Zu diesem Schluss kamen Sicherheitsanalysten von AquaSec bei der Beobachtung ihrer Honeypots. Dabei handelt es sich um simulierte Computersysteme, die Hackern ein lohnenswertes Ziel vorgaukeln. Greifen die Hacker an, können die Sicherheitsexperten auf diese Art ohne Risiko deren Vorgehen analysieren und Strategien entwickeln, um die Attacken abzuwehren. Angriffe auf diese Attrappen zeigten bereits seit September vermehrt Anzeichen, dass die eigentlich als aufgelöst geltende Hackergruppe TeamTNT wieder aktiv sein könnte.
Besonders interessant dabei ist, dass die Hacker neben zwei anderen Angriffstypen auch eine neue Art einsetzen. Beim sogenannten Kangaroo-Angriff (so genannt, da der Pollard Kangaroo WIF Solver genutzt wird) scannen die Kriminellen das Netz auf anfällige Docker-Daemons, stellen dann ein AlpineOS-Image bereit und legen ein Script auf dem angegriffenen System ab. Dieses ruft dann letztendlich den Solver von GitHub ab, der speziell dafür programmiert ist, die SECP256K1-Verschlüsselung zu knacken, die in der Public-Key-Kryptografie von Bitcoin verwendet wird. Dafür wird die Verschlüsselung in mehrere Blöcke zerlegt und auf mehrere Server zur Entschlüsselung verteilt. Die Ergebnisse werden dann in Form lokal gespeicherter Textdateien wieder eingesammelt.
Wie erfolgversprechend dieses Vorgehen ist, muss sich zeigen, denn derzeit ist die vorherrschende Meinung, dass die Verschlüsselung von Bitcoin mit den existierenden Methoden nicht geknackt werden kann. Erst Quantencomputer könnten daran etwas ändern. Doch diese Einschätzung hindert die Hacker von TeamTNT nicht daran, es trotzdem zu versuchen und dafür Ressourcen einzusetzen, die sie vorher unter ihre Kontrolle gebracht haben. Möglich ist auch, dass die Hacker lediglich mit neuen Angriffsvektoren und -arten experimentieren, oder neue Wege testen, sich in den Systemen ihrer Opfer zu verstecken.
Neben dieser neuen, vermutlich wenig erfolgreichen Angriffstaktik, nutzt TeamTNT zwei weitere, bereits bekannte Vorgehensweisen, die sie aber um einige Neuerungen ergänzt haben. Der Cronb-Angriff verwendet dokumentierte Rootkits, versteckt sich per Cron-Job in den Systemen und führt dort Cryptominer aus. Zusätzlich gibt es Tools, um sich weiter in den Systemen auszubreiten. Neu hinzugekommen sind C2- Infrastrukturadressen sowie ein aufwändigerer Datenaustausch. Die „What will be“-Attacke zielt auf Docker-Daemons mit Shell-Dateien ab, die Alpine-Images erneut löschen. Dabei wird eine Schwachstelle ausgenutzt, um aus der abgesicherten Umgebung auf den Host überzugreifen. Anschließend laden die Eindringlinge zusätzliche Skripte und Rootkits sowie einen Cryptominer herunter und führen diese aus, während sie außerdem Cron-Jobs hinzufügen und SSH-Scans im Netzwerk durchführen. Bei dieser Angriffsart neu hinzugekommen ist eine Funktion, die es den Hackern erlaubt, die Performance beim Cryptomining zu optimieren.
Ob es sich bei dieser neuen Angriffswelle tatsächlich um die wiederauferstandenen Hacker von TeamTNT oder um eine andere Gruppierung handelt, die sich der Methoden ihrer Vorgänger bedient, ist noch nicht vollständig geklärt. Betreiber von leistungsstarken und damit interessanten Servern sollten jedenfalls ihre Sicherheitsvorkehrungen verstärken. Insbesondere die Docker-Konfiguration sollte gestärkt und alle verfügbaren Sicherheitsupdates eingespielt werden, um den Kriminellen keine Einfallstore zu bieten.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de