Die Experten von Stormshield haben vier Hypothesen und mögliche Szenarien unter die Lupe genommen, die nach Meinung des Herstellers Aufmerksamkeit verdienen: Mehrstufiges Phishing mittels Deep-Fake, latente Malware, die man jederzeit per Fernzugriff aktivieren kann, wiederholte Angriffe auf die Nahrungsmittelindustrie und die mögliche Rückkehr der Hacktivisten.
1. Mehrstufiges Phishing
– 2019 wahrgenommene Signale
Zahlreiche Softwarehersteller sind der Ansicht, dass 2019 der Anteil von Phishing an den meist genutzten Angriffsvektoren zunahm. Die eingesetzten Methoden entpuppten sich zudem teilweise aufgrund ihrer Komplexität zu einer echten Herausforderung, etwa mit falschen 404-Seiten oder Web-Portalen, die von Google indexiert wurden. Berichtet wurde sogar von Phishing-Kampagnen, die als Mitarbeiterbeurteilungsbögen getarnt waren (Quelle: Kaspersky Frankreich).
Laut Google stieg die Anzahl der Suchvorgänge nach dem Begriff „Deep Fake“ zwischen 2017 und 2018 um das Tausendfache. Eine Bedrohung, die 2019 sehr deutlich wurde. Im September wurde ein englisches Unternehmen Opfer eines „Geschäftsführertricks“: Ein Mitarbeiter überwies einem ungarischen Dienstleister 200.000 Pfund. Er war davon überzeugt, telefonisch vom CEO seines Unternehmens dazu aufgefordert worden zu sein. In Wahrheit handelte es sich um einen „Deep Fake“, der mithilfe einer Sprachaufnahme inszeniert wurde. Ein anderes Beispiel, jedoch in Bildern, ist ein im November veröffentlichtes Video mit Donald Trump, der das weltweite Ende der Aids-Epidemie verkündete. Ein vom Verein Solidarité Sida produzierter „Deep Fake“, um auf das genaue Gegenteil hinzuweisen – lobenswerte Absichten, unangemessene Mittel.
Neben diesen beiden Anekdoten gab Google seine Intention bekannt, die Einführung von Duplex, einer künstlichen Intelligenz, die ganz autonom Anrufe tätigt, zu beschleunigen. Wird 2020 das Jahr des Social Engineerings auf Deep-Fake-Basis?
– Mögliche Szenarien für 2020
Die Einführung des „Deep Fakes“ in das Arsenal der Cyberkriminellen ist eine echte technische Herausforderung hinsichtlich Vorbeugung und Sicherheit. Und die meisten Experten sind sich über die Komplexität dieser Bedrohung einig. Angesichts der schnellen Verbreitung der Entwicklungswerkzeuge für solche Angriffsvektoren ist es sehr wahrscheinlich, dass es im Jahr 2020 zu immer mehr Phishing-Kampagnen auf Grundlage von „Deep Fakes“ kommen wird. Diese Technik soll im Übrigen 2020 dediziert unter die Lupe genommen werden, insbesondere im Vorfeld der US-Präsidentschaftswahlen im November.
Konkret könnte ein Deep Fake-Angriff im Rahmen einer Phishing- oder Spear-Phishing-Kampagne wie folgt funktionieren: Ein Anruf des Geschäftsführers kündigt den Versand eines Dokuments an, das dringend gelesen werden muss. Kaum hat man auf die Datei geklickt, ist die Ransomware schon installiert.
In diesem Rahmen sind auch Verbreitungsformeln wie „Deep Fake as a Service“ denkbar, die eine deutliche Steigerung der Effizienz dieser Angriffsvektoren bewirken würden. Eine Bedrohung, die man durchaus ernst nehmen sollte. In seiner Studie prophezeit das Marktforschungsinstitut Forrester für das Jahr 2020 Schäden in Höhe von 250 Millionen US-Dollar aufgrund von Deep-Fake-Attacken. Dabei erweist sich die Entwicklung eines glaubwürdigen „Deep Fakes“ als äußerst komplex und kostspielig verglichen mit den Kosten für die Erstellung einer einfachen Ransomware. Der Kostenfaktor könnte deshalb die erwartete Explosion der „Deep Fakes as a Service“ relativieren. Doch gilt dies gleichermaßen für Cyberkriminelle mit umfangreicheren Mitteln, die sie beispielsweise von einem Staat bereitgestellt bekommen? Oder für unabhängige Spezialisten?
