Cyberkriminelle: Hacker mit „Honeypot“ anlocken, um ihre Methoden zu erforschen

Viele denken, dass vorwiegend große Unternehmen und Menschen des öffentlichen Lebens betroffen sind. Jedoch sollten sich auch kleinere Unternehmen und Privatleute nicht in völliger Sicherheit wähnen, denn auch sie können zu Opfern der Kriminellen werden. Gerade mittelständische Unternehmen aus dem produzierenden Gewerbe stehen zunehmend im Fokus der Angreifer. Um die Vorgehensweise eines Cyber-Angriffs auf vernetzte Produktionsanlagen nachvollziehen zu können, hat das Cyber-Sicherheitsunternehmen Trend Micro einen sogenannten „Honeypot“ entwickelt, der gezielt Cyberkriminelle anlocken soll, um ihre Methoden zu erforschen. Sechs Monat war die Lockfalle aktiv.

Wir bauen einen Honeypot für Cyberkriminelle

Um möglichst viele Angriffe untersuchen zu können, schuf das Forschungsteam eine detailreiche Nachbildung eines Unternehmens, das für Cyberkriminelle ein attraktives Ziel vortäuscht. Daher war es wichtig, dass Hacker das erfundene Unternehmen nicht sofort als Versuchsobjekt erkennen. Das hätte das Aus für das Projekt bedeutet.

Die Forscher tarnten sich als kleines Beratungsunternehmen, das Prototypen für verschiedene Kunden aus den Bereichen Militär, Flugzeugtechnik und dem Produktionssektor entwirft und herstellt. Trotz hochkarätiger Schein-Kunden und professionellem Auftreten war es beabsichtigt, das Unternehmen mit Blick auf die Cyber-Sicherheit schwach darzustellen. Beispielsweise wurde ein Passwort für mehrere Server genutzt.

Der Honeypot selbst bestand aus realer Industrial-Control-System-Hardware (ICS) und einer Mischung aus physischen Hosts und virtuellen Maschinen zum Betrieb der Fabrik, die mehrere speicherprogrammierbare Steuerungen (SPS), Human-Machine-Interfaces (HMIs), separate Roboter- und Engineering-Workstations sowie einen Dateiserver umfassten.

Die Falle schnappt zu

Nachdem der Honeypot für „erfolgreiche“ Cyber-Angriffe vorbereitet war, versuchten die Forscher, die Aufmerksamkeit von Hackern auf sich zu ziehen. Unter anderem konfigurierten sie den Remote-Zugriff wissentlich fehlerhaft, um unbefugten Zugriff zu erleichtern. Zudem outeten sie sich in einem Onlineportal als Opfer eines vorangegangenen Hackerangriffs, um das Interesse weiterer Angreifer zu wecken.

Dafür haben sie sogar Dateien des Unternehmens veröffentlicht und andere sensible Informationen gestreut, die man ansonsten unter keinen Umständen teilen sollte.

Es dauerte einen Monat, bis der erste Angriff erfolgte. Das zeigt, wie schnell auch kleinere Unternehmen in Gefahr geraten können, von Cyberkriminellen attackiert zu werden. Des Weiteren konnten die Forscher feststellen, wie schnell offene Virtual-Network-Computing (VNC) oder Remote-Desktop-Protocol-Zugänge (RDP) für Betrugs­fälle durch Dritte genutzt werden können.

Die Angreifer im konkreten Fall nutzten die Ressourcen im Honeypot, um sich an möglicherweise missbräuchlichen und unangemessenen Aktivitäten zu beteiligen und diese möglichst zu verschleiern. Dazu gehören beispielsweise der Kauf von Smartphones durch die Aufwertung von Mobilfunk-Verträgen und die Auszahlung von Flugmeilen in Form von Geschenkkarten.

Einem anderen Angreifer gelang es, ein PyInstaller-Packet namens host.exe auf dem System zu installieren und dieses mit einem Bitcoin-Mining-System zu verknüpfen. Hätte der Cyberkriminelle es geschafft, die Verknüpfung auf weitere Geräte auszuweiten, wäre ein hoher finanzieller Schaden die Folge gewesen.

Quelle: Trend MicroQuelle: Trend Micro

Gegen Ende September 2019 erfolgte dann der erste Ransomware-Angriff. Wie die Forscher im Nachhinein feststellten, durchsuchten die Angreifer zunächst den Server des Honeypot-Unternehmens nach sensiblen Daten bis sie sich dazu entschieden, über Teamviewer Ransomware auf den Computer zu spielen und auszuführen.

Nach dem Herunterladen der Dateien stellten sie eine Verbindung zum System her. Anschließend begannen sie mit der Übertragung der Dateien in einen auf dem Computer neuangelegten Ordner sowie mit der Ausführung der heruntergeladenen Dateien.

Nachdem all dies in Gang gesetzt wurde, sahen die Bedrohungsakteure zu und warteten, indem sie den Task-Manager öffneten. Währenddessen stoppten sie sämtliche Dienste, um ihren Aktivitäten mehr Verarbeitungsleistung zu sichern. Anschließend überprüften sie das Ergebnis ihrer Arbeit, als Bestätigung dafür, dass die Ransomware funktionierte.

Nach der erfolgreichen Übertragung der Schadprogramme, beendeten die Hacker ihren Angriff und hinterließen eine Nachricht an das Opfer mit einer Geldforderung in Form von Bitcoins.

Um das Spiel der Hacker mitzuspielen, versetzte sich das Forschungsteam bereitwillig in die Opferrolle und suchte den Kontakt zu den Cyberkriminellen um weitere Kenntnisse über diese zu gewinnen. Erst danach stellten die Forscher die angegriffenen Systeme wieder her.

Ungefähr einen Monat später kam es zu einem erneuten Ransomware-Angriff, der aber nicht länger als eine Stunde dauerte. In diesem Fall wurde die Ransomware ­Phobos auf den Server gespielt.

Cyberkriminelle sind Trickdiebe, Bergarbeiter und Erpresser

Die Schwachstellen des Honeypots nutzten Cyberkriminelle also sowohl für das Mining von Krypto-Währungen als auch für zwei unterschiedliche Ransomware-Attacken. Zudem verwendeten sie seine Rechenkapazitäten für betrügerische Aktivitäten. Alle beobachteten Attacken geschahen dabei mittels bekannter Angriffsmethoden, wie sie auch gegen „gewöhnliche“ ­Office-IT-Systeme eingesetzt werden.

Über sechs Monate hinweg nahmen die Aktivitäten auf dem Honeypot von Tag zu Tag zu. Dies zeigt die Herausforderung kleinerer Unternehmen, die keine dedizierten IT-Mitarbeiter beschäftigen, die sich mit solchen Problemen befassen könnten. Jedoch gibt es einfache Szenarien, die vom Forschungsteam bewusst falsch gemacht wurden und in der Praxis einfach vermieden werden können.

Was sollten Unternehmen tun?

Im Regelfall sollten Unternehmen immer dem Least-Privilege-Prinzip folgen. Beim Honeypot wurde genau das Gegenteil getan, um Angreifer in das System zu locken. Weitere begangene Fehler umfassen die wiederholte Verwendung eines Passworts für mehrere Server wie auch ein offener VNC-Zugang.

Der während des Versuchs verwendete Router unterstützte zwar keine Filterung, um bestimmte Elemente zu blockieren, die im Laufe der Forschung entdeckt wurden. Jedoch besaß er eine während des Experiments ungenutzte Vertrauensfunktion, die auf dem Router aktiviert werden kann, um nur bestimmte Hosts zuzulassen.

Die meisten Industrierouter unterstützen auch Punkt-zu-Punkt virtuelle private Netzwerke (VPNs), um die Gefährdung von Industrial Control Sytems (ICS), die via Mobil­funk angebunden werden, zu begrenzen. Betreiber vernetzter Produktionsanlagen sollten deshalb – neben weiteren Best Practices für die Cyber-Sicherheit – die Anzahl der offenen Ports minimieren und die Zugangskontrolle verschärfen. Darüber hinaus kann die Implementierung von Cyber-Sicherheits-Lösungen für Fabriken dazu beitragen, dass Risiko von Angriffen durch Cyberkriminelle weiter zu verringern. Die Ergebnisse des Honeypot-Experiments sollten als Fallbeispiel für Unternehmen dienen, die ähnliche Systeme betreiben.

Angriffe der gezeigten Art sind nicht so einfach und erfolgreich umzusetzen, wenn es angemessene Sicherheitsmaßnahmen gibt. Unternehmen sollten deshalb sicherstellen, dass ihre Ausstattung und die Komponenten ihrer ICS nicht online offengelegt werden, wie es während des Experiments mit verschiedenen „Fehlkonfigurationen“ absichtlich getan wurde. Zudem ist zu bedenken, dass viele „herkömmliche“ Cyber-Angriffe nicht nur in Office-IT-Systemen Schaden anrichten können, sondern auch in spezialisierten industriellen Systemen. Diese sollten deshalb stets mit bedacht und angemessen geschützt werden.

Den vollständigen Untersuchungsbericht, einschließlich näherer Informationen zu Design und Einsatz des Honeypots findet sich auf der Homepage von Trend Micro.

Udo Schneider ist IoT Security Evangelist Europe bei Trend Micro.

Lesen Sie auch: Die digitale Transformation während Corona: Was Unternehmen jetzt nicht verpassen dürfen