IT-Bedrohungen im Jahr 2008: ein Kampf ums Überleben

Die leitenden Analysten des IT-Sicherheitsexperten Kaspersky Lab berichten im vorliegenden Jahresbericht über die Entwicklungen der IT-Bedrohungen im Jahr 2008. Der Artikel wendet sich an IT-Profis und Anwender, die sich für die neuesten Entwicklungen auf dem Bereich der Computer-Virologie interessieren.

Die Analysten berücksichtigen erstmals die Daten des Kaspersky Security Network (KSN). Mit dieser neuen Technologie gelingt es Kaspersky Lab, Daten über Viren-Bedrohungen nicht nur zu sammeln, sondern ihre Entwicklung auch in Echtzeit zu überwachen. Neue und unbekannte Bedrohungen, für die es weder Signaturen noch heuristische Erkennungsmethoden gibt, lassen sich damit wesentlich schneller aufspüren.

Während im Jahr 2007 die nichtkommerziellen schädlichen Programme von der Bildfläche verschwanden, waren es 2008 die selbstprogrammierten Schadprogramme, die meist nur vom Entwickler selbst verwendet wurden. Fast alle im letzten Jahr entdeckten Trojaner und Viren waren für den Verkauf bestimmt. Besonders gefragt waren dabei der technische Support und Methoden, die Antiviren-Programme überlisten. Cyberkriminelle griffen dabei zu einer Arbeitsteilung und ließen die Entwicklung, Verbreitung und Einsatz der Schadprogramme von verschiedenen Teams durchführen.

China hat im Jahr 2008 die meiste schädliche Software produziert. Dort ansässige Hacker starteten von April bis Oktober 2008 zwei Massenattacken. Dabei wurden weltweit mehr als zwei Millionen Webseiten gehackt.

In der Virenszene waren die russischen Virenschreiber aber trotzdem federführend. Sie entwickelten ihr Modell Malware 2.0 weiter und zeichneten für zwei besonders gefährliche Rootkits verantwortlich, die 2008 entdeckt wurden: Rustock.C und Sinowal. Diese Rootkits verwendeten bis dato unbekannte Technologien, die in Ausmaß und Komplexität sämtliche bisherigen Würmer wie Zhelatin und Warezov übertrafen.

Übereinstimmend mit den Prognosen von Kaspersky Lab erlebten 2008 die Datei-Viren ein Comeback. Neben ihrer traditionellen Funktion, dem Infizieren von Dateien, konnten sie nun auch Daten stehlen und sich über Wechseldatenträger verbreiten. Dadurch infizierten sie PCs binnen kurzer Zeit und in aller Welt.

Auf Flashspeichern abgelegte Würmer konnten klassische Schutzmechanismen von Unternehmens-Netzwerken mühelos umgehen. Die Würmer befielen zunächst einen Arbeitsplatzrechner und hebelten so alle Schutzschilde wie Mail-Filter, Firewalls und Antiviren-Programme auf den Dateiservern aus. Anschließend verbreiteten sie sich mit rasender Geschwindigkeit im gesamten Netzwerk, indem sie sich auf alle zugänglichen Netzwerk-Ressourcen kopierten.

Der bekannte Wurm Zhelatin (Storm Worm) kursierte zwar in vielen Varianten, doch seine Verbreitung wurde 2008 jäh gestoppt. Erste Modifikationen des Wurms erschienen bereits im Januar 2007, aber seine beinahe zweijährige Historie warf mehr Fragen als Antworten auf. Das legendäre „Storm-Botnetz“, das Schätzungen zufolge fast zwei Millionen PCs umfasste, zeigte ebenfalls nicht seine gesamte Leistungsfähigkeit. Der erwartete und gigantische Spam-Massenversand blieb ebenso aus wie befürchtete DDoS-Attacken.