All dies lässt vermuten, dass 2020 das Jahr des mehrstufigen Phishings sein wird. Mit einfachen Kampagnen, die mit bereits bekannten Techniken auf die Gutgläubigkeit der Zielpersonen setzen, und komplexeren Kampagnen, die die aktuellsten Technologien nutzen, um auch erfahrene Profis hinters Licht zu führen.
2. Die Malware von morgen ist heute bereits am Werk
– 2019 wahrgenommene Signale
„Die Cyberkriminalität wird allmählich zum Massenphänomen“, so Guillaume Poupard, der Geschäftsführer der französischen Agentur für die Sicherheit von Informationssystemen (ANSSI) in einem Interview über die Entwicklungen im Jahr 2019. Ein Jahr, in dem sowohl komplexe, hochwirksame Cyberangriffe kursierten, beispielsweise gegen große Fernsehsender (etwa die französische M6), Krankenhäuser und Industrieanlagen, als auch Malware wie LockerGoga und Ruyk. Die Folgen der manchmal von den Staaten unterstützten Cyberkriminalität in großem Maßstab wurden der Öffentlichkeit spätestens im März 2019 deutlich gemacht, als die USA einen Angriff auf ein venezolanisches Kraftwerk ausübten.
Im November 2019 wurde durch eine Studie nachgewiesen, dass gewisse Schwachstellen seit über zehn Jahren und noch heute von Cyberangreifern ausgenutzt werden. Einigen betroffenen Unternehmen sind die Sicherheitslücken in ihrem System bekannt, jedoch verfügen sie nicht über die Mittel, um die entsprechenden Anwendungen auszutauschen. Dieser Fall tritt häufig im Gesundheitswesen auf, wo Anwendungen zum Einsatz kommen, die nur auf veralteten Betriebssystemen laufen. In der Industrie werden ebenfalls gewisse Bestandteile der Hardware weiterverwendet, obwohl sie veraltet sind. Dadurch erhöht sich das Risiko, einem Angriff zum Opfer zu fallen, der schon Jahre zuvor initiiert wurde. Daher die Frage: Potenziert das Alter der Schwachstellen ihr Schadenspotenzial? 2020 dürfte uns Antworten bringen.
– Mögliche Szenarien für 2020
Wie bei latenten Viren im menschlichen Körper sind einige Angriffsvektoren bereits vor Jahren in empfindlichen Computersystemen installiert worden. Es ist daher leicht, Hypothesen aufzustellen, in denen bestimmte Schlüsselsektoren (Gesundheit, Nahrungsmittel, Energie) mit seit Jahren inaktiver Malware infiziert worden sein könnten. Ebenso einfach ist es, die katastrophalen Folgen zu hypothetisieren: Was würde passieren, wenn mitten in der Nacht alle weltweit verteilten Produktionsstätten eines großen multinationalen Unternehmens gleichzeitig gestoppt würden? Es würde Wochen dauern, das Problem zu identifizieren und lösen. Die Produktion würde eingestellt und alle verderblichen Waren weggeworfen werden. Ein katastrophales Bild in den TV-Nachrichten und der sichere finanzielle Ruin wären die Folge.
Die wahrscheinliche Quelle eines solchen Unfalls? Eine erfolgreiche Phishing-Kampagne, die Jahre zuvor durchgeführt wurde, infizierte mehrere Firmennetzwerke mit latenter Malware. Diese Schadsoftware konnte sich lokal auf alle Endgeräte mit älteren Windows-Versionen verbreiten und wird per Fernzugriff aktiviert. Da sie bereits auf allen Terminals vorhanden ist, ist es nicht mal hilfreich, die Geräte im Notfall vom Netz zu trennen. Und alle sitzen vor schwarzen Bildschirmen.
3. Generalisierung der Cyberangriffe auf die Nahrungsmittelindustrie
– 2019 wahrgenommene Signale
Im April 2019 wurde der französische Branchenriese Fleury Michon Opfer einer erfolgreichen Cyberattacke und musste fünf Tage lang alle Tätigkeiten einstellen. Im Dezember 2019 waren die italienische Feinkostmarke Fratelli Beretta und der belgische Bierbrauer Busch an der Reihe, als sie mit der Ransomware Maze erpresst wurden. Die Nahrungsmittelindustrie scheint mehr denn je ins Visier zu geraten und weckt Begehrlichkeiten von Cyberangreifern jeder Art.
Parallel dazu steigt in der Öffentlichkeit das Bewusstsein für die Zusammensetzung der Lebensmittel, und die Verbraucher werden immer anspruchsvoller. Dazu eine Zahl: 92 % der Nutzer der Produktscanner-App Yuka (aktuell verfügbar auf Englisch, Spanisch und Französisch) legen die Produkte zurück ins Regal, die laut App-Bewertung eine negative Auswirkung auf die Gesundheit des Käufers aufweisen (Zitat: Julie Chapon, Gründerin des App-Herstellers auf Forbes).
