30.05.2023 - Bei Meldungen zu gehackten Systemen denken wohl die Wenigsten daran, dass die Cyberkriminellen nicht an den darauf gespeicherten Daten, sondern lediglich an den Ressourcen interessiert sein könnten. Bekannt ist, dass Cyberkriminelle öfters für das «Crypto Mining» Systeme kapern und diese dann für sich rechnen lassen. Ein dem NCSC gemeldeter Fall zeigt noch eine andere Methode auf, wie Cyberkriminelle mit gehackten Systemen versuchen, Geld zu verdienen.
In einem kürzlich beim NCSC eingegangen Fall bemerkte der Meldende einen unautorisierten Zugriff auf seinen Linux-Server. Die Analyse der von den Angreifern abgesetzten Befehle zeigt, wie die Angreifer vorgegangen sind und was ihre Absicht gewesen ist Nachdem die Cyberkriminellen Zugriff auf das Linux-System erlangt hatten, installierten sie in einem ersten Schritt einige kleine Hilfsprogramme. In einem zweiten Schritt installierten die Cyberkriminellen die Virtualisierungs-Software Docker. Mit dieser Software können vorbereitete Programme als sogenannte Container direkt auf einem System laufen gelassen werden.
Mittels eines Scripts wurden aus dem öffentlichen Software-Repository Github weitere Software-Pakete automatisch heruntergeladen und ausgeführt. Die letztinstallierten Software-Pakete waren das eigentliche Ziel der Angreifer, denn mit dieser Software lässt sich Geld verdienen.
Geld verdienen, ohne zu arbeiten
Anbieter von Werbenetzwerken bieten Geld dafür, um ihre Produkte (z. B. Werbevideos, Promotionscodes, usw.) in allen Weltregionen und auf den unterschiedlichsten Kundengeräten testen zu können. Dieses Vorgehen ist für die Werbetreibenden günstiger, als alle möglichen Geräte und OS-Versionen selbst zu beschaffen und damit zu testen. Um an diese grosse Masse von Testgeräten zu gelangen wird eine Software installiert. Diese Software misst zudem die genutzten Ressourcen, wie beispielsweise die Netzwerkkapazität, und berechnet die für die Nutzung fällige Entschädigung.
Die Angreifer nutzen diese Software nun, um gekaperte Infrastrukturen für sich arbeiten und Geld verdienen zu lassen. Wie im aktuellen Fall den Linux-Server. Mittels eines Scripts wird die heruntergeladene Software installiert und konfiguriert. Zudem wird ein neuer Benutzer angelegt. Anschliessend starten die Angreifer die Installation, weitere Interaktionen ihrerseits sind nicht notwendig.
Das gewählte - schwache - Passwort für diesen Benutzer ermöglicht es auch anderen Angreifern, auf das System zu gelangen und allenfalls weit gefährlichere Angriffe durchzuführen. Das angegriffene System wird also nachhaltig geschwächt.
Für die Abrechnung benötigen die Angreifer zwar ein Konto, welches im Script hinterlegt ist, aber die Angaben dort sind vermutlich gefälscht und die Bezahlung erfolgt dann mittels Kryptowährung.
Im aktuellen Fall konnte der Meldende die Veränderungen auf dem System selbst rückgängig machen und den Zugang auf das System absichern.
- Halten Sie alle Software immer aktuell;
- Sichern Sie alle Zugänge auf die Systeme, insbesondere die für die Fernwartung verwendeten;
- Kontrollieren Sie die Log-Daten – insbesondere die Logins – der Server regelmässig;
- Lassen Sie Zugriffe von Servern auf das Internet über einen authentisierten Proxyserver laufen;
- Verwenden Sie sichere Zugangsdaten – am besten eine Zwei-Faktor-Authentisierung – für die Fernwartung.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 30.05.2023
