Hacker lauern am Wasserloch

«Watering Hole»-Angriffe sind ein vergleichsweise neues Phänomen in der Cyber-Security. Attacken, wie jene auf den Energiesektor, die vor Kurzem vom IT-Sicherheitsspezialisten Symantec aufgedeckt und beschrieben wurde, verwenden mit Vorliebe diese Technik. So wie Löwen und Krokodile bei und in Wasserlöchern darauf lauern, dass ihre Beute durstig wird und sich früher oder später an dem kostbaren Nass labt, so verwenden Hacker vertrauenswürdige Webseiten, bei denen Industrievertreter früher oder später nach Informationen oder Software-Komponenten suchen werden, um ihre Opfer zu infizieren und schlussendlich auszuspionieren. Zwei Beweggründe sind für die Angreifer ausschlaggebend, wenn sie sich der Wasserloch-Angriffstechnik bedienen. Zum einen ist die Methode besonders wirkungsvoll, wenn eine bestimmte Branche attackiert werden soll und erst in zweiter Linie bestimmte Firmen. Zweitens können über die vertrauenswürdigen Seiten im Huckepack Malware in die ansonsten gegen klassische Infektionswege gut geschützten Netze gebracht werden. Das Wasserloch stellt somit das schwächste Glied in der Cyberabwehr des Unternehmens dar.

Gutes Renommée, Vertrauenswürdigkeit, das sind auch Eigenschaften, welche die Webseiten von Schweizer Branchenzulieferern auszeichnet und sie deshalb für den Missbrauch als Wasserloch prädestinieren. So auch geschehen bei der schon erwähnten Attacke auf Energieversorger, die von Symantec beschrieben wurde. Hier war das Content Management System der Firma infiziert und steckte in der Folge die Besucher an. Nächste Seite: Trau Niemandem Ein weiteres Beispiel für eine typische «Watering Hole»-Attacke beschreibt Michael Sutton, Vice President der Sicherheitsforschungsabteilung von Zscaler. In dem von Zscaler aufgedeckten Fall wurde eine britische Anwaltskanzlei, die sich auf die Energiebranche spezialisiert hat, als Wasserloch missbrauch. Dabei platzierten die Hacker in einem iFrame der Webseite des Unternehmens das Exploit-Kit LightsOut. Danach wurde jeder Surfer, der auf der Seite nach Informationen fahndete, von der Exploit-Sammlung auf mögliche Schwachstellen getestet. Im konkreten Falle wurden Sicherheitslöcher im Internet Explorer, in Java und im Adobe Reader gesucht. Einmal infiziert wurde ein sogenannter Trojaner installiert, der den Fernzugriff auf die Systeme des Surfers ermöglicht. Über diesen RAT (Remote Access Trojan) konnten die Angreifer dann die Maschine des Opfers kapern und ihre weiteren Angriffsschritte planen.

Das Fazit aus solchen und ähnlichen Wasserloch-Attacken ist relativ einfach und einleuchtend: Trau Niemandem. Zu diesem Schluss kommt auch Sutton von Zscaler: «Wenn man eine grundlegende Lehre aus den unterdessen aufgedeckten 'Watering Hole'-Angriffen ziehen kann, dann die, dass jeglicher Internetverkehr von Dirtten als nicht vertrauenswürdig behandelt werden muss. Es darf keine Rolle mehr spielen, ob die Webseiten vertrauensvoller Partnerunternehmen angesurft werden oder Massensites wie Google».