Die Schließung des einschlägig bekannten russischen Internetdienstanbieters RBN (Russian Business Network) ist eine der möglichen Ursachen für das plötzliche Ende von Zhelatin. Medienberichte über die potenzielle Mitwirkung von RBN an beinahe allen aufgedeckten Fällen von Internet-Kriminalität führten dazu, dass die RBN-Hintermänner ihr Unternehmen aufteilten. Von Singapur bis zur Ukraine gründeten sie weltweit voneinander autonome Webhosting-Firmen und führen ihre Tätigkeit nun weniger öffentlich durch.

Im Herbst mussten Cyberkriminelle einige ernsthafte Rückschläge einstecken. Durch die Zusammenarbeit von Internet-Unternehmen, IT-Sicherheitsunternehmen und Regierungen wurden die Webhoster Atrivo/Intercage, EstDomains und McColo vom Netz getrennt. Durch die Schließung von McColo reduzierte sich die Spam-Menge abrupt um mehr als 50 Prozent. Daraufhin stellten mehrere von geheimen Orten aus gesteuerte Botnetze ihre Arbeit ein. Auch wenn die Spam-Menge nach einigen Wochen wieder ihr Ausgangsniveau erreichte, war dieses Ereignis einer der größten Siege gegen Spam-Versender im Jahr 2008.

Mit ihrer Prognose für 2008 lagen die Experten leider richtig. Vier Bereiche sind dabei besonders hervorzuheben, weil sie die gesamte Antiviren-Industrie und die IT-Sicherheit im Allgemeinen betreffen: Verbreitung von Rootkits, Attacken auf soziale Netzwerke, Botnetze sowie Schadprogramme für Online-Spiele.

Rootkits

Für Viren-Analysten sind Rootkits schon lange sehr interessant. Auch Kaspersky Lab widmet sich diesem Thema regelmäßig und veröffentlichte im vergangenen Jahr dazu drei umfangreiche Analysen: „Rustock – Ein Malware-Mythos?“, „Rootkits – Anfänge, Massenproduktion, Trends“ und „Bootkits – die Herausforderung des Jahres 2008“. Diese Studien beweisen, dass Cyberkriminelle komplexe Schädlings-Attacken noch erheblich besser organisieren könnten. Erschwert wird die Situation noch dadurch, dass praktisch alle Antiviren-Unternehmen der Entdeckung und Entschärfung aktiver Rootkits bislang kaum Aufmerksamkeit schenken.

Communities

Soziale Netzwerke wurden 2008 immer beliebter und waren dementsprechend auch in Ländern verbreitet, die einen hohen Anteil an Internet-Nutzern haben. Dazu zählen zum Beispiel Südostasien, Indien, China, Südamerika, Türkei, Nordafrika und die Länder der ehemaligen UdSSR. Beide Faktoren führten dazu, dass Angriffe auf soziale Netzwerke zu einem alltäglichen, aber dennoch gefährlichen Ereignis wurden.

Experten zufolge liegt die Effektivität bei der Verbreitung eines Schadcodes in sozialen Netzwerken bei ungefähr zehn Prozent. Das ist zehnmal wirksamer als die klassische Verbreitungsmethode über E-Mail, die es nur auf ein Prozent Effektivität bringt.

Cyberkriminelle nutzen soziale Netzwerke nicht nur zum Datensammeln und Verbreiten neuer Malware, sondern auch für Erpressungs-Modelle sowie Phishing. Eine der bedeutendsten Epidemien dieser Art verursachte der Wurm Koobface. Kaspersky Lab entdeckte die ersten Modifikationen des Wurms im Juli 2008. Der Schädling hatte es auf die User der sozialen Netzwerke Facebook und MySpace abgesehen. Im Dezember entwickelte sich der Wurm zu einem ernsthaften Problem, insbesondere nachdem neue Modifikationen entdeckt wurden, die mit Bebo noch eine weitere bekannte Community attackierten.

Game-Trojaner

Im Jahr 2008 registrierten die Analysten ein rasantes Wachstum bei Schadprogrammen, die Zugangsdaten für Online-Spiele stehlen. Im Laufe des Jahres entdeckten sie 100.397 neue Game-Trojaner und damit dreimal mehr als noch 2007 (32.374 Schädlinge). Der Verkauf von Game-Wertsachen gegen bares Geld ist bei den meisten Online-Spielen verboten, doch es gibt eine immer größere Nachfrage. In der Regel ist es den Käufern dabei egal, ob die virtuellen Gegenstände aus legaler Quelle kommen oder mittels Schadcode gestohlen wurden. Die steigende Nachfrage führt zu höheren Preisen und ermutigt deshalb die Cyberkriminellen, auch weiterhin auf den Handel mit Game-Wertsachen zu setzen.

