Kampf um Traffic
So genannte Partnerprogramme spielen nach wie vor eine überaus wichtige Rolle, wenn es um die Wechselbeziehungen zwischen Cyberkriminellen und Diensten zum Aufbau neuer Botnetze sowie zur Steuerung und Umverteilung bestehender Botnetz-Kapazitäten auf neue Einsatzgebiete geht.
Neben ihren offensichtlich kriminellen Arbeitsgebieten, wie etwa der Infizierung von legalen Webseiten und von Anwendercomputern mittels Drive-by-Downloads, bedienten sich die Partnerprogramme im Jahr 2010 zunehmend auch so genannter „grauer“ Einnahmequellen. Dazu zählen verschiedene Tricks, um den Anwender dazu zu bringen, sich freiwillig Dateien auf seinen Computer zu laden, die Verwendung von „abgefangenen“ Ressourcen zur Black SEO (verbotene Methoden der Suchmaschinenoptimierung), Attention-Grabbing-Links und die Verbreitung von Adware sowie die Umleitung des Traffics auf verschiedene Ressourcen.
Mehr über die aktuellen Arbeitsmethoden solcher Partnerprogramme erfahren Sie in der Analyse „The Perils of the Internet“.
Epidemien und zunehmende Komplexität von Schadprogrammen
Keine Epidemie war im letzten Jahr in Bezug auf Ausbreitungsgeschwindigkeit, Ausmaß und der ihr entgegengebrachten Aufmerksamkeit mit der des Wurms Kido (Conficker) aus dem Jahr 2009 vergleichbar. Betrachtet man die aufgezählten Faktoren im Einzelnen, so können allerdings 2010 viele Schadprogramme zweifellos zur Gattung der Epidemien (globalen Ausmaßes) gezählt werden.
Die Botnetze Mariposa, ZeuS, Bredolab, TDSS, Koobface, Sinowal und Black Energy 2.0 waren im Jahr 2010 immer wieder Gegenstand von gerichtlichen Untersuchungen und ihre Namen tauchten ständig in der Berichterstattung auf. Jedes dieser Botnetze steht für Millionen von infizierten Computern auf der ganzen Welt und sie zählen zu den technisch kompliziertesten Schadprogrammen.
Dabei wurden die Bots nicht nur mit konventionellen Mitteln wie E-Mail in Umlauf gebracht. Die Cyberkriminellen setzten hier auch auf moderne Verbreitungsplattformen wie soziale Netzwerke und Dateitauschbörsen. Bei diesen Bedrohungen wurden zum Teil erstmals Schadprogramme für 64-Bit-Plattformen umgesetzt, viele verbreiteten sich mit Hilfe von Zero-Day-Schwachstellen.
Ganz oben auf der Liste der Malware-Trends 2010 steht leider ein negatives „Meisterstück“, der Wurm Stuxnet. Stuxnet war das IT-Sicherheitsthema im zweiten Halbjahr 2010. Die Berichterstattung zu diesem Schädling, seinen möglichen Zielen und seinen Funktionsarten stellte alles vorher da gewesene in den Schatten.
Der Fall Stuxnet zeigt, dass die am weitesten verbreiteten Programme auch immer die technisch kompliziertesten Bedrohungen darstellen. Damit wird die Messlatte auch für die Antiviren-Industrie höher gehängt, denn sie befindet sich in einem ständigen technologischen Wettstreit mit den Virenschreibern.
Rückgang der gefälschten Antiviren-Programme
Diese Vorhersage war überaus strittig – selbst unter Kollegen gingen die Meinungen bei diesem Thema auseinander. Damit sie sich bewahrheitete, musste noch eine Reihe zusätzlicher Faktoren eintreffen, wie beispielsweise die Änderung der wichtigsten Einnahmemethoden für die Betreiber und Teilnehmer an Partnerprogrammen, die Gegenwehr seitens der Antiviren-Unternehmen und der Strafverfolgungsbehörden, sowie eine ernsthafte Konkurrenz unter den verschiedenen Gruppen von Cyberkriminellen, die sich mit der Entwicklung und Verbreitung von gefälschten Antiviren-Programmen beschäftigen.
