Es ist fast 30 Jahre her, dass der Film "Hackers" in die Kinos kam, und viele von uns stellen sich unter einem Cyberangreifer immer noch einen Typen im Kapuzenpulli vor, der in seinem Keller abhängt und auf eine Tastatur einhackt, um berühmt zu werden. In den letzten drei Jahrzehnten hat sich jedoch viel verändert und das Bild eines Active Directory-Angreifers hat sich stark gewandelt. Ja, einige Cyberangreifer tragen wahrscheinlich immer noch Kapuzenpullis und führen Angriffe von ihrem Keller aus durch, aber heutzutage ist es wahrscheinlicher, dass sie dies von irgendwo weit weg auf der Welt tun. Auf der Hybrid Identity Protection Conference hat Allen Brokken ernüchternde Statistiken über Cyberangriffe sowie die verschiedenen Profile und Absichten moderner Hacker vorgestellt. Hier sind die fünf verschiedenen Kategorien von Active Directory-Angreifern, die Brokken in seiner Präsentation "Detect and Respond to Active Directory Breaches" vorstellte.
5 verschiedene Arten von Cyberangreifern
Der Hacktivist: Der Hacktivist des 21. Jahrhunderts ähnelt sehr dem, was Sie in "Hackers" gesehen haben, nur dass die Technologie viel fortschrittlicher ist und das Hacken sehr real ist. Hacktivisten sind in der Regel durch ein größeres Ziel oder eine politische Agenda motiviert und sind der Meinung, dass ihr Ziel den Angriff verdient hat. Diese Kategorie von Active Directory-Angreifern kann sehr raffiniert vorgehen und arbeitet oft zusammen, eher wie eine lose Gruppe von Parteien mit gemeinsamen Interessen als eine echte Organisation. WikiLeaks und Anonymous sind beide bekannte Hacktivismus-Organisationen, die sensible Informationen durchsickern ließen, um eine Sache zu fördern.
Nationalstaaten: China, Russland und Nordkorea sind alles Länder, die über Cyberangriffsfähigkeiten verfügen und letztlich die Kontrolle über einen Aspekt der geopolitischen Welt anstreben. Ganz gleich, ob es sich um den Diebstahl von militärischem geistigem Eigentum oder um Wirtschaftsspionage handelt, Angreifer aus Nationalstaaten verfügen über erhebliche Ressourcen und organisatorische Fähigkeiten, um große Angriffe zu starten. Erst vor wenigen Monaten hat Russland einen Angriff auf das Active Directory durchgeführt, der die Eröffnungsfeier der Olympischen Winterspiele gestört hat. Die Wiper-Malware war in der Lage, Active Directory zu scannen, um zu ermitteln, welche Systeme angegriffen werden sollten, und die Website der Winterspiele für 12 Stunden lahm zu legen.
Moderne terroristische Organisationen: Jüngste Berichte zeigen, dass Cyberterrorismus ein wachsendes Problem darstellt und in den kommenden Jahren die größte Bedrohung für die Informationssicherheit sein wird. ISIS und andere Terrororganisationen nutzen die Möglichkeiten von Cyberangriffen, um ihre Kämpfe zu finanzieren und ihre Sache voranzutreiben, von der sie glauben, dass sie einem höheren Zweck dient. In einigen Fällen arbeiten Nationalstaaten und Cyberterrorismus-Organisationen zusammen, um Angriffe gegen größere, hochentwickelte Nationen durchzuführen. Diese Cyberangreifer können ähnlich wie andere Akteure vorgehen, aber ihre Motivation ist eher die Sache als ein direkter finanzieller Gewinn.
Organisierte Cyberkriminalität: Die organisierte Cyberkriminalität ist eine sehr reale Sache und das heutige Äquivalent zur Mafia. Das Dark Web bietet alle Dienste und Cyberwaffen, die organisierte Cybercrime-Ringe benötigen, um ihre Angriffe durchzuführen - es gibt sogar Crime-as-a-Service, bei dem Cybercrime-Banden Geld im Austausch für die Durchführung von Angriffen angeboten wird. Diese Angreifer sind in der Regel wegen des Geldes dabei und werden im Laufe der Zeit in einen komplexen Angriff investieren, wenn sie den potenziellen Wert darin sehen. Heutzutage gibt es Cybercrime-Banden mit ausgefeilten Organisationsstrukturen, ähnlich wie in jedem anderen Unternehmen. An vielen Orten auf der Welt sind elektronische Angriffe auf andere tatsächlich ein legitimer Vollzeitjob.
Unethische Konkurrenten: In den Vereinigten Staaten gibt es strenge Gesetze und allgemeine ethische Grundsätze, die Unternehmen davon abhalten, sich gegenseitig auf elektronischem Wege anzugreifen, um Wettbewerbsvorteile zu erzielen. Diese ethische Norm ist jedoch nicht unbedingt überall auf der Welt gleich. In vielen Ländern gilt jede Möglichkeit, sich einen Vorteil zu verschaffen, als gutes Geschäft. Wenn ein Unternehmen diese Einstellung hat, ist es bereit, Angriffskapazitäten aufzubauen, um zu gewinnen. Es gibt Fälle, in denen Unternehmen die Preissysteme von Konkurrenten angreifen und die Zielperson absichtlich unterbieten, um sie aus dem Geschäft zu drängen. Kürzlich nutzten Angreifer die MBR-ONI-Malware, um Active Directory-Server mehrerer japanischer Unternehmen zu verschlüsseln und den Geschäftsbetrieb zum Erliegen zu bringen.
Active Directory-Angreifer gibt es heute in allen Formen, Größen und Organisationsstrukturen, aber die eigentliche Moral der Geschichte ist, dass sich diese Angreifer weiterentwickeln und immer bedrohlicher und raffinierter werden. Um Ihre Unternehmensumgebung zu schützen, müssen Sie sicherstellen, dass Ihr Disaster Recovery Plan Sie in die Lage versetzt, sich schnell von jeder Art von Malware-Angriff zu erholen.
Um Allen Brokkens vollständige Präsentation über Angriffe auf Active Directory und andere Präsentationen von der 2017 Hybrid Identity Protection Conference zu sehen, klicken Sie hier.