Cyberkriminelle nutzen das Penetrations-Tool BeEF für gezielte Cyberspionage.
foto cc0
Die Experten von Kaspersky Lab haben einen neuen Cyberspionagetrend ausgemacht: Kriminelle nutzen statt spezialisierter eigener oder zugekaufter Malware zunehmend freie Open-Source-Software, die eigentlich für die seriöse Durchführung von Sicherheitstests entwickelt wurde. Kaspersky Lab deckte jüngst mehrere Cyberspionage-Kampagnen [1] auf, die nach diesem Muster arbeiten.
Besonders im Fokus steht dabei das Browser Exploitation Framework (BeEF) [2]. Dabei handelt es sich um ein Tool für Browser-Penetrationstests, also um Software, die mit von Hackern verwendeten Mitteln und Methoden arbeitet, um die Sicherheit von Browsern zu überprüfen. In jüngster Zeit hängen sich Cyberkriminelle an diese Art von Testsoftware, um weltweit gezielt Privatpersonen, Unternehmen oder Organisationen zu attackieren.
Dank der freien Open-Source-Software müssen Cyberkriminelle keine eigenen aufwändigen und teuren Spionage-Kampagnen entwickeln. Auch unerfahrenere und mit weniger Mitteln ausgestattete Hacker-Gruppen können so Cyberspionagekampagnen starten.
Bei ihren Open-Source-Software-Angriffen setzen die Kriminellen auf die bekannte Wasserloch-Methode (Watering-Hole-Angriff): Sie kompromittieren bestimmte Webseiten, die etwa von Mitarbeitern des Angriffsziels gern und häufig besucht werden, mit dem Schädling BeEF. Dann warten sie solange, bis die Penetrationstestsoftware beim Besuch dieser Seiten präzise Informationen über das System und dessen Anwender liefert. Über Schwachstellen in der Browsersoftware gelangen sie an die Zugangsdaten der Nutzer und können in der Folge unter anderem weitere Schadsoftware auf dem System der Opfer installieren.
Breites Spektrum an kompromittierten Webseiten
Die Experten von Kaspersky Lab fanden im Rahmen ihrer Recherchen zig solcher Webseiten, deren Inhalt Rückschlüsse auf die möglichen Opfer zulässt. So gehörten die kompromittierten Webseiten unter anderem einer russischen Botschaft im Nahen Osten, einer Militärakademie in Indien, einer EU-Behörde zur Förderung der Diversifizierung im Bildungsbereich, einem türkischen Nachrichtendienst, einem britischen Lifestyle-Blog, einem chinesischen Bauunternehmen, einem russisch-sprachigen Forum für Spieleentwickler und einer deutschen Musikschule.
»Cyberspionagegruppen verwenden bereits seit einiger Zeit legale Open-Source Penetrationssoftware, mal in Kombination mit eigener Malware, mal ohne. Neu ist jetzt, dass immer mehr Kriminelle BeEF als attraktive und wirkungsvolle Alternative entdeckt haben«, erklärt Kurt Baumgartner, Principal Security Researcher bei Kaspersky Lab. »Das sollten auch die Sicherheitsabteilungen von Unternehmen wissen und beherzigen, um sich vor diesem neuen Angriffsvektor schützen zu können«.
Mehr Informationen zum Missbrauch seriöser Software für Penetrationstests durch Kampagnen wie Newsbeef/Newscaster, Crouching Yeti oder TeamSpy APT enthält der folgende Blog:
[1] https://securelist.com/blog/software/74503/freezer-paper-around-free-meat/
[2] https://www.beefproject.com/