Zero-Day
Vor knapp einem Monat gab Microsoft bekannt, dass das in Österreich ansässiges Unternehmen DSIRF (https://dsirf.eu/impressum/) mehrere Schwachstellen bei Windows- und Adobe Reader genutzt hat, um Organisationen in Europa und Mittelamerika zu hacken. Dabei wurden sogenannte ZeroDay Exploits verwendet.
Zero-Day steht dabei für neu entdeckte Sicherheitslücken, über die Hacker Systeme angreifen können. Die Ausdruck „Zero-Day“ beschreibt die Tatsache, dass ein Software-Hersteller oder Entwickler gerade erst von diesem Fehler erfahren hat und somit „Null Tage“ Zeit hat, ihn zu beheben. Ein Zero-Day-Angriff liegt also vor, wenn Hacker genau diese brandneu entdeckte Schwachstelle nutzen können, noch bevor die Entwickler sie ausmerzen können.
Microsoft und Adobe im Visier
Die Firma DSIRF scheint dabei ein bösartiges Toolset namens Subzero zur Verfügung gestellt zu haben. Diese Subzero-Malware konnte sich über eine Vielzahl von Methoden verbreiten, einschließlich der Ausnutzung von Windows- und Adobe Reader-Zero-Days, was darauf hinweist, dass die Angreifer die Schwachstellen vor Microsoft und Adobe kannten. Zu den angegriffenen Zielen scheinen bisher Anwaltskanzleien, Banken und strategische Beratungsunternehmen in Ländern wie Österreich, Großbritannien und Panama zu zählen
Es wurden mehrere Verbindungen zwischen DSIRF und den bei diesen Angriffen verwendeten Exploits und Schadprogrammen gefunden, schreiben die Microsoft-Forscher. Eine an DSIRF gerichtete E-Mail mit der Bitte um Stellungnahme wurde nicht beantwortet.
Söldnerfirmen
Dieser Vorfall ist das jüngste Beispiel davon, wie von Privatunternehmen verkaufte Spionageprogramme von Hackern genutzt werden und Schaden anrichten. Die in Israel ansässige NSO Group ist das bekannteste Beispiel für ein gewinnorientiertes Unternehmen, das teure Exploits verkauft, die häufig die Geräte von Journalisten, Anwälten und Aktivisten gefährden. Ein anderer in Israel ansässiger Söldner namens Candiru wurde letztes Jahr von Microsoft und dem Citizen Lab der Universität Toronto porträtiert und wurde kürzlich dabei erwischt, wie er im Auftrag von Kunden Phishing-Kampagnen organisierte, mit denen die Zwei-Faktor-Authentifizierung umgangen werden konnte.
Industriespionage und Hack-for-hire
Der Beitrag vom Microsoft enthält auch detaillierte Indikatoren, anhand derer man feststellen kann, ob ein System von DSIRF betroffen ist.
Microsoft beschreibt in seinen Berichten von „Cybersöldnern“ wie eben jener österreichischen Firma DSIRF. Nach Angaben des Unternehmens arbeiten die meisten Cybersöldner nach einem oder beiden Modellen. Beim ersten Modell, Access-as-a-Service, werden komplette End-to-End-Hacking-Tools an zahlende Kunden verkauft, die sie für ihre eigenen Operationen nutzen. Bei dem anderen Modell, dem "Hack-for-hire"-Modell, führen die Cybersöldner die gezielten Operationen selbst durch.
Mit derartigen kommerziellen Hackerangriffen wird auch der Industriespionage Tür und Tor geöffnet, Geschäftsgeheimnisse können so gezielt von Dritten extrahiert, verkauft oder veröffentlicht werden. Der Schaden, der den betroffenen Unternehmen entsteht, ist kaum zu beziffern.
Wie können wir dich vor solchen Angriffen schützen:
Je nach Beschaffenheit des verwendeten Systems sorgen wir für regelmäßige aktuelle Updates, die dafür sorgen, dass Sicherheitslücken nach Möglichkeit erst gar nicht auftauchen oder ein entsprechender Mehraufwand benötigt wird, um auf das Administratorenberechtigungslevel zu gelangen.
Schließlich sorgt die sogenannte „Least Privilege“ Methode (also, dass jeder User nur so viele Rechte erhält, wie er unbedingt benötigt) dafür, dass Angriffe erschwert werden.
Wien - Professionelle Hacker in deiner Nachbarschaft