Wie Löwen in der Savanne: Eine Watering Hole-Attacke auf Macs
Von Candid Wüst
Zu den besonders perfiden Angriffsstrategien zählen sogenannte „Watering Hole Attacks“, zu Deutsch also „Wasserloch-Angriffe“: Wie Löwen an einer Wasserstelle der afrikanischen Savanne lauern Cyber-Kriminelle hinter mit zuvor mit Malware infizierten Seiten, die von der Zielgruppe der Attacke häufig oder mit hoher Wahrscheinlichkeit besucht werden. Die besondere Gefährlichkeit dieser Angriffsvariante liegt darin, dass sie nur äußerst schwierig nachzuvollziehen ist und dass die für die Besucher der präparierten Webseiten fast unmöglich zu erkennen oder zu stoppen ist: der simple Besuch reicht, um sich die Schadsoftware einzufangen. Wird ein so infizierter Rechner dann anhand zuvor definierter Kriterien als einer Zielperson gehörig identifiziert, kann das Zerstörungswerk beginnen.
Neben Angriffen auf Unternehmen wie Facebook oder Microsoft sind es häufig politisch missliebige Gruppierungen oder Institutionen wie NGOs, die im Fokus von Watering Hole-Attacken stehen. Statt deren meist gut abgesicherte Systeme direkt zu attackieren, wird analysiert, wo sich die Anhänger oder Mitglieder der jeweiligen Organisationen im Netz aufhalten, um dann dort zuzuschlagen. Da die für diese Angriffsvariante erforderlichen Kenntnisse und Ressourcen erheblich sind, sind es nicht selten staatliche oder zumindest staatlich unterstützte Akteure, die sie einsetzen.
Mit „DazzleSpy“ gegen die Demokratie
Eine in diesen Tagen bekannt gewordene Watering Hole-Attacke gegen Anhänger der Hongkonger Demokratiebewegung ist gleich in mehrerer Hinsicht bemerkenswert:
- sie richtet sich gezielt gegen macOS- und Safari-Benutzer
- sie ermöglicht den Angreifern die vollständige Kontrolle und Überwachung der infizierten Macs durch Bildschirm- und Audioaufnahmen, Datei-Down- und Uploads, Keylogging und die Ausführung von Terminalbefehlen
- die eingesetzte, rein Mac-spezifische und auf den Namen „DazzleSpy“ getaufte Backdoor-Malware wurde mit höchstem technischen und finanziellen Aufwand völlig neu entwickelt
- sie nutzt eine Schwachstelle von macOS aus, die es den Angreifern ermöglicht, die Malware Sekunden nach dem einfachen Besuch einer infizierten Webseite wie etwa der eines bekannten demokratiefreundlichen Radiosenders mit Administrator-Rechten auszuführen
Mit Acronis Cyber Protect gegen „DazzleSpy“
„One Click”-Angriffe wie diese, bei denen keinerlei User-Interaktion notwendig ist, um sich mit einer Malware zu infizieren, die den Angreifern im schlimmsten Fall die vollständige Kontrolle eines Rechners ermöglicht, sind wie bereits gesagt von den Anwendern kaum zu bemerken oder gar zu verhindern. Registriert und unterbunden werden können sie jedoch von einer Lösung, die in der Lage ist, mittels künstlicher Intelligenz und verhaltensbasierten Erkennungstechnologien auch bislang unbekannte Malware-Varianten und Exploit-Ketten zu detektieren und zu entschärfen: Acronis Cyber Protect.
Auch „DazzleSpy“ hatte gegen diese einzige Lösung, die Cyber Security-, Data Protection- und Verwaltungsfunktionen unter einer Benutzeroberfläche integriert, keine Chance.
Leider muss jedoch davon ausgegangen werden, dass eine unbekannte Anzahl von Hongkonger Demokratie-Aktivisten von den Initiatoren des Angriffs bereits genau durchleuchtet wurde. Und auch wenn Apple die bei diesem Angriff ausgenutzten Schwachstellen mittlerweile gepatcht hat – den ungeschützten und bereits infizierten „DazzleSpy“-Opfern dürften von gewisser Seite weitere Repressalien ins Haus stehen.
Über den Autor
Candid Wüest arbeitet als VP Cyber Protection Research bei Acronis und analysiert die Sicherheitslage im Internet. Er berät Unternehmen und Regierungen in IT Security Fragen. Davor war er mehr als 16 Jahre als Lead Threat Researcher im globalen Symantec Security Response Team tätig. Er besitzt einen Master in Informatik von der ETH Zürich und verschiedene Patente.