Cyberspionage-Kampagne “Slingshot”: Schutzmaßnahmen

Die Analysten von Kaspersky nehmen in einem aktuellen Blogpost  (https://www.kaspersky.com/blog/web-sas-2018-apt-announcement-2/21514/) Bezug auf eine Cyberspionage-Kampagne namens „Slingshot”. Router laden als Teil ihrer Funktion unterschiedliche DLL-Dateien herunter und führen sie aus. Die Angreifer kompromittieren Geräte, indem sie eine Schad-DLL-Datei zu einem ansonsten legitimen Paket anderer DLLs hinzufügen. Bei der Schad-DLL handelt es sich um einen Downloader für unterschiedlichste weitere Schad-Dateien, die ebenfalls auf den betreffenden Routern gespeichert werden. Es sollen bereits zahlreiche Opfer über kompromittierte Router der Marke MikroTik angegriffen worden sein. Die Analystin, Marta Janus, Senior Threat Researcher bei Cylance, erklärt hier, wie sich Unternehmen und Privatanwender davor besser schützen können.

Autor: Marta Janus, Senior Threat Researcher bei Cylance

„Netzwerkgeräte wie Router, Gateways und DSL-Modeme als Infektionsvektoren zu nutzen, ist keine neue Angriffstechnik, kommt aber trotzdem vergleichsweise selten vor. Bei Slingshot haben die Angreifer eine Schwachstelle in bestimmten Versionen der MikroTik-Router ausgenutzt, um eine legitime DLL-Datei auf dem File-System des Routers durch einen bösartigen Downloader zu ersetzen. Wenn ein Benutzer sich mit dem Router verbindet und die Routerkonfiguration aufruft wird die gefälschte DLL geladen und statt der Originaldatei auf dem Rechner des Benutzers ausgeführt. MikroTik hat die Schwachstelle bereits geschlossen und das Konfigurationswerkzeug neu gestaltet, so dass auf dem Rechner keine externen Binaries mehr ausgeführt werden müssen.”

Empfehenswerte Schutzmaßnahmen
“Um das Risiko solecher Attacken zu senken, sollten Unternehmen ihre Netzwerkgeräte in Sachen IT-Sicherheit genauso behandeln wie die Computersysteme des Unternehmens. Ein qualifizierter IT-Spezialist sollte die Geräte so sicher wie möglich konfigurieren und sicherstellen, dass die Firmware immer auf dem aktuellen Stand ist. Zuhause sollten Benutzer auf jeden Fall die Standardseinstellungen ihres Routers oder Modems ändern und den Zugriff mit einem starken Passwort sichern. In den meisten Fällen ist es auch für weniger technisch versierte Nutzer kein Problem, die Firmware über die Router-Schnittstelle zu aktualisieren.

Allerdings liegt ein Großteil der Verantwortung immer noch bei den Anbietern. Patches bei Sicherheitsschwachstellen und Updates für kleinere Netzwerkgeräte werden längst nicht so schnell ausgeliefert, wie es notwendig wäre. Für ältere Netzwerkgeräte-Modelle gibt es zum Teil überhaupt keine Patches mehr! Umso wichtiger ist es, dass wirklich auf jedem Computer in einem heimischen Netzwerk genauso wie in einem Unternehmensnetzwerk alle relevanten Sicherheits-Patches eingespielt werden und zusätzlich eine Sicherheitssoftware installiert ist, um Attacken dieser Art so weit als möglich zu verhindern.“

Getagged mit: , , , , , ,