Business Process Compromise – Grundlagen

Originalartikel von Raimund Genes, Chief Technology Officer


Jedes Unternehmen hat seine eigenen Betriebsprozesse, die zumeist auf die eigenen Bedürfnisse genau abgestimmt sind. Sogar gewöhnliche Aufgaben, wie die Produktauslieferung oder das Management von Lieferanten, handhabt jedes Unternehmen anders – und je größer die Firma, desto komplizierter werden diese Prozesse. Business Process Compromise (BPC) ist eine kürzlich ins Rampenlicht gerückte Angriffsart. Die Attacken nehmen die einzigartigen Prozesse oder Maschinen, die diese Abläufe möglich machen, ins Visier, um sie heimlich zugunsten des Angreifers zu manipulieren.
Sie infiltrieren das Unternehmen und suchen nach angreifbaren Praktiken und Systemen oder nach betrieblichen Hintertüren. Sobald eine Sicherheitslücke gefunden ist, wird ein Teil des Prozesses zugunsten der Ziele des Angreifers geändert, ohne dass das Opferunternehmen oder dessen Kunden die Änderungen bemerken. Die Opfer glauben, der Prozess laufe normal, doch tatsächlich sammeln die Angreifer bereits Geld oder Waren aus dem Unternehmen.

Diese Angriffe sind möglich, weil viele Mitarbeiter einfach den Abläufen folgen, den Policies, die schon immer funktioniert haben, trauen und davon ausgehen, dass die Arbeit problemlos weitergeht.

2013 gab es einen typischen Fall von BPC, als Spediteure, die im Hafen des belgischen Antwerpen aktiv waren, gehackt wurden. Drogenhändler hatten Hacker engagiert, die die IT-Systeme zur Kontrolle der Bewegungen und Standorte von Containern infiltrierten. So konnten sie illegale Substanzen aus den Hafenanlagen abziehen. Augenscheinlich nutzten sie für die Angriffe einfache Software und Hardware-Hacks, von Keyloggern bis zu physischen Geräten, die mit den Computern der Zielunternehmen verbunden waren.

Ein weiterer berüchtigter BPC war der 2016 erfolgte Bangladesch Bankeinbruch, bei dem es Angreifern gelang, mehrere Schadsoftware-Schichten im Banksystem zu installieren und den Kommunikationsprozess zwischen der Bank und SWIFT zu missbrauchen. Die Hacker schickten Anfragen von Bangladesch an die US-Notenbank in New York bezüglich der Überweisung von Millionen $ auf Konten in Asien. Sie setzten diese fürs Wochenende auf und manipulierten auch die Drucker der Bank. Insgesamt gab es einen Verlust von 81 Millionen Dollar. Nur durch einen Schreibfehler wurde der Angriff entdeckt und weiterer Schaden abgewendet.

Danach meldeten noch zwei weitere Banken eine Kompromittierung über SWIFT-bezogene Prozesse. Vietnams Tien Phong Bank entdeckte betrügerische SWIFT-Nachrichten, als Forderung einer Überweisung von 1,3 Millionen $. Sie wurde glücklicherweise geblockt. Die Banco del Austro in Ecuador hatte nicht so viel Glück und verlor 2015 12 Millionen $ durch falsche Überweisungsanfragen.

Funktionsweise des Business Process Compromise

Angreifer infiltrieren die Zielorganisation und bewegen sich lateral vom Punkt der Kompromittierung aus. Sobald sie über das interne Auskundschaften und Monitoring der Kommunikation eine klare Vorstellung von der Struktur der Organisation haben, suchen sie nach Schwachstellen und machen bestimmte Prozesse aus, die manipuliert oder geändert werden können. Im nächsten Schritt werden die benötigten Tools installiert. Die Hauptstrategie der Angreifer besteht darin, heimlich die anvisierten Prozesse zu ändern und finanziell von diesen Änderungen zu profitieren, ohne dass das Opfer etwas mitbekommt.

Im Fall der vietnamesischen Bank hatten die Angreifer gute Kenntnisse über die Prozesse, die die Bank nutzte, um SWIFT-Überweisungsanfragen über einen Drittanbieter zu koordinieren. Berichten zufolge versuchten die Hacker einen PDF-Reader zu kompromittieren, den Kunden für die Zusammenfassung von SWIFT-Transaktionen nutzten.

Um diese Details über ein Unternehmen zu kennen, müssen Cyberkriminelle eine längere Zeit unerkannt in den Systemen zubringen. Leider ist deren Entdecken für die meisten Unternehmen ein kritischer Punkt. Die Forscher nennen als durchschnittliche Zeit zwischen einer Infektion und Erkennung eines Einbruch 146 Tage. Das bedeutet, Unternehmen brauchen nahezu fünf Monate, um eine Kompromittierung zu erkennen—eine lange Zeit, in der Kriminelle Schwachstellen entdecken und Wege aufsetzen können, um diese auszunutzen.