Botnetze

Noch vor einigen Jahren war das Wort „Botnetz“ ausschließlich Mitarbeitern von Antiviren-Unternehmen geläufig. Mittlerweile kennt fast jeder diesen Begriff. Botnetze wurden 2008 zum wichtigsten Mittel für Spam-Verbreitung, DDoS-Attacken und den Versand neuer Viren.

Botnetze stehen in direktem Zusammenhang mit allen in diesem Bericht erwähnten Themen, darunter Attacken auf soziale Netzwerke und Online-Spiele sowie Rootkits. Für die Analysten kommt es nicht unerwartet, dass 2008 gerade diese Bereiche ins Zentrum der allgemeinen Aufmerksamkeit rückten. Wichtiger ist jedoch, dass die Ereignisse auch die enormen Bemühungen der Antiviren-Hersteller deutlich machen. Deren Arbeit bleibt auch in Zukunft schwierig, denn die Schädlinge werden immer komplexer.

Ausführliche Berichte zu jedem der hier angesprochenen Themen finden Sie in der vollständigen Version des Jahresberichts.

Prognosen

Die bereits existierenden IT-Bedrohungen bleiben uns auch 2009 erhalten. Cyberkriminelle werden weiterhin versuchen, Zugangsdaten für Online-Games zu stehlen und Anwender sozialer Netzwerke ins Visier nehmen. Gleichzeitig dürften die Virentechnologien immer komplexer werden und die Anzahl der Botnetze zunehmen. Außerdem etabliert sich die Cyberkriminalität immer stärker als Dienstleistung.

Bei ihren Prognosen berücksichtigen die Experten von Kaspersky Lab auch Tendenzen, die sich derzeit zwar nicht bemerkbar machen, aber 2009 bedeutenden Einfluss auf die Entwicklung der Cyberbedrohungen haben werden.

Globale Epidemien

Den Analysten zufolge endete mit dem Jahr 2008 auch die Epoche der Epidemien. Diese begann im Jahr 2000 und erreichte zwischen 2003 und 2005 ihren Höhepunkt. In diesem Zeitraum verursachte eine große Anzahl von Würmern globale Epidemien. Dabei breiteten sich die Schädlinge zuerst per E-Mails und später über Netzattacken aus. Die Jahre 2007 und 2008 markieren den Beginn einer neuen Etappe, die der Trojaner. Sie haben Datendiebstahl zum Ziel und hatten es in den meisten Fällen auf Zugangsdaten für Online-Banking und Online-Spiele abgesehen.

Diese Entwicklung kann sich aber schon dieses Jahr wieder umkehren und eine Renaissance der Würmer einläuten. Kaspersky Lab schließt nicht aus, dass einige Würmer größere Epidemien als in den vergangenen Jahren auslösen könnten. Die Verbreitung des Netzwurms Kido (auch bekannt als Conficker) ist bereits das erste aktuelle Beispiel für solche Epidemien.

Im Jahr 2009 werden mehr Cyberkriminelle als zuvor ihre Dienstleistungen anbieten und müssen sich aufgrund der größeren Konkurrenz auch stärker als bisher um Auftraggeber bemühen. Die Weltwirtschaftskrise tut ihr Übriges dazu. Firmen stellen IT-Projekte ein, entlassen eine Vielzahl hochqualifizierter Programmierer oder beschäftigen sie nur gegen einen geringeren Lohn weiter. Um Geld zu verdienen, werden sich einige dieser Leute daher dem illegalen IT-Business zuwenden. Für die Cyberkriminellen sind die Neulinge eine ernsthafte Konkurrenz, weil deren technisches Niveau deutlich höher liegt.

