Internationale Organisationen und gemeinnützige Unternehmen

Cyberbedrohungen für internationale Organisationen und gemeinnützige Unternehmen

Internationale Organisationen und gemeinnützige Unternehmen sind Cyberbedrohungen durch folgende Angreifer ausgesetzt:

  • APT-Gruppen (Advanced Persistent Threat)1, die internationale Organisationen zu Spionagezwecken infiltrieren, um ihren staatlichen Auftraggebern einen Vorteil bei Verhandlungen oder Vereinbarungen zu verschaffen. Zudem könnten sie die Vertrauensbeziehungen einer Organisation ausnutzen, um Mitgliedsstaaten zu infiltrieren.
  • Mitunter greifen APT-Gruppen ausländische Non-Profit-Organisationen an, die innerhalb ihres Landes tätig sind und sich mit kontroversen Themen beschäftigen. Diese Angreifer unterstützen ihre Regierung möglicherweise auch bei der Überwachung der Aktivitäten der Organisation innerhalb des Landes.
  • Hacktivisten, die Organisationen als Reaktion auf vermeintliche Kontroversen oder zur öffentlichen Bekanntmachung ihrer eigenen Meinungen und Ansichten infiltrieren. Sie führen möglicherweise Distributed-Denial-of-Service-Angriffe durch, um die Website des Opfers lahmzulegen bzw. zu verunstalten oder ihr Opfer bloßzustellen, indem sie vertrauliche Daten stehlen und veröffentlichen.
nonprofit cyber threat intelligence

Bedrohungslage und Branchenprognose

Internationale Organisationen und gemeinnützige Unternehmen werden höchstwahrscheinlich auch weiterhin vor allem Cyberbedrohungen durch APT-Gruppen ausgesetzt sein, die versuchen, an Informationen zu gelangen und diese an ihre Auftraggeber weiterzuleiten. Zukünftige Bedrohungsaktivitäten gegen internationale Organisationen und gemeinnützige Unternehmen dürften unter anderem durch folgende Faktoren beeinflusst werden:

  • Aktivitäten im Ausland und Initiativen, die die Regierung des Empfängerlandes für umstritten, heikel oder eine potenzielle Bedrohung für ihre eigene Rechtmäßigkeit oder die Stabilität im Inland hält. Angreifer werden wahrscheinlich versuchen, die Aktivitäten solcher Organisationen zu überwachen.
  • Angelegenheiten von geostrategischem oder internationalem Interesse: APT-Gruppen aus verschiedenen Ländern werden solche Organisationen möglicherweise für ihre staatlichen Auftraggeber ausspionieren.
  • Kontroverse Themen oder Konfrontation mit eigenen Kontroversen: Hacktivisten infiltrieren unter Umständen Organisationen, wenn sie das Gefühl haben, dass diese in ihrer Mission versagt haben oder einer Sache entgegenarbeiten, die den Angreifern wichtig ist. Zudem greifen sie möglicherweise bekannte Organisationen an, um ihren eigenen Meinungen und Ansichten Gehör zu verschaffen.
Wir haben mindestens neun technisch hoch gerüstete Angreifergruppen identifiziert, die Institutionen aus folgenden Teilsektoren infiltrierten:
  • Förderungsorganisationen
  • Internationale Organisationen
  • Marktforschungsinstitute
  • Gemeinnützige Unternehmen und Organisationen
  • Einrichtungen für wissenschaftliche Forschung & Entwicklung
  • Sozialfürsorgeeinrichtungen
Bei internationalen Organisationen und gemeinnützigen Unternehmen entwendete Daten
  • Veranstaltungsbezogene Dokumente
  • Unterlagen für Subventionen/Stipendien
  • Interne Kommunikation & Dokumente
  • Dokumente/Aussagen zu laufenden/anhängigen Fällen
  • Programme & Initiativen
  • Forschungsberichte
  • Leistungsbeschreibungen

APT-Gruppen infiltrieren in China tätige nichtstaatliche Organisationen aus dem Ausland

Wir untersuchten einen Sicherheitsvorfall bei einer in China tätigen Nichtregierungsorganisation (NRO). Drei chinesische Angreifergruppen waren mindestens von Mai 2010 bis Mai 2013 im Netzwerk der nichtstaatlichen Organisation aktiv. Möglicherweise hatten sie sich sogar schon im Jahr 2006 Zugang verschafft. Sie infiltrierten mindestens 23 Benutzerkonten und 86 Systeme, wobei sie über 17.000 Dateien stahlen. Diese bezogen sich hauptsächlich entweder auf die Aktivitäten der Organisation in China oder auf ihre IT-Infrastruktur und das Führungspersonal an ihrem Hauptsitz. Die Hacker entwendeten fast alle Dateien aus der chinesischen Niederlassung der NGO, darunter die E-Mail-Archive nahezu aller Mitarbeiter von 2010 bis 2013. Einige der gestohlenen Daten bezogen sich auf basispolitische Initiativen innerhalb Chinas und andere spezifische Themen.

