Bug Poaching: IBM warnt Unternehmen vor neuartigen Angriffen

Martin Schindler,

Hacker brechen in Unternehmensnetze ein, kopieren vertrauliche Daten und fordern anschließend Geld für die Information, welche Lecks für den Angriff genutzt wurden. Die diesermaßen aufgezwungene “Beratungsdienstleistung” kostet IBM zufolge rund 30.000 Dollar.

IBM hat vor einer neuen Masche von Cyberkriminellen gewarnt, die der Konzern als “Bug Poaching” (zu Deutsch etwa “Schwachstellen-Wilderei”) bezeichnet. Die Angreifer brechen dabei in ein Unternehmensnetzwerk ein, suchen nach vertraulichen Informationen und speichern diese in der Cloud. Anschließend, so John Kuhn, Senior Threat Researcher bei IBM, schicken die Hacker eine Mail samt Link zum Cloud-Storage mit den gekaperten Daten an das Unternehmen.

Gleichzeitig fordern die Hacker die Summe von 30.000 Dollar für Informationen dazu, welche Schwachstellen für den Einbruch genutzt wurden. Die Hacker formulieren das meist mit folgenden Worten: “Vertrauen sie bitte darauf, dass diese Daten bei mir sicher sind. Sie wurden lediglich als Beweis extrahiert. Ich mache das nicht aus Spaß, sondern um damit meinen Lebensunterhalt zu verdienen.”

“Diese Kriminellen schrecken nicht davor zurück, in das Netzwerk der Organisation einzudringen, um Daten zu stehlen”, so Kuhn. “Sie argumentieren, dass ihre Methoden aufzeigen, an welchen Stellen das System verwundbar ist.” Die Angreifer verlangen nicht etwa Geld für die Herausgabe der Daten und sie richten – das muss man ihnen zugutehalten – zunächst keinen Schaden an, oder löschen oder verändern Daten.

Man könnte ihre Aktion daher fast also so etwas wie eine “aufgezwungene Dienstleistung” sehen. Dennoch: “Ungeachtet der Beweggründe, handelt es sich dabei um Datendiebstahl und Erpressung. Egal ob das in guter oder schlechter Absicht geschieht.” Daher sollten Bug-Poaching-Attacken – auch wenn sie vielleicht weniger schwer wiegen – nicht auf die leichte Schulter genommen werden.

Mit "Bug Poaching" ist zum Horrorvokabular der IT-Security jetzt ein neuer Begriff hinzugekommen (Bild: Shutterstock.com/bofotolux).
Mit “Bug Poaching” ist zum Horrorvokabular der IT-Security jetzt ein neuer Begriff hinzugekommen (Bild: Shutterstock.com/bofotolux).

Daher rät Kuhn auch entschieden davon ab, den Forderungen der Hacker nachzukommen, denn auf diese Weise würde man Cybercrime nur noch fördern. Kuhn berichtet, dass IBMs Sicherheitsabteilung derzeit etwa 30 Unternehmen bekannt sind, bei eingebrochen wurde und die zu derartigen Zahlungen aufgefordert wurden.

Bei den meisten dieser Organisationen seien die Hacker über SQL-Injektion in das Netzwerk eingedrungen. Wenn es bereits ein Leck in der Unternehmens-IT gibt, sei es zudem wahrscheinlich, das auch weitere Lecks bestehen. Schließlich nutzten die Hacker keine Zero-Day-Exploits, sondern zielen auf bekannte Lecks. Ein weiterer Punkt sei, dass Unternehmen, die bereits bei einer Erpressung bezahlt haben, verstärkt mit weiteren Forderungen rechnen müssten.

Angegriffene Unternehmen sollten daher sämtliche Informationen über den Vorfall sammeln. Dazu zählen vor allem Web-Logs der Server und die Mail mit den Forderungen der Angreifer, und sich damit an die Behörden wenden.

Wer erfahren möchte, wo die Probleme im Netzwerk liegen, könne das auch über die Analyse von Web-Server-Logs tun. Diese bieten laut IBM-Experte Kuhn eine exzellente Informationsquelle. Auch forensische Scans könnten diese Informationen zu Tage fördern.

Unternehmen müssen jedoch darauf vertrauen, dass die Angreifer die Daten nicht veröffentlichen. Wenn personenbezogene Daten entwendet wurden, muss dieser Vorfall gemeldet werden. Der Königsweg ist natürlich, das eigene Netzwerk und Anwendungen hinlänglich vor Angriffen zu schützen, selbst Tests, eventuell auch Penetrationstests, durchzuführen und entsprechende Fachkräfte zu engagieren.

Ausgewählte, passende Whitepaper: