Ausgeklügelte Malware-Techniken, die von staatlich unterstützten Angreifern verwendet werden, um ukrainische Kraftwerke 2015 zu lahmzulegen, werden nun von der Black-Hat-Community in größerem Umfang eingesetzt, warnte Venafi.
Die fragliche Malware zielt auf SSH-Schlüssel ab, die dazu dienen, Remote-Befehle an und die Kommunikation zwischen Maschinen zu sichern. Als solche sind sie von zentraler Bedeutung für die Sicherung von Cloud-Workloads, VPN-Verbindungen, angeschlossenen IoT-Geräten und mehr.
Blackout-Malware aus der Ukraine im Dark Web frei verfügbar
Durch die Ausnutzung eines einzigen SSH-Schlüssels könnten Angreifern unbemerkt Root-Zugriff auf unternehmenskritische Systeme gewähren, um Malware zu verbreiten oder Prozesse zu sabotieren, warnte der Sicherheitsanbieter.
Es lässt sich beobachten, dass Malware die SSH-Schlüssel der Angreifer zu einer Liste autorisierter Schlüsseldateien auf den Opfermaschinen hinzufügt, was bedeutet, dass diese Maschine dem Schlüssel vertraut. Andere Techniken umfassen das Erzwingen einer schwachen SSH-Authentifizierung, um Zugang zu erhalten und sich in Netzwerken zu bewegen.
Diese Techniken wurden im vergangenen Jahr vom Crimeware-Botnet TrickBot, der Kryptomining-Kampagne CryptoSink, dem Linux-Wurm und Skidmap beobachtet, sagte Venafi. Das ist weit entfernt von dem relativ seltenen Anblick eines hinterhältigen SSH-Servers, der im Dezember 2015 von der BlackEnergy-Bande benutzt wurde. Dieser Angriff verursachte massenhafte Stromausfälle in Teilen der Ukraine.
„SSH-Schlüssel können in den falschen Händen mächtige Waffen sein. Aber bis vor kurzem hatten nur die ausgeklügeltsten, gut finanzierten Hacker-Gruppen diese Art von Fähigkeiten. Jetzt sehen wir einen ‚Trickle-Down‘-Effekt, bei dem SSH-Fähigkeiten immer mehr zum Allgemeingut werden“, warnte Yana Blachman, Spezialistin für Bedrohungsaufklärung bei Venafi.
„Was diese Kommodifizierung so beunruhigend macht, ist, dass ein Angreifer, wenn er in der Lage ist, ein potenziell interessantes Ziel durch die Hintertür zu erreichen, diesen Zugang monetarisieren und über spezielle Kanäle an raffiniertere und gesponserte Angreifer verkaufen kann, wie z.B. Bedrohungen durch Nationalstaaten zum Zwecke der Cyber-Spionage oder des Cyber-Kriegs.
Dies sei schon einmal geschehen, als man herausfand, dass die TrickBot-Bande einen „Bot-as-a-Service“ an nordkoreanische Hacker verkauft habe, behauptete sie.
Um solche Bedrohungen zu bekämpfen, müssen Organisationen eine klare Sicht auf und einen Schutz für alle autorisierten SSH-Schlüssel im Unternehmen haben, um zu verhindern, dass sie gekapert werden und um Versuche von Angreifern zu blockieren, ihre eigenen bösartigen SSH-Rechner-Identitäten in Systeme einzufügen.
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.