Primäres Angriffsziel für nationalstaatliche Cyber-Akteure ist der TK-Sektor

Telekommunikationsanbieter spielen in modernen Gesellschaften eine einzigartige und entscheidende Rolle. Unternehmen, Regierungen und Privatpersonen verlassen sich auf das reibungslose Funktionieren der Kommunikation. Genau diese zentrale Bedeutung und allgegenwärtige Präsenz von Telekommunikationssystemen machen sie jedoch auch zu wertvollen Zielen für Regierungen und Kriminelle weltweit.

 

Telekommunikation Angriffsziel Nummer eins

Der aktuelle Overwatch-Report von Crowdstrike zeigt, dass sich die Angriffe auf die Telekommunikationsbranche in den letzten 12 Monaten mehr als verdoppelt haben. Insgesamt entfielen 40 Prozent aller von den Overwatch-Experten aufgedeckten gezielten Angriffsversuche auf diesen Industriezweig. Besonders bei nationalstaatlichen Akteuren, liegt diese Zielbranche hoch im Kurs, denn durch gezielte Angriffe lassen sich eigene Aufklärungs-, Nachrichten- und Spionageabwehraufgaben verwirklichen. So wundert es nicht, dass die Telekommunikationsindustrie die Liste der Top 5 Industrieziele bei nationalstaatlichen Akteuren anführt.

Die meisten Angriffe auf Telekommunikationsunternehmen stammen von China-nahen Gruppen. Aber auch Akteure mit iranischem Hintergrund wurden bereits bei Angriffen auf den Telekommunikationssektor gesichtet. Die Operationen gegen Telekommunikationsanbieter verdeutlichen, dass der Schutz von sensiblen Daten und kritischen Infrastrukturen immer wichtiger wird. Ein Grund mehr, sich intensiv mit der sich ständig wandelnden Bedrohungslandschaft und ihren Akteuren auseinanderzusetzen, um wirkungsvolle Methoden gegen ihre Tools, Techniken und Verfahren (TTPs) zu finden.

 

Angriffe auf die Telekommunikationsindustrie – Die typischen TTPs

Um sich den Erstzugang zu ihren Opfernetzwerken zu verschaffen, nutzen Kommunikationssektor-Angreifer verschiedene Techniken. Zu den am häufigsten verwendeten zählen Spear-Phishing, die Ausnutzung von Schwachstellen, die Kompromittierung der Lieferkette sowie der Missbrauch legitimer Anmeldeinformationen. Ist der erste Schritt erstmal gemacht, nutzen die Angreifer systemeigene Tools wie Windows-Management-Instrumentation oder aber auch verschiedene Befehls- und Skriptinterpreter wie Powershell, um ihre Mission durchzuführen. Um nicht entdeckt zu werden und den Angriff ohne Störungen durchführen zu können, suchen sich die Täter immer wieder neue Hosts, die die Möglichkeit bieten, Anmeldeinformationen zu sammeln, um sich weiterhin unbemerkt lateral durch die Zielumgebung zu bewegen.

Um die gewünschten Anmeldeinformationen in Microsoft-Umgebungen abgreifen zu können, verwenden die Angreifer häufig Mimikatz, lesen den LSASS-Speicher aus (häufig über comsvcs.dll oder mithilfe von ProcDump) oder ändern den WDigest-Registrierungsschlüssels, um Kennwörter im Klartext speichern zu können. In Linux-Umgebungen sehen sich Angreifer häufig den Inhalt sensibler Dateien an, wie bash_history, passwd, shadow und andere Konfigurationsdateien und Verwaltungsskripte, wenn sie versuchen, Anmeldedaten zu ermitteln. Overwatch hat auch beobachtet, dass Angreifer neuere Techniken einsetzen. In einem Fall setzte ein Angreifer beispielsweise SSH-Daemons per Backdoor ein, die in der Lage waren, Anmeldeinformationen zu protokollieren.

Häufig nutzen die Cyberangreifer auch webbasierte Anmeldeseiten. Sie werden so verändert, dass die Anmeldeinformationen auch für einen späteren Abruf gespeichert werden können. Somit stehen Hacker für ihren Erstzugriff nicht mehr unter Zeitdruck. Sogenannte Web Shells ermöglichen es zudem, mehrere Opfernetzwerke über eine einzige Schnittstelle zu verwalten. Dies führt zu der sehr realen Gefahr, dass mehrere Angriffe gleichzeitig von einer Hackergruppierung ausgehen. Denn der Aufwand für die Durchführung von Operationen wird so für die Angreifer erheblich reduziert. Außerdem können Webshells aufgrund ihrer Einfachheit und plattformübergreifenden Kompatibilität oder in verschiedenen Webserver-Umgebungen eingesetzt werden. Mit all diesen Instrumenten gelingt es den Akteuren zu erfahren, wann, wie und wo Anrufdetails und SMS-Nachrichten weitergeleitet und aufgezeichnet werden, um dann zuzuschlagen.

 

Kollateralschäden durch Hackerangriffe

Um ihre wahren Ziele und Absichten zu verschleiern, führen Angreifer oft sehr groß angelegte Daten-Exfiltrationen aus. In Wirklichkeit sind sie oft aber nur an bestimmten Informationen von sehr wenigen Personen interessiert. Die verursachten Schäden sind daher häufig immens. Umso wichtiger ist es, die Angreifer zu identifizieren und zu stoppen. Dieses Vorhaben gestaltet sich jedoch häufig schwieriger als gedacht, denn oft verfügen Kriminelle über umfassende Kenntnisse eines Zielnetzwerks und können deshalb nur schwer von legitimen Administratoren unterscheiden werden. Eine umfassende Cyberabwehr, die auch diese Aktivitäten entdeckt und erfolgreich abwehrt ist daher insbesondere für kritische Infrastrukturen unabdingbar.

Jörg Schauff, Threat Intelligence Advisor bei Crowdstrike

Um die Taktiken und Techniken moderner Angreifer erfolgreich zu kontern, ist es empfehlenswert, neben den neuesten Technologien vor allem auch auf menschliches Knowhow zu setzen und aktives Threat-Hunting zu betreiben.  Diese Spezialisten suchen unermüdlich nach neuartigen und anormalen Taktiken, Techniken und Verfahren (TTPs) von Angreifern, die von technischen Erkennungsmaßnahmen unerkannt bleiben, und stoppen diese, sobald sie identifiziert werden.

Von Jörg Schauff, Threat Intelligence Advisor bei Crowdstrike