Die neue Cyberattacke „Cloud Snooper“
Autor:in
Dr. Frank StummerHaben Sie schon mal von „Cloud Snooper“ gehört? Nein? Das ist nicht weiter verwunderlich. Im Februar dieses Jahres haben Sicherheitsexperten von SophosLabs ein Angriffsszenario offengelegt, dem sie den Namen Cloud Snooper gegeben haben. Es handelt sich dabei um einen sehr ausgefeilten Angriff. Wir möchten Ihnen zeigen, wie Sie sich vor dieser Cyberattacke schützen können.
In einer Kombination verschiedener Methoden werden mit einem Rootkit Firewalls mit maskiertem Netzwerkverkehr umgangen, eine Hintertür wird geöffnet, um z.B. sensible Daten abzugreifen und wieder maskiert nach außen zu senden. Die Angreifenden legen dabei sehr viel Wert darauf, nicht erkannt zu werden und sich zu verschleiern. Neu bei diesem Angriff ist auch, dass es kein spezifischer Angriff ist, der gezielt nur einzelne Schwachstellen z. B. einer bestimmten Betriebssystemversion ausnutzt. Es handelt sich vielmehr um einen plattformübergreifend funktionierenden Angriff, der sowohl Windows- als auch Linuxumgebungen attackiert. Er wurde zuerst in Cloudservices von Amazon entdeckt, ist aber bei weitem nicht darauf beschränkt. Der Name wurde gewählt, da der Angriff offenbar gezielt zur Spionage in Cloudumgebungen entwickelt wurde. Es ist unklar, wer dahintersteckt. Wahrscheinlich ein Team oder eine Organisation mit erheblichen, vielleicht staatlichen Ressourcen.
Wie können wir uns davor schützen?
Bei Cloud Snooper kam der erste Hinweis aus dem Auftreten von erhöhtem Netzwerkverkehr, bei etwas näherem Hinschauen von ungewöhnlichen Netzwerkverkehr. Zur Detektion gibt es verschiedene Sicherheitsprodukte und Lösungen, die von geschulten eigenen oder externen Mitarbeitern entsprechend der eigenen Informationssicherheitsstrategie betrieben werden. Vielleicht kommen dann auch zu einer weiteren Aufklärung zusätzlich Experten hinzu, um gegebenenfalls abzuschätzen, ob schon ein Schaden entstanden ist. Wie immer in der IT-Sicherheit tragen zum Schutz eine Kombination verschiedener Maßnahmen bei, wie insbesondere das Patchen (die genaue Festlegung) aller nach außen gerichteten Dienste (nicht nur nach innen, wie es häufig geschieht), die Überwachung von Cloudkonfigurationen und die Nutzung von Mehrfaktorauthentifizierung.
Sie möchten mehr Informationen über Cloud Snooper erfahren? Dann schauen Sie doch mal auf der Webseite von SophosLabs vorbei. Dort finden Sie den englischen Bericht mit ausführlichen Informationen.