Cyberkriminelle: Hacker mit „Honeypot“ anlocken, um ihre Methoden zu erforschen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Cyberkriminelle: Hacker mit „Honeypot“ anlocken, um ihre Methoden zu erforschen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Nicht nur große Unternehmen stehen im Fokus der Kriminellen wie auch das Honeypot-KMU zeigt. Wie Trend Micro Hackern mithilfe eines Honeypots eine Falle stellte. Von Udo Schneider
Cyberkriminelle

Quelle: Gorodenkoff/shutterstock

Viele denken, dass vorwiegend große Unternehmen und Menschen des öffentlichen Lebens betroffen sind. Jedoch sollten sich auch kleinere Unternehmen und Privatleute nicht in völliger Sicherheit wähnen, denn auch sie können zu Opfern der Kriminellen werden. Gerade mittelständische Unternehmen aus dem produzierenden Gewerbe stehen zunehmend im Fokus der Angreifer. Um die Vorgehensweise eines Cyber-Angriffs auf vernetzte Produktionsanlagen nachvollziehen zu können, hat das Cyber-Sicherheitsunternehmen Trend Micro einen sogenannten „Honeypot“ entwickelt, der gezielt Cyberkriminelle anlocken soll, um ihre Methoden zu erforschen. Sechs Monat war die Lockfalle aktiv.

Wir bauen einen Honeypot für Cyberkriminelle

Um möglichst viele Angriffe untersuchen zu können, schuf das Forschungsteam eine detailreiche Nachbildung eines Unternehmens, das für Cyberkriminelle ein attraktives Ziel vortäuscht. Daher war es wichtig, dass Hacker das erfundene Unternehmen nicht sofort als Versuchsobjekt erkennen. Das hätte das Aus für das Projekt bedeutet.

Die Forscher tarnten sich als kleines Beratungsunternehmen, das Prototypen für verschiedene Kunden aus den Bereichen Militär, Flugzeugtechnik und dem Produktionssektor entwirft und herstellt. Trotz hochkarätiger Schein-Kunden und professionellem Auftreten war es beabsichtigt, das Unternehmen mit Blick auf die Cyber-Sicherheit schwach darzustellen. Beispielsweise wurde ein Passwort für mehrere Server genutzt.

Der Honeypot selbst bestand aus realer Industrial-Control-System-Hardware (ICS) und einer Mischung aus physischen Hosts und virtuellen Maschinen zum Betrieb der Fabrik, die mehrere speicherprogrammierbare Steuerungen (SPS), Human-Machine-Interfaces (HMIs), separate Roboter- und Engineering-Workstations sowie einen Dateiserver umfassten.

Die Falle schnappt zu

Nachdem der Honeypot für „erfolgreiche“ Cyber-Angriffe vorbereitet war, versuchten die Forscher, die Aufmerksamkeit von Hackern auf sich zu ziehen. Unter anderem konfigurierten sie den Remote-Zugriff wissentlich fehlerhaft, um unbefugten Zugriff zu erleichtern. Zudem outeten sie sich in einem Onlineportal als Opfer eines vorangegangenen Hackerangriffs, um das Interesse weiterer Angreifer zu wecken.

Dafür haben sie sogar Dateien des Unternehmens veröffentlicht und andere sensible Informationen gestreut, die man ansonsten unter keinen Umständen teilen sollte.

Es dauerte einen Monat, bis der erste Angriff erfolgte. Das zeigt, wie schnell auch kleinere Unternehmen in Gefahr geraten können, von Cyberkriminellen attackiert zu werden. Des Weiteren konnten die Forscher feststellen, wie schnell offene Virtual-Network-Computing (VNC) oder Remote-Desktop-Protocol-Zugänge (RDP) für Betrugs­fälle durch Dritte genutzt werden können.

Die Angreifer im konkreten Fall nutzten die Ressourcen im Honeypot, um sich an möglicherweise missbräuchlichen und unangemessenen Aktivitäten zu beteiligen und diese möglichst zu verschleiern. Dazu gehören beispielsweise der Kauf von Smartphones durch die Aufwertung von Mobilfunk-Verträgen und die Auszahlung von Flugmeilen in Form von Geschenkkarten.

Einem anderen Angreifer gelang es, ein PyInstaller-Packet namens host.exe auf dem System zu installieren und dieses mit einem Bitcoin-Mining-System zu verknüpfen. Hätte der Cyberkriminelle es geschafft, die Verknüpfung auf weitere Geräte auszuweiten, wäre ein hoher finanzieller Schaden die Folge gewesen.

CyberkriminelleQuelle: Trend Micro
Die Hacker benötigen Ressourcen für weitere kriminelle Aktivitäten, schürfen Bitcoins oder fordern wie hier Lösegelder für verschlüsselte Daten.

Gegen Ende September 2019 erfolgte dann der erste Ransomware-Angriff. Wie die Forscher im Nachhinein feststellten, durchsuchten die Angreifer zunächst den Server des Honeypot-Unternehmens nach sensiblen Daten bis sie sich dazu entschieden, über Teamviewer Ransomware auf den Computer zu spielen und auszuführen.

Nach dem Herunterladen der Dateien stellten sie eine Verbindung zum System her. Anschließend begannen sie mit der Übertragung der Dateien in einen auf dem Computer neuangelegten Ordner sowie mit der Ausführung der heruntergeladenen Dateien.

