Digitale Vandalen: Hintergründe und Methoden der Web-Entstellung

Originalbeitrag von Trend Micro Forward-Looking Threat Research Team


Cyberkriminalität gibt es in vielen Formen, und eine der bewährtesten Taktiken von Angreifern ist die Entstellung von Websites, auch Defacement genannt. Dabei ersetzen sie die ursprüngliche Seite mit ihren eigenen Inhalten, die deutlich politische oder gesellschaftliche Botschaften formulieren. Trend Micro hat die Daten zweier Jahrzehnte analysiert, um den Prozess bis heute zu verfolgen.

Frühere Untersuchungen konzentrierten sich darauf, diese Angriffe zu entdecken, die Gründe und Motive dahinter blieben unerforscht. Einen Teil des Problems stellen Hacktivisten dar, denn sie nutzen Web Defacement für ihre spezifische Agenda, aber sie sind nicht die einzigen Angreifer. Der Schwerpunkt der heutigen Untersuchung lag auf den Ereignissen, die Web Defacement anstoßen sowie den dafür genutzten Methoden. Die Sicherheitsforscher bezogen mehr als 13 Millionen Defacement-Berichte aus verschiedenen Kontinenten in die Analysen ein. Mithilfe von Machine Learning sammelten, analysierten und kategorisierten sie diese Reports, um weitere Einsichten in die Muster der Defacements zu erhalten.

Ursachen für Web Defacements

Es ist nicht weiter verwunderlich, dass geopolitische Konflikte häufig in die digitale Welt überschwappen. Die Forschung zeigte, dass Defacement durch Hacktivisten typischerweise Folge eines politischen Ereignisses oder eines aktiven Konflikt ist. Sie fanden verschiedene bedeutende Web Defacement-„Kampagnen“, die nicht nur einzelne Verunstaltungen umfassten, sondern sowohl das Momentum als auch die Unterstützung mehrerer Angreifer aufwiesen.

Die meisten dieser Kampagnen lassen sich in Verbindung bringen mit intensiven politischen Konflikten, die seit Jahrzehnten existieren. Plötzliche Ereignisse stoßen spezifische Defacements an, so folgte auf den brutalen Charlie Hebdo-Angriff und die Attacken auf Aleppo eine Flut von Web Defacements.

Manchmal kommen Defacements durch Grenzkonflikte oder gegensätzliche politische Ansichten zustande. Mehrere Länder rund ums Chinesische Meer tragen derzeit territoriale Gefechte aus, und Defacers greifen ihre Rivalen im Cyberraum an. Eine Kampagne namens „#OpIndia” dreht sich rund um die Grenzstreitigkeiten zwischen Indien und Bangladesch sowie Pakistan, während „#OpIsrael” eine neue Runde im Konflikt zwischen Israel und den Palästinensern darstellt.

Defacement-Gruppen und deren Taktiken

Es gibt verschiedene Gruppen, die für die Web Defacements verantwortlich sind. Häufig sind dabei auch lokale Hacker involviert, die gemeinsame Sache machen, doch manchmal wird die Bewegung größer und internationaler. Die Gruppen nutzen soziale Medien für die Kommunikation, sammeln Unterstützer für ihre Sache und organisieren Events. Auch nutzen sie gemeinsame Tools und manchmal bestimmte Templates für ihre Defacements, die unter den Unterstützern weitergereicht werden.

Auch nutzen sie gemeinsame Hacking Tools, Video Tutorials und sogar Exploit Codes. Ihr kriminelles Verhalten zeigt die Tendenz zu eskalieren.

Die gesammelten Metadaten zeigen auch, dass Angreifer eine Reihe von Sicherheitslücken ausnützen, um die Websites zu kompromittieren. Dazu gehören 30 Methoden wie etwa lokales Dateieinschleusen, SQL Injection und Erraten von Passwörtern. hinzu kommen Server Intrusion-Angriffe, Social Engineering, URL Poisoning und Man-in-the-Middle Attacken.

Die Entwicklung der Web Defacer

Derzeit schlägt die Mehrheit der Defacement-Gruppen keinen finanziellen Profit aus ihrem Hacking. Doch fahren die Defacer fort, Websites erfolgreich zu kompromittieren, und in einer nächsten Phase werden sie wahrscheinlich dazu übergehen, ihre Aktivitäten zu Geld zu machen. Dies wäre einfach angesichts der Möglichkeiten, auf angreifbare Websites zuzugreifen. Sie könnten beispielsweise bösartige Umleitungen erstellen oder einen Exploit auf der Defacement-Seite ablegen, der auf dem Gerät des Besuchers Ransomware installiert.

Bislang wollen die meisten Defacer politische Aussagen machen und nicht Geld verdienen. Doch gibt es bereits Beispiele dafür, wie die Aktivitäten sich weiterentwickeln, so etwa wenn indische Hacker Mitarbeiter der pakistanischen Regierung von deren Websites aussperren und sich weigern, den Zugang wieder freizugeben, sogar nach erfolgter Zahlung eines Lösegelds. Anscheinend war die Aktion patriotisch motiviert, zeigt jedoch, dass einige Gruppen auch auf ernsthaftere, vielleicht sogar radikale Angriffe übergehen.

Einzelheiten zur Trend Micro-Forschung zum Thema gibt es hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.