Malware: Hacker übernehmen Honeypot-Netzwerk in nur drei Tagen

Mit Honig fängt man bekanntlich Fliegen. Mit einem sogenannten Honeypot (Honigtopf) fängt man hingegen Hacker. Dazu werden Computer oder Netzwerke aufgesetzt, die als besonders attraktives Ziel für Cyberkriminelle erscheinen. Damit soll die Vorgehensweise von Angreifern untersucht werden, ohne dabei echte Daten und Netzwerke in Gefahr zu bringen. Aktuell stehen industrielle Kontrollnetzwerke laut einer Warnung der Sicherheitsexperten von Cybereason im Fokus der Angreifer. Sie haben in einem Honeypot das Netzwerk eines fiktiven internationalen Elektrizitätsunternehmens nachgebaut, um zu zeigen, wie schnell Hacker Schwachstellen in kritischen Infrastrukturen ausnutzen. Um möglichst authentisch zu wirken und um potenzielle Angreifer zu verführen, wurden bei der Gestaltung des Honeypots auch typische Schwachstellen wie Benutzerschnittstellen und zu schwache Passwörter einbezogen.
‍
Aufgestellt wurde die Falle Anfang des Jahres und nach nur drei Tagen hatten Angreifer das Netzwerk entdeckt und Wege gefunden, um es zu kompromittieren – inklusive einer Ransomware-Attacke und dem Abgreifen von Log-in-Informationen. Einfallstor waren dabei Remoteverwaltungstools, die den Kriminellen Zugang zum Netzwerk verschafften. Dann wurde das Administratorenkennwort geknackt und der Desktop übernommen. Von dort griffen sie auf einen kompromittierten Server zu und stahlen mit PowerShell-Tools wie Mimikatz weitere Anmeldeinformationen. So konnten sie sich weiter im Netzwerk verbreiten und noch mehr Computer übernehmen. Mittels Scans suchten die Hacker außerdem nach so vielen Endpunkten wie möglich, auf die sie von ihrer aktuellen Position zugreifen konnten, um weitere Anmeldeinformationen zu erhalten.
‍
Erst nachdem all diese Schritte vollständig abgeschlossen waren, kam die Ransomware zum Einsatz – und zwar an allen gekaperten Endpunkten gleichzeitig. So sollten die Auswirkungen des Angriffs maximiert werden. Weigert sich das Opfer, das geforderte Lösegeld zu zahlen, haben die Erpresser durch ihr mehrstufiges Vorgehen ein weiteres Druckmittel in der Hand: Durch die vorher erbeuteten Anmeldeinformationen können sie oft auf sensible Daten zugreifen und nun damit drohen, diese zu veröffentlichen.
‍
Insgesamt wurde der Honeypot mehrfach angegriffen, sowohl mit weiteren Ransomware-Attacken, als auch von Hackern, die das Netzwerk lediglich ausspionieren wollten. Doch auch das ist nicht minder bedenklich, schließlich handelte es sich bei dem Honeypot vermeintlich um einen internationalen Energieversorger. Auch ein anders gearteter Angriff kann bei kritischen Infrastrukturen fatale Folgen haben. Trotzdem scheint Ransomware allein durch die Anzahl der registrierten Angriffe auf den Honeypot die Schlüsselmethode von kriminellen Angreifern zu sein, um Netzwerke zu kompromittieren.
‍
Das Experiment zeigt sehr deutlich, welchen Gefahren Netzwerke von kritischen Infrastrukturen ausgesetzt sind und welche Einfallstore besonders angreifbar sind. Sie müssen so stabil konstruiert sein, dass sie Angriffe abwehren. Dazu gehören insbesondere die Trennung zwischen IT- und Betriebstechnologienetzwerken und die Nutzung starker Passwörter, aber auch die Schaffung eines kollektiven Bewusstseins für die Cybersicherheit unter den Beschäftigten.