Schlagwort: Schadsoftware
14. Dezember 2021
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rief am 11.12.2021 die ‘Warnstufe Rot’ für das Java-Software-Modul Log4j aus. Dort wurde eine Sicherheitslücke entdeckt, die den Namen “Log4Shell” trägt.
Das Software-Modul Log4j ist auf vielen Computern in der Java-Software zu finden. Es handelt sich um eine Protokollierungs-Bibliothek, sie protokolliert Ereignisse im Serverbetrieb. Dies dient beispielsweise einer Fehlersuche.
Die Sicherheitslücke hat zur Folge, dass es Angreifern möglich wird, ihren Softwarecode auf fremde Server zu spielen. Dies kann bereits durch das Eingeben spezieller Befehle in einen Chat mit dem Opfer möglich sein. Sodann können die Angreifer auf deren Servern Schadsoftware installieren und sogar das gesamte System übernehmen. So erhält der Angreifer Kontrolle über das System des Opfers und damit auch Zugriff auf die dort gespeicherten Daten. Besonders gefährdet sind laut BSI momentan Betreiber von Servern und Rechenzentren, aber auch Privatleute können dieses Software-Modul auf ihren Computern haben. Global könnten eventuell mehrere Milliarden Computer betroffen sein.
Welche Systeme und Produkte genau betroffen sind, ist zum jetzigen Zeitpunkt noch unklar. Momentan werden Massenscans durchgeführt, um angreifbare Systeme und bereits erfolgte Angriffe aufzuspüren. Aktuell wird davon ausgegangen, dass die Sicherheitslücke die Log4j- Versionen von 2.0 bis 2.14.1. betrifft.
Das BSI veröffentlicht auf seiner Homepage regelmäßig Updates zu der Entwicklung der Sicherheitslücke bei Log4j sowie Handlungsempfehlungen und Antworten auf die geläufigsten Fragen. Betroffene, die mithilfe dieser Sicherheitslücke angegriffen wurden, sind angehalten sich beim BSI zu melden. Teilweise bieten System-Hersteller erste Updates auf die aktuelle Version 2.15.0 von Log4j an, diese sollten umgehend installiert werden.
21. Juli 2021
Anfang dieser Woche kam es im Rahmen des sogenannten Pegasus Project zu Enthüllungen, die den Missbrauch der Software Pegasus der israelischen Firma NSO betreffen. Das Pegasus Project ist dabei ein Zusammenschluss von Reporterinnen und Reportern aus verschiedensten Ländern. Deren Recherchen begannen, nachdem u.a. Amnesty International eine Liste mit über 50.000 Handynummern aus mehr als 50 Ländern zugespielt wurde. Beteiligt waren an dem Projekt u.a. die ZEIT, die Süddeutsche, The Guardian (GB), Le Monde (FR) und die Washington Post (US).
Bei der Software Pegasus handelt es sich um eine Überwachungssoftware, die eigentlich Verbrechen und Terrorismus gezielt bekämpfen soll. Sie kann unbemerkt auf den Handys der Betroffenen installiert werden. Häufig erhalten Betroffene eine SMS, die z.B. von einem Paketzusteller stammen soll und erhalten in dieser SMS einen Downloadlink. Wird auf diesen geklickt, landet die Software auf dem Handy. Allerdings ist es Pegasus wohl auch möglich, auf das Handy zu gelangen, ohne dass die SMS überhaupt angezeigt und angeklickt werden. Auch über WLAN- oder Mobilfunknetze kann Pegasus auf das Handy gelangen. NSO bietet seinen Kunden verschiedene Möglichkeiten an, die Software auf dem Gerät der Zielperson zu installieren. Dabei werden Software-Schwachstellen von Betriebssystemen, die den Herstellern noch nicht bekannt sind (sogenannte ‚Zero-Day-Exploits‘) ausgenutzt. Ist Pegasus einmal auf dem Handy, hat die Software die komplette Kontrolle. Sie kann Daten kopieren und versenden, verschlüsselte Nachrichten lesen und unbemerkt Kamera oder Mikrofon des Gerätes anschalten. Die kopierten Daten können von Telefonbuch- und Kalendereinträgen, über Fotos bis hin zu dem Browserverlauf und Nachrichten alles umfassen. Auch Anrufe können abgehört werden und Standortdaten weitergegeben. Weiterhin können Sicherheitsupdates des Herstellers von der Software unterdrückt werden.
