Selbst die fortschrittlichsten Bedrohungen sind auf ungepatchte Systeme angewiesen

  • Gewöhnliche Cyberkriminelle sind eine Bedrohung, daran gibt es keinen Zweifel – von Hackern im Schlafzimmer bis hin zu Ransomware-Gruppen richten Cyberkriminelle großen Schaden an. Aber sowohl die von gewöhnlichen Cyberkriminellen verwendeten Tools als auch die von ihnen ausgehende Bedrohung verblassen im Vergleich zu den Tools, die von professionelleren Gruppen wie den bekannten Hackergruppen und staatlich gesponserten Gruppen verwendet werden.

    In der Tat können sich diese Tools als nahezu unmöglich erweisen, entdeckt zu werden – und sich dagegen zu schützen. BVP47 ist ein typisches Beispiel dafür. In diesem Artikel erläutern wir, wie diese leistungsstarke, staatlich geförderte Malware seit Jahren unbemerkt im Umlauf ist, wie sie sich so geschickt tarnt und was das für die Cybersicherheit in Unternehmen bedeutet.

    Hintergrundgeschichte zu BVP47

    Es ist eine lange Geschichte, die sich für einen Spionageroman eignet. Anfang dieses Jahres veröffentlichte eine chinesische Forschungsgruppe für Cybersicherheit namens Pangu Lab einen ausführlichen, 56-seitigen Bericht über einen bösartigen Code, den die Forschungsgruppe BVP47 nannte (weil BVP die häufigste Zeichenfolge im Code war und 47, weil der Verschlüsselungsalgorithmus den Zahlenwert 0x47 verwendet).

    Der Bericht ist wirklich ausführlich und enthält eine gründliche technische Erklärung, einschließlich eines tiefen Einblicks in den Malware-Code. Aus dem Bericht geht hervor, dass Pangu Lab den Code ursprünglich bei einer Untersuchung des Zustands der Computersicherheit im Jahr 2013 bei einer Organisation gefunden hat, bei der es sich höchstwahrscheinlich um eine chinesische Regierungsbehörde handelt – warum die Gruppe jedoch bis jetzt gewartet hat, um den Bericht zu veröffentlichen, wird nicht angegeben.

    In dem Bericht wird BVP47 mit der Equation Group“ in Verbindung gebracht, die wiederum mit der Tailored Access Operations Unit“ der Nationalen Sicherheitsagentur der Vereinigten Staaten (NSA) in Verbindung gebracht wird. Pangu Lab kam zu dieser Schlussfolgerung, weil es in einer Reihe von Dateien, die von der Gruppe The Shadow Brokers (TSB) veröffentlicht wurden, einen privaten Schlüssel fand, der BVP47 auslösen könnte. TSB schrieb dieses Dateidump der Equation Group zu, was uns zurück zur NSA führt. Das ist eine Geschichte, die man sich nicht ausdenken kann und die sich für einen Kinofilm eignet.

    Wie funktioniert BVP47 in der Praxis?

    Aber genug von dem Spion-gegen-Spion-Element der Geschichte. Was bedeutet BVP47 für die Cybersicherheit? Im Wesentlichen handelt es sich um eine sehr clevere und gut versteckte Hintertür in das Zielnetzsystem, die es dem Betreiber ermöglicht, sich unberechtigten Zugang zu Daten zu verschaffen – und das unbemerkt.

    Das Tool hat einige sehr ausgeklügelte Tricks in petto, die zum Teil auf einem Verhalten beruhen, das die meisten Systemadministratoren nicht vermuten würden – einfach weil niemand dachte, dass sich ein technisches Tool so verhalten würde. Es beginnt seinen infektiösen Weg, indem es einen verdeckten Kommunikationskanal an einem Ort einrichtet, an dem niemand nachschauen würde: TCP SYN-Pakete.

    Besonders heimtückisch ist, dass BVP47 in der Lage ist, denselben Netzwerkanschluss abzuhören, der auch von anderen Diensten verwendet wird, was sehr schwierig zu bewerkstelligen ist. Mit anderen Worten, es kann extrem schwer zu erkennen sein, weil es schwierig ist, zwischen einem Standarddienst, der einen Port verwendet, und BVP47, der diesen Port verwendet, zu unterscheiden.

