Wenn es jemals ein Beispiel dafür gab, wie ein relativ unerfahrener Hacker gewöhnliche Malware verwendete, um über Jahre hinweg einen unentdeckten Angriff aufrechtzuerhalten, dann müssen sicherlich die Aktionen eines Hackers genannt werden, der es vor kurzem auf die Luftfahrtbranche abgesehen hatte. Neben der Tatsache, dass der Angriff fast drei Jahre lang unentdeckt blieb, fällt auf, dass es sich bei diesem Angreifer nicht um einen erfahrenen Hacker mit einem Abschluss in Informatik handelte, wie man es bei dieser Art von Angriff vermutlich erwarten würde. Die Nutzung gewöhnlicher Malware legt dies nahe.

Angriff startete mit Spear-Phishing-Kampagne

Der Angriff basierte auf einer Spear-Phishing-Kampagne und konzentrierte sich auf Mitarbeiter der Luftfahrt- und Reisebranche. Bei dem Angriff schleuste ein Hacker einen Remote Action Trojaner (RAT) ein, der Unternehmen einer Reihe von Sicherheitsrisiken aussetzte.

Sogenannte RATs werden in der Regel ohne das Wissen des Benutzers über einen E-Mail-Anhang, einen Link zu externen Anwendungen oder ähnliches in ein System oder ein Netzwerk eingeschleust. Nachdem das Zielsystem kompromittiert wurde, kann sich der Trojaner auf andere Rechner im Netzwerk ausbreiten und ein Botnet aufbauen. Hierbei handelt es sich im Grunde um ein Netzwerk von infizierten Computern, die unter dem Kommando eines einzelnen Leitrechners zusammenarbeiten.

Sobald sich der RAT in einem System befindet, hat der Angreifer freien Zugriff auf den Rechner, kann Screenshots aufnehmen, die Webcam einschalten und das Verhalten und die Aktivitäten des betroffenen Nutzers nachverfolgen. Das kann auch das Einschleusen von Spyware, das Ausspähen vertraulicher Informationen wie Kreditkartendaten, PINs, Passwörter und anderer Identitätsnachweise, die Verbreitung von Viren und anderer Malware, das Formatieren von Festplatten oder das Löschen, Kopieren, Ändern und Herunterladen von Dateien beinhalten.

Manchmal wird mittels massenhaften RATs im Rahmen einer Phishing-Kampagne versucht, so viele Computer wie möglich zu infiltrieren. Im Falle dieses speziellen Angriffs hat der Hacker jedoch ausgewählte Personen mit einer E-Mail angesprochen. Diese enthielt eine PDF-Datei mit einem Link zum RAT.

Hacker nutzte gewöhnliche Malware und Crypter

Technisch war der Hacker jedoch wenig versiert. Er verwendete gewöhnliche Malware und Crypter, die er in Online-Hackerforen gekauft hatte. Crypter ist, einfach ausgedrückt, Software, die Malware verschlüsseln, verstecken und manipulieren kann, damit sie von Sicherheitsprogrammen nicht entdeckt wird. Sie wird von Cyberkriminellen verwendet um Malware zu erschaffen, die Sicherheitsprogramme umgehen kann. Dafür gibt sie sich als harmloses Programm aus, bis sie installiert wird.

In betroffenen Organisationen werfen Angriffe solcher Art natürlich auch Fragen zur Cybersicherheit und zum Gefahrenbewusstsein der Zielpersonen auf. Die Angriffe zeigen auch die allgegenwärtige Gefahr von Malware auf.

Kunden von BullGuard sind zum Glück durch bestmögliche Sicherheitsmechanismen geschützt – so  zum Beispiel durch dynamisches maschinelles Lernen. Diese selbstlernende Komponente der BullGuard Internet Security sucht ständig nach neuen Arten von bösartigem Code und wendet ihre neuen Erkenntnisse automatisch für den Schutz der Kunden an. So sind diese immer vor den neuesten Bedrohungen geschützt.