Auf dem hart umkämpften Markt können Cyberkriminelle nur mit einer einzigen Methode überleben: so viele Rechner wie möglich so schnell wie möglich infizieren. Dafür müssen die Übeltäter regelmäßige Attacken auf Millionen von PCs durchführen.

Weniger Game-Trojaner

Kaspersky Lab schätzt, das künftig weniger Game-Trojaner ihr Unwesen treiben werden. Andere Antiviren-Unternehmen gehen genau vom Gegenteil aus. Dafür sprechen zunächst auch die Zahlen, denn momentan gibt es mehrere hunderttausend Game-Trojaner. Zudem lassen sie sich einfach erstellen und können eine große Zahl potenzieller Opfer treffen. Doch der Cybercrime-Markt ist durch die große Anzahl von Game-Trojanern schlichtweg gesättigt. Aufgrund der großen Konkurrenz lässt sich mit gestohlenen Spielgegenständen immer weniger Geld verdienen. Außerdem können Antiviren-Unternehmen diese Schadprogramme mittlerweile erfolgreich abwehren, Anwender wissen um deren Gefahren und Hersteller von Online-Spielen greifen zu Maßnahmen, um den Handel mit gestohlenen Accounts und virtuellen Wertsachen einzudämmen. Daher dürfte die Anzahl der Schadprogramme für Online-Spiele zurückgehen.

Malware 2.5

Cyberkrimininelle verfolgen das Konzept der Malware 2.0 weiter. Im Jahr 2008 haben diese gigantischen System-Botnetze ihre hohe Effektivität und Zuverlässigkeit mit Schädlingen wie Rustock.C oder Sinowal (Bootkit) unter Beweis gestellt. Die Neuauflage Malware 2.5 dürfte folgende Merkmale aufweisen:

• Fehlen eines stationären Botnetz-Steuerzentrums („migrierendes“ Botnetz)
• Verschlüsselte Kommunikation zwischen Botnetz-Steuerzentrum und infizierten PCs
• Einsatz universeller Steuerzentren für verschiedene Botnetze

Diese Technologien orientieren sich an verteilten Rechnern und Systemen, die auch unter großer Auslastung und mit großen Datenmengen zuverlässig arbeiten (HighLoad-Architektur). Gerade in diesem Bereich dürfte sich unter kriminellen Gruppen ein Konkurrenzkampf entwickeln. Dabei werden die Script-Kiddies endgültig von hochqualifizierten Spezialisten abgelöst, die eigene Systeme erstellen können. Diese Gruppe bestimmt auch das künftige Bedrohungs-Niveau und die damit verbundenen Probleme.

Phishing/Erpressung

Erpressung im Netz und Phishing werden zunehmen. Auch die Attacken der Cyberkriminellen und deren Crimeware werden immer ausgeklügelter und intensiver. Dafür sind zwei Faktoren ausschlaggebend: Zum einen sehen die Cyberkriminellen durch die Weltwirtschaftskrise ihre Chance, mehr Phishing-Opfer an Land zu ziehen. Da sich Schadprogramme andererseits nicht ohne weiteres entwickeln und verbreiten lassen, schauen sich viele Cyberkriminelle nach einfacheren und billigeren Bereicherungsmethoden um. Phishing kann deshalb für sie eine der attraktivsten Lösungen darstellen.

Differenzierung der Schadprogramme nach Plattformen

Infolge des stärkeren Konkurrenzkampfes werden Cyberkriminelle ihre Schädlinge auch vermehrt auf anderen Betriebssystemen als Microsoft Windows verbreiten. Das sind in erster Linie MacOS und Plattformen für mobile Geräte. Inzwischen ist der Marktanteil dieser Betriebssysteme schon ziemlich hoch und wird demnach für die Übeltäter interessant. Da es noch viele Sicherheitsprobleme gibt, sind diese Plattformen nur unzureichend gegen Attacken durch Schadprogramme geschützt.

Den vollständigen Jahresbericht können Sie auf www.viruslist.de bzw. www.viruslist.com nachlesen, dem Portal für Internet-Sicherheit von Kaspersky Lab.