Der TTP-Bausatz beinhaltet ein Rootkit, das Firewalls umgeht, eine seltene Technik, um Zugang zu Servern zu erhalten – getarnt als normaler Verkehr – und einen Backdoor Payload, um schadhaften Code sowohl auf Windows- als Linux-Systemen verteilen zu können; eine bekannte, wenn auch ungewöhnliche Vorgehensweise. Während jedes dieser Elemente schon in vorherigen Attacken gesichtet wurde, traten sie bislang noch nicht gemeinsam auf. Die Sophos-Experten erwarten, dass dieses anspruchsvolle TTP-Paket nach und nach bis in die untersten Hierarchieebenen der Cyberkriminellen durchsickert, wo es in Zukunft als Blaupause für neue Firewall-Angriffe eingesetzt wird.
„Das ist das erste Mal, dass eine Angriffsform moderne Bypassing-Technologie mit einem plattformübergreifenden Payload kombiniert, die sowohl Windows- als auch Linux-Systeme attackiert“, erläutert Sophos-Sicherheitsexperte Michael Veit. „IT-Sicherheitsteams und Netzwerkadministratoren müssen sehr gewissenhaft sein, wenn es um das Patchen aller nach Außen gerichteten Dienste geht, um Angreifer daran zu hindern, Cloud- und Firewall- Sicherheitsrichtlinien zu umgehen. Sie müssen sich zudem vor plattformübergreifenden Attacken schützen. Bislang waren Windows-basierte Anlagen ein typisches Angriffsziel. Nun aber haben Cyberkriminelle auch Linux-Systeme ins Auge gefasst, da Cloud-Services ein beliebtes Jagdrevier geworden sind. Es ist nur eine Frage der Zeit, bis mehr und mehr Cyberkriminelle die Cloud-Snooper-Taktik anwenden werden“, prognostiziert Veit.
SophosLabs gibt Tipps für eine proaktive Sicherheitsstrategie gegen Cloud Snooper & Co.:
1. Schritt
Vollständige Inventur sämtlicher Geräte, die mit dem Netzwerk verbunden sind. Die Sicherheitssoftware auf allen Geräten muss auf dem neuesten Stand sein.
2. Schritt
Sicherstellen, dass alle nach Außen gerichteten Dienste gepatcht sind. Cloud-Hosting Services bieten oft Firewall-Sicherheit inklusive, das sollte jedoch kein Ersatz für unternehmenseigene Cloud-Sicherheitsmaßnahmen sein.
3. Schritt
Gewissenhafte Überprüfung aller Cloud-Konfigurationen. Der Sophos Threat Report 2020 enthüllt, dass Fehlkonfiguration und ein Mangel an Sichtbarkeit die Hauptgründe für einen Cloud-Angriff sind.
4. Schritt
Aktivierung der Zweifaktorauthentifizierung (2FA) auf jedem intern verwendeten Sicherheits-Dashboard oder Bedienfeld, um Angreifer während einer Attacke daran zu hindern, Sicherheitsprodukte deaktivieren.
5. Schritt
Ins Bewusstsein rufen, dass für IT-Sicherheit im Unternehmen kein Allheilmittel existiert. Vielmehr hat sich eine mehrschichtige Sicherheitsstrategie bewährt, die Komponenten enthält, die speziell für den Schutz von Daten und Netzwerken in der Cloud entwickelt wurden (z.B. Sophos Cloud Optix und Intercept X für Server).