Mutmaßlich in China ansässige Hackergruppe kapert Nonprofit-Website

In einem von uns untersuchten Sicherheitsvorfall wurde die Website einer gemeinnützigen Forschungsorganisation gekapert, um die Besucher der Seite anzugreifen. Sobald ein Nutzer die Website der Organisation aufrief, wurde sein Browser zu einer anderen Website umgeleitet, die eine Zero-Day-Schwachstelle in Adobe Flash ausnutzte. Wenn der Computer des Besuchers eine anfällige Version von Flash enthielt, wurde unbemerkt eine Backdoor heruntergeladen. Wir konnten keinerlei Hinweise auf eine Ausbreitung der Angreifer im Netzwerk der Forschungsorganisation finden und vermuten daher, dass die Täter es auf die Besucher der Website abgesehen hatten und nicht auf die Organisation selbst.

malware crimeware targeting nonprofits

WICHTIGSTE MALWARE-ARTEN

FireEye hat bei gezielten Cyberangriffen auf internationale Organisationen und gemeinnützige Unternehmen am häufigsten die folgenden Malware-Arten gefunden:

Gh0stRAT ist ein Remote Access Tool (RAT), das einem frei verfügbaren Quellcode entstammt. Es kann Bildschirm- und Audioaufnahmen durchführen, Webcams einschalten, Prozesse auflisten und beenden, eine Befehlsshell öffnen, Ereignisprotokolle löschen sowie Dateien erstellen, manipulieren, löschen, ausführen und übertragen.
ERACS ist eine HTTP-basierte Backdoor, die in der Regel über TCP-Port 80 kommuniziert. Ihre Funktionen umfassen beispielsweise das Hoch- und Herunterladen von Dateien, das Ändern von Diensten und Prozessen, das Erstellen einer Reverse-Shell, das Aufzeichnen von Tastatureingaben und Bildschirminhalten sowie das Abrufen von Host- und Benutzernamen.
PHOTO ist eine DLL-Backdoor, die sich normalerweise selbst als Dienst installiert und als 32-Bit- oder 64-Bit-DLL implementiert werden kann. Sie kann Treiber extrahieren, um Rootkit-Funktionen zu nutzen und durch Hooking verschiedener Input-Output-Control-Geräte (IOCTL-Geräte) Tastatureingaben aufzuzeichnen und Netzwerkdatenverkehr und Registrierungsschlüssel zu verbergen. Diese Treiber können betriebssystemspezifisch sein.
BANGAT ist eine Backdoor-Malware, mit der Folgendes möglich ist: Aufzeichnen von Tastatureingaben, Verbinden mit einem Treiber sowie Herstellung einer Verbindung mit einem C2-Server, Erfassung von Mausbewegungen, Sammeln von Systemdaten, Erstellen und Beenden von Prozessen, Ausspähen von Kennwörtern, Herunterfahren und Abmelden von Systemen sowie Erstellung und Änderung von Dateien.
POISON IVY ist ein frei verfügbares RAT, das umfassenden Fernzugriff auf ein infiltriertes System bietet. Poison-Ivy-Varianten werden mit einer eigenen, online verfügbaren grafischen Verwaltungsoberfläche erstellt, konfiguriert und gesteuert. Das Tool kann so konfiguriert werden, dass es Shellcode produziert. Dieser kann zur Tarnung in eine ausführbare Datei gepackt oder mit einer bereits vorhandenen ausführbaren Datei kombiniert werden. Meist wird es so konfiguriert, dass mehrere Shellcode-Stücke in den Prozess „explorer.exe“ eingeschleust werden.

DIE HÄUFIGSTEN CRIMEWARE-ARTEN

Sinkhole-Daten von FireEye und durch dynamischen Austausch mit anderen Beobachtern gewonnene Bedrohungsdaten zeigen, dass in international agierenden Unternehmen und gemeinnützigen Organisationen die folgenden Crimeware-Arten am häufigsten entdeckt werden:

RAMNIT ist ein Wurm, der Dateien infiziert. Er kann FTP- und Onlinebanking-Anmeldedaten stehlen, Shellbefehle ferngesteuert ausführen und die Erkennung durch Antivirus-Software umgehen.
PALEVO ist ein Wurm, mit dem Daten gestohlen werden. Er verbreitet sich über Wechseldatenträger, Netzwerkfreigaben, P2P- und Chatprogramme. Infizierte Computer kommunizieren über UDP-Port 53 mit dem Command-and-Control-Server.
ZEUS (oder auch Zbot) bezeichnet eine Gruppe von Trojanern, die in erster Linie entwickelt wurden, um Onlinebanking-Anmeldedaten zu stehlen. Zeus unterstützt verschiedenste weitere Funktionen, darunter die ferngesteuerte Ausführung von Shellbefehlen.
FLASHBACK ist das am weitesten verbreitete Botnet, das Systeme mit dem Apple-Betriebssystem OS X missbraucht. Es nutzt eine Sicherheitslücke in Java aus, um sich selbst zu installieren.
QAKBOT ist ein Mehrzweck-Trojaner, der mittels Browser-Exploits verbreitet und von anderer Schadsoftware eingeschleust wird. Qakbot besteht aus unterschiedlichen Komponenten, die nicht notwendigerweise alle bei jeder Infektion vorhanden sind. Dieser Trojaner kann sich über Netzwerkfreigaben verbreiten und Daten entwenden. In der Regel werden die gestohlenen Daten auf einen FTP-Server hochgeladen, über den der Hacker dann darauf zugreifen kann.

1 Unserer Einschätzung nach agieren Advanced Persistent Threat-Angreifer (APT-Angreifer) im Auftrag einer Regierung, für die sie Daten stehlen oder Netzwerke infiltrieren. Zudem zeichnen sie sich durch Beharrlichkeit und den Einsatz eines breiten Spektrums an Tools und Taktiken aus.