Hacktivisten nach sich ziehen. Sie möchten die Aufmerksamkeit auf die Probleme lenken und die in ihren Augen verantwortlichen Unternehmen an den Pranger stellen.
Wir haben mindestens 20 technisch hoch gerüstete Angreifergruppen identifiziert, die Unternehmen aus folgenden Teilsektoren infiltrierten:
  • Computersoftware
  • IT-Services
  • Herstellung von elektromedizinischen sowie Steuer-, Mess- & Navigationsinstrumenten
  • Herstellung von Unterhaltungselektronik & PCs
  • Elektronikkomponenten
  • Verarbeitende Industrie & Großhandel
  • Fertigung logischer Schaltungen
  • Netzwerkzugriff & Kommunikation
  • Herstellung von Geräten
  • Netzwerk- & Konnektivitätssoftware
  • Herstellung von Routing- & Switching-Geräten
  • Herstellung von Such-, Erkennungs-, Navigations- & Leitsystemen
  • Sicherheitssoftware
  • Produktion von Halbleiteranlagen
  • Speicher- & Systemverwaltung
  • Software
Bei Kunden aus der Hightech- und IT-Branche entwendete Daten
  • Blaupausen
  • Firmeneigene Informationen zu Produkten & Dienstleistungen
  • Testergebnisse & -berichte
  • Produktionsprozesse
  • Hardware- & Softwarebeschreibungen & -konfigurationen
  • Dokumente zum Sicherheits- & Risikomanagement
  • Diagramme und Handbücher
  • Marketingstrategien & -pläne

Zwei APT-Gruppen infiltrieren ein Hightech-Unternehmen

In einem von uns untersuchten Fall haben zwei APT-Gruppen aus China einen Anbieter von Hochleistungstechnologie für Privatkunden und militärische Organisationen infiltriert. Die Gruppen waren über drei Jahre in der Umgebung des Unternehmens aktiv. Fast täglich kam es zu Spionageaktivitäten oder Datendiebstahl durch eine oder beide der Gruppen, die insbesondere an unternehmensinternen Daten über die Forschung & Entwicklung zu einem Verbraucherprodukt interessiert waren, das damals noch nicht auf dem Markt war. Darüber hinaus suchten sie vermutlich gezielt nach Informationen zu einem bestimmten Produkt für den militärischen Einsatz. Die Gruppen verschafften sich Netzwerkzugang zu wichtigen Nutzern und Systemen, implementierten verschiedene Tools für den Datendiebstahl, erstellten Screenshots, protokollierten Tastatureingaben und stahlen E-Mails. Insgesamt entwendeten sie mehr als 100 GB an Daten.

cyber threats to high tech industry

WICHTIGSTE MALWARE

Bei der Untersuchung gezielter Angriffe auf Unternehmen in der Hightech- und IT-Branche hat FireEye vor allem die folgenden Malware-Arten gefunden:

Gh0stRAT ist ein Remote Access Tool (RAT), das einem frei verfügbaren Quellcode entstammt. Es kann Bildschirm- und Audioaufnahmen durchführen, Webcams einschalten, Prozesse auflisten und beenden, eine Befehlsshell öffnen, Ereignisprotokolle löschen sowie Dateien erstellen, manipulieren, löschen, ausführen und übertragen.
TAIDOOR ist eine Backdoor, die Dateien übertragen und Befehle ausführen kann. Sie kommuniziert über HTTP und verschlüsselt ihre Kommunikation mit dem RC4-Algorithmus. Dabei wird die MAC-Adresse des Opfers als Schlüssel verwendet.
PoisonIvy ist ein frei verfügbares RAT, das umfassenden Fernzugriff auf ein infiltriertes System bietet. Poison-Ivy-Varianten werden mit einer eigenen, online verfügbaren grafischen Verwaltungsoberfläche erstellt, konfiguriert und gesteuert. Das Tool kann so konfiguriert werden, dass es Shellcode produziert. Dieser kann zur Tarnung in eine ausführbare Datei gepackt oder mit einer bereits vorhandenen ausführbaren Datei kombiniert werden. Meist wird es so konfiguriert, dass mehrere Shellcode-Stücke in den Prozess „explorer.exe“ eingeschleust werden.
SUNBLADE ist eine Backdoor, die Code per Fernzugriff ausführen und Anmeldedaten stehlen kann. Diese Malware existiert in zwei verschiedenen Versionen. Eine Variante kann Sandboxing- und Virtualisierungsmechanismen deaktivieren. Sie wird meist in einer selbstentpackenden RAR- oder ZIP-Datei übertragen, die gegebenenfalls auch ein Köder-Dokument enthält.
SOGU (oder auch Kaba, PlugX) ist eine Backdoor, die Folgendes ermöglicht: Hoch- und Herunterladen von Dateien, Starten beliebiger Prozesse, Zugriff auf Dateisystem, Registry und Dienstkonfigurationen, Fernzugriff auf Shells sowie Implementierung eines individuell angepassten VNC/RDP-ähnlichen Protokolls, um dem Command-and-Control-Server (C2-Server) Zugriff auf die grafische Bedienoberfläche des Desktops zu verschaffen.

WICHTIGSTE CRIMEWARE

Sinkhole-Daten von FireEye und durch dynamischen Austausch mit anderen Unternehmen gewonnene Bedrohungsdaten zeigen, dass in der Hightech- und IT-Branche am häufigsten die folgenden Crimeware-Arten entdeckt werden:

Conficker ist ein Wurm, der sich durch die Ausnutzung einer Schwachstelle auf Wechseldatenträgern und Netzwerkfreigaben verbreitet. Er kann Sicherheitseinstellungen deaktivieren, Backup-Dateien löschen und Systemwiederherstellungspunkte zurückzusetzen.
Sality ist ein Trojaner, der Dateien infiziert. Er kann Antivirus-Software deaktivieren, Spam versenden, zusätzliche Malware herunterladen und Daten stehlen.
Upatre ist ein Downloader, der häufig über Spam-E-Mails, Drive-by-Downloads oder Exploits übertragen wird und weitere Malware auf ein infiziertes System herunterlädt. Bei bislang untersuchten Angriffen wurde Upatre zur Verbreitung verschiedenster Arten von Malware genutzt, darunter zum Beispiel Zbot, Dyre, Rovnix, CryptoLocker und Necurs.
Obitel ist ein Downloader, der mit einer fest codierten Liste an Command-and-Control-Domains kommuniziert, von denen er Anweisungen erhält und weitere ausführbare Malware-Dateien herunterlädt.
Andromeda (oder auch Gamarue) ist ein Mehrzweck-Trojaner, der als Keylogger, Formgrabber oder Dropper für andere Schadsoftware eingesetzt werden kann.

1 Unserer Einschätzung nach agieren Advanced Persistent Threat-Angreifer (APT-Angreifer) im Auftrag einer Regierung, für die sie Daten stehlen oder Netzwerke infiltrieren. Zudem zeichnen sie sich durch Beharrlichkeit und den Einsatz eines breiten Spektrums an Tools und Taktiken aus.