Nun sollen mit dieser Software diverse Menschenrechtsaktivisten, Journalistinnen und Oppositionelle überwacht worden sein. Auch hochrangige Politiker wie Frankreichs Präsident Macron und Belgiens Premierminister Michel sollen Opfer der Überwachungen geworden sein. Benutzt worden sein soll die Software dabei u.a. von Polizeibehörden und Geheimdiensten in Saudi-Arabien, Mexiko und Ungarn.
Die Firma NSO streitet diese Vowürfe ab, erste Länder haben währendessen schon Ermittlungen aufgenommen.
Ausführlichere Erklärungen zur Funktionsweise der Pegasus Software können diesem Video entnommen werden.
13. April 2021
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt momentan vor dem sogenannten “Smishing” (Phishing per SMS). Dabei erhalten die Betroffenen eine SMS mit einem Link, den sie anklicken sollen. Aktuell geben sich die Absender der SMS vor allem als Logistikunternehmen aus, die dem Betroffenen ein Paket zustellen möchten. Dazu sei es notwendig, dem Link zu folgen und eine Paketverfolgungsapp herunterzuladen. Beispiele für den Wortlaut der SMS veröffentlichte z.B. das Landeskriminalamt Niedersachsen. Das Klicken auf den Link führt bei Android-Nutzern dazu, dass die Schadsoftware FluBot heruntergeladen wird. Bei Nutzern von iOS findet kein Download statt, stattdessen landen Sie auf einer Phishing-Seite.
Ziel dieser Smishing-Angriffe und dem daraus resultierenden Download von FluBot ist das Ausspähen der Daten der Betroffenen. Bei FluBot handelt es sich laut der Sicherheitssoftware-Firma ESET um einen Banking-Trojaner, der erstmals Ende 2020 auftrat. Wird er installiert, kann er u.a. SMS schreiben und lesen, Anrufe durchführen und die Kontaktliste einsehen. Dabei fängt FluBot SMS mit Einmalpasswörtern ab, die bei der Zwei-Faktor-Authentifizierung benötigt werden und verbreitet sich per SMS an die Kontaktliste des Betroffenen weiter. Sicherheitsexperte Lukas Stefanko von ESET veröffentlichte hierzu ein Twitter-Video, auf dem der Ablauf erkennbar ist.
Das BSI empfiehlt also dringend, solche SMS zu ignorieren und den Absender zu sperren. Eine Installation von Schadsoftware ist nur bei Folgen des Links möglich. Für Betroffene, die den Link bereits angeklickt haben, gibt es ebenfalls Hilfestellung. So sollen sie schnellstmöglich den Flugmodus ihres Gerätes einstellen, ihren Mobilfunkprovider informieren, sowie Strafanzeige erstatten. Hierfür sollte das Smartphone zu Beweiszwecken vorgelegt werden. Auch Kontobewegungen sollten überprüft werden. Danach wird empfohlen, das Gerät auf seine Werkseinstellungen zurück zu setzen.
Für den grundsätzlichen Umgang mit Smishing-Angriffen hat ESET Hinweise veröffentlicht. So wird empfohlen, sein Smartphone-Betriebssystem stets auf dem neusten Stand zu halten, nur Apps aus offiziellen App-Stores zu downloaden und ein Anti-Viren-Programm zu installieren.
Ein Zusammenhang der Smishing-Vorkommnisse mit dem jüngsten Datenschutzleck bei Facebook kann zurzeit nicht nachgewiesen werden.
27. Februar 2019
Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnt vor Schadsoftware auf neu gekauften Geräten.
Fachleute des BSI hatten über den Internethändler Amazon drei Billiggeräte bestellt. Getestet wurden das Tablet Eagle 804 von Krüger&Matz, das Smartphone S8 Pro von Ulefone und das Smartphone A10 von Blackview.
Dabei konnte nachgewiesen werden, dass das Tablet Eagle 804 im Auslieferungszustand über eine vorinstallierte Schadsoftware mit einem bekannten Command&Control-Server Kontakt aufnimmt.
