Cyberkriminalität entwickelt sich ständig weiter. Zu einer der meist genutzten Methoden in diesem Jahr, gehört das Einschleusen von bösartigem Code in Tausende von E-Commerce-Websites, um persönliche Daten zu stehlen, sowie die Verwendung von LinkedIn zur Installation von Spyware. Die Schäden durch Cyberkriminalität beliefen sich 2018 auf 45 Milliarden Dollar.

Warshipping: ein neuer Angriffsvektor

Forscher von IBMs X-Force Red haben ein Proof of Concept (PoC) entwickelt, das der nächste Schritt in der Entwicklung der Cyberkriminalität sein könnte. Der als Warshipping bezeichnete Angriff kombiniert dabei moderne und traditionelle Methoden, um seine Ziele zu erreichen.

Wie Warshipping funktioniert

Warshipping verwendet einen kostengünstigen Computer, um Angriffe unabhängig vom Standort des Cyberkriminellen durchzuführen. Dabei wird ein kleines Gerät mit einem integrierten Modem an das Büro des Opfers geschickt. Das Modem ermöglicht die Fernsteuerung des Gerätes durch die Hacker.

Mit seinem integrierten Funkchip sucht das Gerät nach Netzwerken in der Nähe, um das Paket zu verfolgen. Charles Henderson, Leiter der IBM Offensive Operations Unit, erklärt: „Sobald wir sehen, dass ein Kriegsschiff an der Haustür, der Poststelle oder dem Ladedock des Ziels angekommen ist, sind wir in der Lage, das System fernzusteuern und Tools auszuführen, um entweder passiv oder aktiv den drahtlosen Zugang des Ziels anzugreifen.“

Der Warshipping-Angriff

Sobald sich das Warship physisch innerhalb der Organisation des Opfers befindet, wartet das Gerät auf drahtlose Datenpakete, mit denen es in das Netzwerk eindringen kann. Es lauscht auch auf Handshakes, den Prozess der Autorisierung eines Benutzers, um sich am Wi-Fi-Netzwerk anzumelden zu können. Diese Daten sendet es über das Mobilfunknetz an den Angreifer zurück, damit er diese Informationen entschlüsseln und das Wi-Fi-Passwort auslesen kann.

Mit diesem Wi-Fi-Zugang kann der Angreifer durch das Unternehmensnetzwerk navigieren und nach ungeschützten Systemen und exponierten Daten suchen sowie sensible Daten oder Benutzerpasswörter stehlen.

Eine potenzielle Bedrohung

Laut Henderson könnte dieser Angriff zu einer heimlichen, effektiven Insider-Bedrohung werden: Er ist kostengünstig, leicht zu entsorgen und kann vom Opfer schnell übersehen werden. Darüber hinaus kann der Angreifer diese Bedrohung aus großer Entfernung inszenieren. Bei der Anzahl von Paketen, die täglich durch die Poststellen von Unternehmen gehen, ist es leicht, einige Pakete zu übersehen.

Ein Aspekt, der Warshipping besonders gefährlich macht, ist die Tatsache, dass es E-Mail-Schutzmaßnahmen umgeht. Es wird somit nicht auf Malware und andere Angriffe durch Anhänge geprüft.

Schützen Sie Ihr Unternehmen vor dieser Bedrohung

Da es sich um einen physischen Angriff handelt, mag es so aussehen, als gäbe es nichts, was wir tun könnten, um diese Bedrohung zu stoppen. Dies ist ein Fall, in dem die Pflege von E-Mails und misstrauischen Anhängen nicht funktioniert. Es gibt jedoch Lösungen, die den Angriff verhindern können.

Die Steuerbefehle kommen vom Warship selbst. Dies bedeutet, dass es sich um einen Prozess außerhalb des Systems des Unternehmens handelt. Panda Adaptive Defense stoppt automatisch jeden unbekannten Prozess in einem IT-System. Eine Verbindung mit dem C&C-Server des Angreifers über das Warship ist ein Prozess, der für Adaptive Defense unbekannt ist. Der Prozess wird daher blockiert und das System ist sicher.

Im Moment ist Warshipping nur ein Proof of Concept und wurde bei keinem echten Angriff eingesetzt. Die unaufhörliche Kreativität der Cyberkriminellen bedeutet jedoch, dass sie Realität werden könnte.