    Die Schwierigkeit, sich gegen diese Art von Angriffen zu verteidigen

    Außerdem testet das Tool regelmäßig die Umgebung, in der es ausgeführt wird, und verwischt dabei seine Spuren, indem es seine eigenen Prozesse und Netzwerkaktivitäten verbirgt, um sicherzustellen, dass keine Spuren zu finden sind.

    Darüber hinaus verwendet BVP47 mehrere Verschlüsselungsmethoden über mehrere Verschlüsselungsebenen für die Kommunikation und die Datenexfiltration. Das ist typisch für die Top-Tools, die von fortschrittlichen, hartnäckigen Bedrohungsgruppen verwendet werden – auch von staatlich gesponserten Gruppen.

    In Kombination ergibt sich ein unglaublich ausgeklügeltes Verhalten, das selbst die raffiniertesten Cybersicherheitsabwehrsysteme umgehen kann. Auch die leistungsfähigste Kombination aus Firewalls, fortschrittlichem Bedrohungsschutz und dergleichen kann Tools wie BVP47 nicht stoppen. Diese Hintertüren sind so mächtig, weil staatliche Akteure mit viel Geld in ihre Entwicklung investieren können.

    Wie immer ist gute Praxis die beste Lösung

    Das bedeutet natürlich nicht, dass Cybersicherheitsteams einfach aufgeben sollten. Es gibt eine Reihe von Maßnahmen, die es einem Akteur zumindest erschweren können, ein Tool wie BVP47 einzusetzen. Sensibilisierungs- und Erkennungsmaßnahmen sind lohnenswert, da eine strenge Überwachung einen entfernten Eindringling immer noch überraschen kann. In ähnlicher Weise können Honeypots Angreifer zu einem harmlosen Ziel locken – wo sie sich dann möglicherweise zu erkennen geben.

    Es gibt jedoch einen einfachen, auf ersten Prinzipien beruhenden Ansatz, der ein hohes Maß an Schutz bietet. Selbst ausgefeilte Tools wie BVP47 sind auf ungepatchte Software angewiesen, um Fuß zu fassen. Das konsequente Patchen des Betriebssystems und der Anwendungen, auf die Sie angewiesen sind, ist daher Ihre allererste Anlaufstelle.

    Das Aufspielen eines Patches an sich ist nicht der schwierigste Schritt, aber wie wir wissen, ist es für die meisten Unternehmen schwierig, jedes Mal schnell zu patchen.

    Und das ist natürlich genau das, worauf sich Bedrohungsakteure wie das Team hinter BVP47 verlassen, indem sie auf ihr Ziel lauern, das unweigerlich mit zu wenig Ressourcen ausgestattet ist, um konsequent zu patchen, und schließlich einen wichtigen Patch verpasst.

    Was können unter Druck stehende Teams tun? Automatisiertes Live-Patching ist eine Lösung, da es das manuelle Patchen überflüssig macht und zeitaufwändige Neustarts und die damit verbundenen Ausfallzeiten vermeidet. Wo Live-Patching nicht möglich ist, können Schwachstellen-Scans eingesetzt werden, um die kritischsten Patches zu finden.

    Nicht der erste – und nicht der letzte

    Ausführliche Berichte wie dieser sind wichtig, um uns über kritische Bedrohungen zu informieren. Aber BVP47 war schon jahrelang vor diesem öffentlichen Bericht im Einsatz, und in der Zwischenzeit wurden unzählige Systeme angegriffen – darunter auch hochrangige Ziele auf der ganzen Welt.

    Wir wissen nicht, wie viele ähnliche Tools es gibt – wir wissen nur, was wir tun müssen, um eine konstant starke Cybersicherheitslage aufrechtzuerhalten: überwachen, ablenken und patchen. Auch wenn Teams nicht jede Bedrohung abwehren können, so können sie doch zumindest eine wirksame Verteidigung aufbauen, die es so schwierig wie möglich macht, Malware erfolgreich einzusetzen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com