– Mögliche Szenarien für 2020
Ein hypersensibler Sektor, eine größtenteils automatisierte Produktionskette und eine Qualitätssicherung, die eine der Säulen der Branche ist: Hier sind alle Elemente vereint, die die Lebensmittelindustrie auch in den nächsten Jahren zu einer mit hohen Risiken behafteten Branche machen.
Ganz gleich, ob die Cyberangriffe von staatlich geförderten Akteuren (Reaktion auf einen offenen Konflikt) oder von Cyberterroristen (Angriff auf Bevölkerungsgruppen mit gesundheitsgefährdenden Lebensmitteln) ausgehen, 2020 werden wir sehr wahrscheinlich noch häufiger Attacken auf die Lebensmittelindustrie erleben. Und dabei sind die verhängnisvollsten Szenarien möglich. Zum Beispiel könnte ein gezielter Angriff die Programmierung einer Maschine verändern oder dazu führen, dass gewisse Elemente der Produktionskette leerlaufen und dadurch vorzeitig verschleißen. Das Ziel: Die Sabotage der anvisierten Industrieanlagen.
Ein guter alter USB-Stick oder eine Phishing-Kampagne reicht, um einen Arbeitsplatz-PC zu infizieren und ins Netzwerk einzudringen. Einige der großen Konzerne haben dieses Szenario bereits in Betracht gezogen und wirksame Schutzmaßnahmen für ihre Produktionsanlagen ergriffen (zum Beispiel durch eine Segmentierung der Netzwerke). Kleine und mittlere Unternehmen dieser Branche scheinen hingegen anfälliger für diese Art von Cyberangriffen zu sein, die hohe finanzielle Verluste und katastrophale Auswirkungen auf ihr Image zur Folge hat.
4. Die große Rückkehr der Hacktivisten
– 2019 wahrgenommene Signale
Obgleich seit 2015 die Angriffe von Hacktivisten um 95 % zurückgegangen sind, deuten die jüngsten Informationen weltweit auf einen Anstieg der Probleme hin, bedingt durch Themen mit Empörungspotenzial: die Anprangerung der Untätigkeit des australischen Premierministers angesichts der Brände, das Aufbegehren in Hongkong gegen die chinesische Regierung, der Protest in Frankreich gegen die geplante Einführung der Gesichtserkennung in den staatlichen Behörden oder die Rentenreform. Letzteres führte im Dezember 2019 dazu, dass das Onlineportal der französischen Arbeitgebervereinigung MEDEF aufgrund eines DDoS-Angriffs mehrere Stunden lang nicht erreichbar war. Etwas früher, im November 2019, startete zudem der Hacker Phineas Fisher seinen persönlichen Kampf gegen Unternehmen der Mineralölwirtschaft und die kapitalistischen Institutionen.
– Mögliche Szenarien für 2020
Wie wahrscheinlich ist die Rückkehr von groß angelegten Angriffen seitens Hacktivisten angesichts der zunehmenden Zahl von sozialen Bewegungen? Es ist anzunehmen, dass eine neue Art von Aktivisten („Streikende Hacktivisten“) ihre Talente einsetzen könnten, um eine politische Botschaft zu verbreiten. Statt in die Räume der Gegner einzudringen, könnte man deren Aktion auf elektronischem Wege blockieren. Warum die Tore der Busdepots physisch blockieren, wenn man sie doch per Fernzugriff verriegeln kann? Und eine kleine Manipulation des Computernetzwerks könnte genügen, um auch die automatisierten U-Bahn-Linien stillzulegen. Solche Mechanismen auch bei bestimmten Presseorganen oder Orten einzusetzen, die die Macht symbolisieren, könnte der Stimme der Demonstranten oder deren Aktionen eine größere Tragweite verleihen.
Angesichts der jüngsten Angriffe auf die Agrar- und Nahrungsmittelindustrie spricht nichts gegen weiterführende Hypothesen: Hacktivisten könnten Lebensmittel verarbeitende Betriebe mit der Absicht manipulieren, das gesamte Fleisch aus einigen Fertiggerichten zu entfernen, um den Veganismus zu unterstützen, oder sich Zugang zu großen Einzelhandelsunternehmen verschaffen, um ganz im Geiste eines „Robin Hood 2.0“ tägliche Konsumgüter an Bedürftige zu liefern.
Das alles sind denkbare Szenarien, die unsere Aufmerksamkeit verdienen.
www.stormshield.com