Das Bundesamt spricht von der Möglichkeit, dass aufgrund der Schadsoftware Banking-Trojaner auf den jeweiligen Geräten Kontodaten ausspionieren können.
Eine manuelle Entfernung der Schadsoftware sei aufgrund der Verankerung im internen Bereich der Firmware nicht möglich.
Nicht nachgewiesen wurde die Schadsoftware bei den Smartphones Ulefone S8 Pro und Blackview A10 in ihrem aktuellen Auslieferungszustand. Allerdings ist die Schadsoftware in früheren Firmware-Versionen enthalten, also im Softwaregerüst des Geräts.
Die Hersteller boten diese auf ihren Webseiten als einzige Variante zum Download an. Es ist daher davon auszugehen, dass mit diesen Firmwareversionen ausgelieferte Geräte ebenfalls betroffen sind. Nach Angaben des BSI liegen Daten vor, die zeigen, dass über 20.000 Verbindungen unterschiedlicher deutscher IP-Adressen am Tag mit dem Server kommunizieren würden.
Die Hersteller der Geräte wurden über die Erkenntnisse vom BSI informiert.
Reagiert hat darauf der Hersteller Blackview , der am 27.02.2019 ein Firmware-Update für das Smartphone A10 bereitstellte. Das BSI hat das angebotene Update überprüft und seine Unbedenklichkeit bezüglich der Schadsoftware bestätigen können.
Amazon hat gegenüber dem BSI angegeben, die drei genannten Geräte nach der Kontaktaufnahme durch das BSI gegenwärtig aus dem Sortiment genommen zu haben.
7. Dezember 2018
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Tagen häufig Meldungen von IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit der Schadsoftware Emotet stehen. Betroffene leiden unter Ausfällen der kompletten IT-Sicherheitsstruktur, die die Geschäftsprozesse erheblich einschränken und Schäden in Millionenhöhe nach sich ziehen.
Das BSI hat aus aktuellem Anlass neue umfassende Sicherheitsmaßnahmen empfohlen. Angepasst an die Zielgruppen Unternehmen und Privatanwender sind diese auf den Webseiten des BSI abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/emotet und https://www.bsi-fuer-buerger.de/BSIFB/emotet.
Mithilfe des sogenannten “Outlook-Harvesting” ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Die Schadsoftware liest Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Weiterhin verfügt Emotet über die Möglichkeit weitere Schadsoftware bei bereits infizierten Systemen nachzuladen. Dadurch haben Angreifer Zugriff auf Zugangsdaten und erhalten einen vollständigen Remotezugriff auf das System.
Insbesondere der Banking-Trojaner “Trickbot” wurde zuletzt nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann.
7. Mai 2018
Polizeibeamte in Niedersachen können nun mithilfe der neuen App NIMes Textnachrichten, Audio-, Bild- und Videoaufnahmen austauschen, ohne dass jemand anderes darauf Zugriff hat. Nach Auffassung des niedersächsischen Landesdatenschutzbeauftragten besteht dennoch eine Gefahr hinsichtlich des Datenschutzes, da der größte Teil der Beamten die App auf ihrem Privathandy nutzen. “Wenn der Nutzer das auf dem privaten Mobiltelefon vorhandene Betriebssystem nicht fortlaufend durch Updates zur Virenabwehr aktualisiert, wird Tür und Tor für eine Infizierung der App mit Schadsoftware geöffnet”, sagte Datenschützerin Barbara Thiel.
Damit wäre es empfehlenswert die App nur auf Diensthandys zu installieren. Innenminister Boris Pistorius ist jedoch anderer Ansicht, da NIMes getrennt vom Betriebssystem läuft und damit in einem geschlossenen Benutzerkreis.
Die App hat eine wichtige Bedeutung in der Informationssteuerung bei Einsatzkräften. So können Polizeibeamte wichtige Informationen sicherer als bei der Nutzung von WhatsApp weiterleiten.
Als Pilotprojekt wird NIMes zunächst in Celle und Hannover-Mitte, sowie in der Zentralen Polizeidirektion eingesetzt.
