Informations/Telekommunikations- Dienstleistungen Christian Freter

Partner von AVM und Seagate

1&1 Premiumpartner 

 

Zum kostenlosen Virenscan von

F- Secure bitte 1x klicken!

 

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundinformationen und Links zu wichtigen Webseiten für das Internet. Ich kann keine direkte Aktualität in diesem Blog gewährleisten. Deshalb schaut auch mal öfters bei Webseiten von PC Zeitschriften oder Anbietern von Virenschutz oder bei den Herstellern selber (oft Englisch und benötigt Fachkenntnisse). 

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

 

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

 

 

 

   

 

NGINX ist ein Open Source Hochleistungs- Webserver und ist ursprünglich eine russische Entwicklung. Durch die Open Source Lizenz wird der Server allen kostenlos zur Verfügung gestellt. Er ist unter anderem eine wichtige Komponente in der Synology Netzwerktechnik, welche auch von mir verwendet wird.

Bereits am Anfang des Krieges gab es eine Untersuchung der US Sicherheitsbehörden zur kritischen IT- Infrastruktur. Natürlich kam der NGINX dabei mit in den Fokus der Gutachter (etwa 10% der IT in den größeren Ländern verwendet diesen Server). Da der NGINX bzw. sein kommerzieller Teil, durch den die Sache auch finanziert wird, von einem US Unternehmen übernommen wurde und der russische Erfinder aus dem gewerblichen Teil des Projektes ausstieg, gab es keine akute Bedrohungssituation. Und es war auch tatsächlich so, dass russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht wurden.  

Mit dem fortschreitenden Krieg muss man sich natürlich weitere Gedanken machen. Aktuell sind wohl russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht natürlich viel russisches IT Know- How  verloren, aber das Projekt wird wahrscheinlich überleben. Wegen all dieser Aspekte werde ich zu diesem Zeitpunkt auch nicht auf die Synology Technik verzichten.       

   

Kaspersky ist ein Unternehmen mit/von russischen Sicherheitsexperten. Also es ist ein russisches unternehmen. Vor dem Krieg entwickelte Kaspersky Virenschutzlösungen für Privatanwender und Unternehmen, die eigentlich immer zu den zehn Besten auf dem Markt gehörten. Unter der Woche hat sich Kaspersky mal wieder zu Wort gemeldet über die eigene Webseite (klaro gibt es die noch, aber ich verweise auf meinen Security Blog).

 

Zur Zeit erleben wir den Krieg in der Ukraine, in dem viel Waffengewalt von beiden Seiten zum Einsatz gebracht wird. Gleichzeitig tobt ein Cyberkrieg; Hacker gegen Hacker, Regierung gegen Regierung usw. Jedenfalls hat Kaspersky Angriffe gegen russische und belarussische Unternehmen und Industrien aufgedeckt. Die Angriffe wurden seit 2022 gefahren.

 

Gleich vorweg, Kaspersky konnte nicht die genauen Einfallstore nennen oder es wurde vielleicht verboten. Attackiert wurden zum Beispiel Router und MySQL Server. Die Angriffe erfolgten gezielt über Sicherheitslücken, die nicht bekannt waren. Wurden die Sicherheitslücken erfolgreich ausgenutzt, dann kamen verschiedenste Vorgehensweisen zum Einsatz; man könnte es als Standardvorgehensweisen mit eigener Gewürzmischung betiteln. Zuerst verschaffte man sich einen allgemeinen Überblick über die Systeme. Dafür verwendete man zum Einen die normalen Möglichkeiten des zugrundeliegenden Systems, z. Bsp. wären das auf Windows Systemen die Powershell, die CMD Kommandozeile und die Registry. Mit diesen Möglichkeiten war es dann möglich, verschiedenste Windows eigene Programme durch manipulierte Programme zu ersetzen, z.Bsp. die svchost.exe. Dieses ermöglichte wiederum das Nachladen von Hacker Toolkits über das Internet, falls diese noch nicht bereits installiert werden konnten. Diese Toolkits sind Programme, die von den Hackern selber entwickelt oder erworben werden, im Hintergrund im Speicher laufen und den Zugriff auf die betroffenen Systeme über das Internet gewähren, d.h. diese Programme senden vielleicht einmal am Tag oder einmal die Woche usw. eine verschleierte Nachricht mit relevanten Daten an einen Server bzw. dann weiter an andere Server usw.; und können gleichzeitig Befehle empfangen. Und ja, das machen die russischen Hacker genauso. Kaspersky konnte wohl Dateien entdecken, die geladen werden sollten nachdem die betroffenen Systemen verschlüsselt wurden. Verschlüsselt im Sinne dessen, dass die Opfer nicht mehr darauf zugreifen können. Irgendwie ist man jedenfalls dann darauf gekommen, dass die CAS dahintersteckt. Das soll wohl eine westliche Hackergruppe sein, die Kontakte zu ukrainischen Hackern haben soll. Wobei bei den Zusammenhängen einige Vermutungen dabei sind. Letztlich fand man dann sogar den Channel der Hackergruppe auf "Telegram", der für Absprachen usw. genutzt wurde.

 

Die wichtigste Message für diesen Blog wurde bereits am Anfang erwähnt: Die nicht bekannten Sicherheitslücken. Das ist ein zweischneidiges Schwert. Diese könnten genauso andersrum verwendet werden bzw. könnte es generell Sicherheitslücken geben. Man sollte sich in diesem Zusammenhang genauso vom Bild des "Heiligen Hacker" lösen. Es könnte sein, dass in solchen Gruppierungen genug schwarze Schafe sind, die ohne Skrupel unsere PC verschlüsseln würden oder unser Bankkonto leeren. Und letztlich werden die beschriebenen Handlungen als Straftat ausgelegt und könnten Folgen für viele haben. Sollte man mal erwähnt haben, aber letztlich ist es wieder durch die Situation hervorgerufen.

 

Mehr Infos auf der Webseite von Kaspersky.