Stützt man sich am Ende des Jahres auf die mit Hilfe von KSN gewonnenen statistischen Daten um ein Fazit zu ziehen, so kommt man zu dem Schluss, dass die Anzahl von gefälschten Antiviren-Lösungen weltweit insgesamt tatsächlich abgenommen hat. Während in den Monaten Februar und März 2010 der Höhepunkt der Aktivität registriert wurde (etwa 200.000 Vorfälle pro Monat), ging deren Verbreitung Ende des Jahres 2010 um das Vierfache zurück. Zudem ließ sich eine starke regionale Ausrichtung der bestehenden falschen Antiviren-Programme feststellen. Die Cyber-Betrüger konzentrierten sich lieber auf eine kleine Anzahl von Ländern und hier in erster Linie die USA, Frankreich, Deutschland und Spanien.
Angriffe auf und in Google Wave
Das Projekt Google Wave wurde Mitte des Jahres 2010 von Google verworfen, so dass es gar nicht erst in vollem Ausmaß in Betrieb genommen werden und keine große Zahl an Teilnehmern an sich binden konnte. Aus diesem Grund hat sich die Vorhersage bezüglich der Attacken auf diesen Service und seine Kunden nicht bewahrheitet.
Attacken auf das iPhone und Android
Im Jahr 2009 wurden die ersten Schadprogramme für das iPhone sowie ein Spionageprogramm für Android entdeckt. Wir vermuteten, dass die Cyberkriminellen diesen Plattformen im Jahr 2010 wesentlich mehr Aufmerksamkeit widmen würden.
Was das iPhone betrifft, so gab es keine Vorfälle mit echten Schadprogrammen, die etwa mit dem Wurm Ike aus dem Jahr 2009 vergleichbar sind. Allerdings wurden im vergangenen Jahr einige Konzept-Programme für diese Plattform entwickelt, die demonstrieren, welche Waffen die Cyberkriminellen in ihr Arsenal aufnehmen könnten. Durchaus erwähnenswert ist hier das Programm SpyPhone, das von Schweizer Forschern entwickelt wurde und sich unerlaubten Zugriff auf Informationen über den Aufenthaltsort, die Interessen, die Passwörter und den Suchverlauf im Internet sowie über den Beruf und die Freunde des iPhone-Anwenders verschaffen kann. Diese Informationen können daraufhin unbemerkt an einen entfernten Server geschickt werden. Eine solche Funktionalität kann erfolgreich in einer harmlos erscheinenden Anwendung verborgen werden.
Früher waren vor allem die Endnutzer gefährdet, die zur Installation von Anwendungen aus beliebiger Quelle einen Jailbreak für ihr Telefon durchführten. Doch die Zeiten haben sich geändert: Heute sind Angriffe theoretisch vor allem dann möglich, wenn sich Anwender die vielgeliebten Apps aus dem Apple Store auf ihr Smartphone laden. Einige Vorfälle mit legalen Anwendungen sind bereits bekannt, bei denen unbemerkt Nutzerdaten gesammelt und diese an ihre Entwickler weitergeleitet werden.
Die oben beschriebene Gefahrenlage für iPhone-Nutzer trifft auch auf Android zu – mit einer wichtigen Ergänzung: Für diese Plattform wurden Schadprogramme gefunden, die eine eindeutig kriminelle Ausrichtung haben. Sie funktionieren nach der bereits erprobten Methode mobiler Trojaner und verschicken SMS-Nachrichten an kostenpflichtige Nummern. Der Schädling Trojan-SMS.AndroidOS.FakePlayer, für den offensichtlich russische Virenautoren verantwortlich sind, wurde im September 2010 von Kaspersky Lab entdeckt, und ist die erste reale Android-Malware. Obgleich der Trojaner nicht über den Android Market (die offizielle Plattform zum Erwerb von Android-Anwendungen), sondern über betrügerische Websites verbreitet wurde, halten wir es für äußerst wahrscheinlich, dass auch im Android Market schädliche Anwendungen auftauchen werden. Außerdem gibt es eine Vielzahl legaler Anwendungen, die bei der Installation auf dem Telefon den Anwender um Zugriff auf private Daten, SMS-Sendefunktionen und Anrufdetails bitten. In den meisten Fällen leisten die Endnutzer diesen Bitten Folge – Anlass, an der Zuverlässigkeit des Sicherheitskonzepts von Android insgesamt zu zweifeln.