Nachdem all dies in Gang gesetzt wurde, sahen die Bedrohungsakteure zu und warteten, indem sie den Task-Manager öffneten. Währenddessen stoppten sie sämtliche Dienste, um ihren Aktivitäten mehr Verarbeitungsleistung zu sichern. Anschließend überprüften sie das Ergebnis ihrer Arbeit, als Bestätigung dafür, dass die Ransomware funktionierte.

Nach der erfolgreichen Übertragung der Schadprogramme, beendeten die Hacker ihren Angriff und hinterließen eine Nachricht an das Opfer mit einer Geldforderung in Form von Bitcoins.

Um das Spiel der Hacker mitzuspielen, versetzte sich das Forschungsteam bereitwillig in die Opferrolle und suchte den Kontakt zu den Cyberkriminellen um weitere Kenntnisse über diese zu gewinnen. Erst danach stellten die Forscher die angegriffenen Systeme wieder her.

Ungefähr einen Monat später kam es zu einem erneuten Ransomware-Angriff, der aber nicht länger als eine Stunde dauerte. In diesem Fall wurde die Ransomware ­Phobos auf den Server gespielt.

Cyberkriminelle sind Trickdiebe, Bergarbeiter und Erpresser

Die Schwachstellen des Honeypots nutzten Cyberkriminelle also sowohl für das Mining von Krypto-Währungen als auch für zwei unterschiedliche Ransomware-Attacken. Zudem verwendeten sie seine Rechenkapazitäten für betrügerische Aktivitäten. Alle beobachteten Attacken geschahen dabei mittels bekannter Angriffsmethoden, wie sie auch gegen „gewöhnliche“ ­Office-IT-Systeme eingesetzt werden.

Über sechs Monate hinweg nahmen die Aktivitäten auf dem Honeypot von Tag zu Tag zu. Dies zeigt die Herausforderung kleinerer Unternehmen, die keine dedizierten IT-Mitarbeiter beschäftigen, die sich mit solchen Problemen befassen könnten. Jedoch gibt es einfache Szenarien, die vom Forschungsteam bewusst falsch gemacht wurden und in der Praxis einfach vermieden werden können.

Was sollten Unternehmen tun?

Im Regelfall sollten Unternehmen immer dem Least-Privilege-Prinzip folgen. Beim Honeypot wurde genau das Gegenteil getan, um Angreifer in das System zu locken. Weitere begangene Fehler umfassen die wiederholte Verwendung eines Passworts für mehrere Server wie auch ein offener VNC-Zugang.

Der während des Versuchs verwendete Router unterstützte zwar keine Filterung, um bestimmte Elemente zu blockieren, die im Laufe der Forschung entdeckt wurden. Jedoch besaß er eine während des Experiments ungenutzte Vertrauensfunktion, die auf dem Router aktiviert werden kann, um nur bestimmte Hosts zuzulassen.

Die meisten Industrierouter unterstützen auch Punkt-zu-Punkt virtuelle private Netzwerke (VPNs), um die Gefährdung von Industrial Control Sytems (ICS), die via Mobil­funk angebunden werden, zu begrenzen. Betreiber vernetzter Produktionsanlagen sollten deshalb – neben weiteren Best Practices für die Cyber-Sicherheit – die Anzahl der offenen Ports minimieren und die Zugangskontrolle verschärfen. Darüber hinaus kann die Implementierung von Cyber-Sicherheits-Lösungen für Fabriken dazu beitragen, dass Risiko von Angriffen durch Cyberkriminelle weiter zu verringern. Die Ergebnisse des Honeypot-Experiments sollten als Fallbeispiel für Unternehmen dienen, die ähnliche Systeme betreiben.

Angriffe der gezeigten Art sind nicht so einfach und erfolgreich umzusetzen, wenn es angemessene Sicherheitsmaßnahmen gibt. Unternehmen sollten deshalb sicherstellen, dass ihre Ausstattung und die Komponenten ihrer ICS nicht online offengelegt werden, wie es während des Experiments mit verschiedenen „Fehlkonfigurationen“ absichtlich getan wurde. Zudem ist zu bedenken, dass viele „herkömmliche“ Cyber-Angriffe nicht nur in Office-IT-Systemen Schaden anrichten können, sondern auch in spezialisierten industriellen Systemen. Diese sollten deshalb stets mit bedacht und angemessen geschützt werden.

Den vollständigen Untersuchungsbericht, einschließlich näherer Informationen zu Design und Einsatz des Honeypots findet sich auf der Homepage von Trend Micro.

Udo Schneider ist IoT Security Evangelist Europe bei Trend Micro.

Lesen Sie auch: Die digitale Transformation während Corona: Was Unternehmen jetzt nicht verpassen dürfen

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Maplesoft hat Möbius, eine Online-Lernsoftwareumgebung für die Ausbildung in den Bereichen Mathematik, Informatik, Naturwissenschaften und Technik (MINT), vorgestellt. Nach Pilotversuchen an ausgewählten akademischen Einrichtungen auf der ganzen Welt steht Möbius nun allen Bildungseinrichtungen für deren Online-Ausbildung zur Verfügung. Zudem soll demnächst von der University of Waterloo entwickeltes Kursmaterial zur Verfügung stehen.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktions-Newsletter ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Digitalisierung und Automatisierung von Prozessabläufen

IoT Operations Cockpit:

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.