BPC im Vergleich zu etablierten Angriffen

Ähnlichkeiten zu persistenten und gezielten Angriffen bestehen in der langen Zeitspanne und dem eingeschränkten Bereich von BPC. Der Angreifer sucht sich ein bestimmtes Ziel und widmet ihm viel Zeit und Ressourcen in der Erwartung eines guten Profits. Doch gibt es auch klare Unterschiede. Gezielte Angriffe werden für das Sammeln von Informationen und für Spionage eingesetzt, vor allem gegen Regierungen und das Militär. Im Gegensatz dazu haben BPC-Angreifer finanzielle Motive und zielen typischerweise auf Unternehmen. Auch verändern gezielte Angriffe nicht unbedingt Prozesse, sondern sitzen still im Netzwerk eines Opfers und ziehen dort Daten ab.

Business Email Compromise (BEC) ist eine weitere beliebte Form des Online-Angriffs – eine die Unternehmen von 2013 – 2015 mindestens 3,1 Milliarden $ gekostet hat. BEC infiltriert ebenfalls Unternehmen mit dem Ziel, betrügerische Geldüberweisungen zu tätigen, doch werden Menschen und nicht Prozesse anvisiert. BEC erfordert tiefgehende Recherche, denn Hacker müssen herausfinden, wer die Geldüberweisungen anstößt und ausführt. Sobald sie die nötigen Informationen haben, kompromittieren oder spoofen sie üblicherweise die Mail eines Unternehmensmanagers, um eine Überweisung anzustoßen. Das Ausnutzenvon Menschen, statt dem Hacking von Prozessen, vereinfacht den Betrug, doch haben beide dasselbe Ziel.

Derzeit konzentrieren sich BPC-Angriffe auf Finanztransaktionen, doch haben die das Potenzial auch andere Bereiche des Unternehmens ins Visier zu nehmen. Sie könnten etwa die Beschaffungssysteme anvisieren, um die Geldüberweisungen dort zu manipulieren, oder könnten die Lieferantenseite angreifen und die Zahlungen auf ihre Konten umleiten.

Schutz vor BPC?

Unternehmen aller Branchen sind anfällig für BPC-Angriffe. Da jedes Geschäft seine einzigartigen Geschäftsprozesse hat, müssen auch die Sicherheitsmaßnahmen jeweils darauf zugeschnitten sein. Nachfolgend ein paar Tipps und Richtlinien:

  • Organisationen sollten eine umfassende Sicht auf ihr Netzwerk haben und in der Lage sein, normale Operationen von abweichenden, möglicherweise bösartigen Aktionen zu unterscheiden. Sie sollten auch eine Risikoabschätzung durchführen, wobei auch Drittanbieter mit einbezogen sein sollten. Wie bereits geschehen, stehen Transaktionsprozesse zwischen Anbieter und Lieferanten häufig im Visier der Angriffe.
  • Unternehmen müssen auch regelmäßige Audits ihrer festgelegten Policies durchführen und dabei Basis- sowie unerwarteten Input für verschiedene Prozesse analysieren. Monitoring soll zeigen, ob die allgemeinen Ergebnisse den Erwartungen entsprechen.
  • File Integrity Monitoring und Application Control/System Lock Down sollte für kritische Systeme in Betracht gezogen werden.
  • Wichtig ist auch, das Sicherheitsbewusstsein in der Organisation zu verbessern und die Mitarbeiter darauf zu schulen, normales von abweichendem Verhalten zu unterscheiden. Auch sollten sie in der Lage sein, gefälschte Kommunikation zu erkennen und ein gesundes Misstrauen merkwürdigen Transaktionsanfragen entgegen zu bringen. Unternehmen sollten strenge Policies sowie Awareness-Programme bezüglich Social Engineering aufsetzen.
  • Firmen müssen auch Cybersicherheitsmaßnahmen implementieren, die ihr Netzwerk vor bekannten Schadsoftware-Einbruchswerkzeugen schützen. Der Einsatz von Sicherheitstechnik wie Endpoint Protection, die bösartige laterale Bewegungen erkennt, unterstützt dabei, ein weiteres Eindringen zu erkennen. Die Installation von Sicherheitslösungen, die Kompromittierung schnell erkennen, verhindert Verluste oder Schaden für das Geschäft.

Trend Micro unterstützt mittlere und große Unternehmen beim Schutz vor diesen Bedrohungen. Malware in bösartigen Mails werden durch die Endpoint- und Mail-Sicherheitsfähigkeiten der Smart Protection Suites und Network Defense-Lösungen. Die InterScan Messaging Security Virtual Appliance mit verbessertem Schutz vor Social Engineering-Angriffen kann Mails als Eintrittspunkt schützen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*