Abweichend von der Botschaft: CISA warnt vor raffinierten Spyware-Angriffen

Wie Angreifer verschlüsselte Messaging-Apps durch Social Engineering und kommerzielle Spyware umgehen

Die wichtigsten Erkenntnisse

• Angreifer nutzen zunehmend Social Engineering und kommerzielle Spyware, um die Sicherheitsvorkehrungen verschlüsselter Messaging-Apps zu umgehen und sensible Kommunikation abzuhören.
• Neue Bedrohungen, wie beispielsweise NFC-Relay-Angriffe, ermöglichen es Cyberkriminellen, mobile Transaktionen aus der Ferne abzufangen und die Security des Geräts zu gefährden.
• Unternehmen sollten Zero-Trust-Messaging implementieren, SMS-basierte Authentifizierung vermeiden und zusätzliche Security-Maßnahmen für Konten ergreifen, um sich vor diesen ausgeklügelten Angriffen zu schützen.

Verschlüsselte mobile Messaging-Tools ermöglichen einen sicheren Datenaustausch für Regierungsbehörden und Privatunternehmen. Anstatt zu versuchen, diese digitalen Verteidigungen zu durchbrechen, haben Angreifer jedoch einen Weg gefunden, sie zu umgehen: gezieltes Social Engineering gepaart mit kommerzieller Spyware.

Laut einer aktuellen Alarmierung der Cybersecurity and Infrastructure Security Agency (CISA) nutzen Cyberkriminelle bösartige QR-Codes, Zero-Click-Exploits und Identitätsmissbrauch, um auf sichere Messaging-Plattformen zuzugreifen und geschützte Daten zu stehlen. 

Spione auf das Ziel

Wie die CISA-Alarmierung feststellt, versuchen Angreifer nicht, die Kontrolle über sichere Apps wie Signal und WhatsApp zu erlangen. Stattdessen wollen sie einfach nur dabei sein und kritische Gespräche belauschen. Forschungen deuten darauf hin, dass zu den Hauptzielen aktuelle und ehemalige Regierungs-, Militär- und politische Beamte gehören, zusammen mit hochrangigen Personen in den Vereinigten Staaten, Europa und dem Nahen Osten. 

Das ergibt Sinn: Das Abhören von militärischen Nachrichten oder der Kommunikation im öffentlichen Dienst kann wertvolle Daten für staatliche Aufklärungsdienste oder eine beträchtliche Auszahlung für bösartige Akteure liefern. 

Um auf sichere Messaging-Apps zuzugreifen, nutzen Angreifer folgende Taktiken:

Phishing + QR-Codes

Angreifer erstellen gezielte Phishing-Kampagnen, die Nutzer dazu bringen, auf bösartige Links zu klicken oder QR-Codes zu scannen. Diese Codes gefährden sowohl Nutzerkonten als auch deren Verknüpfung mit Geräten, die Angreifern gehören. Das Ergebnis? Cyberkriminelle können alle Unterhaltungen über sichere Messaging-Apps verfolgen und überwachen und den Gerätezugang nutzen, um Malware, Ransomware oder Advanced Persistent Threats (APTs) zu installieren. 

Zero-Click-Exploits

Phishing- und ähnliche Angriffsmethoden basieren auf Nutzeraktionen – die Opfer müssen auf einen Link klicken, einen Code scannen oder eine Nachricht senden. Zero-Click-Exploits hingegen werden automatisch ausgeführt, sobald bestimmte Bedingungen erfüllt sind. Betrachten wir die LANDFALL-Spyware, die eine Zero-Day-Schwachstelle in Samsungs Android-Bildverarbeitungsbibliothek ausnutzt. 

So funktioniert sie: Angreifer senden ein fehlgebildetes Digital Negative-(DNG-)Bild mit einem eingebetteten ZIP-Archiv über WhatsApp. Sobald das Bild empfangen wurde, wird es ohne Zutun des Nutzers gesendet und verarbeitet, was dazu führt, dass kommerzielle Spyware auf dem Gerät installiert wird.

Anwendungs-Identitätsmissbrauch

Angreifer nutzen zudem selbst Anwendungen, um Geräte mit Spyware zu infizieren. Ein Beispiel ist ClayRat, das sowohl Telegram selbst als auch scheinbar legitime Webseiten nutzt, um Anwendungs-„Upgrades“ oder Patches anzubieten, die in Wirklichkeit Spyware-Payloads sind. Mit dem Standard-SMS-Handler in Android OS erhält ClayRat Zugriff auf SMS, Anrufprotokolle und Benachrichtigungen und kann außerdem Fernbefehle ausführen, um Fotos zu machen, Anrufe zu tätigen, Massen-SMS-Nachrichten zu senden und Daten zu exfiltrieren. 

Sobald bösartige Akteure Zugang zu sicheren Apps erhalten, nutzen sie kommerzielle Spyware, um Gespräche abzufangen. Die weite Verbreitung dieser Spyware stellt eine Herausforderung dar. Obwohl das US-Finanzministerium Sanktionen gegen einige Spyware-Hersteller verhängt hat und Unternehmen wie WhatsApp Klagen gegen Spyware-Hersteller eingereicht haben, ist der Markt einfach zu groß, um ihn zu kontrollieren.

Umgang mit neuen NFC-Bedrohungen

Der Anstieg kommerzieller Spyware-Infektionen hat zudem „Tap-and-Steal“-Bedrohungen geschaffen, die mit Nahfeldkommunikation (NFC) verbunden sind.

Zunächst infizieren die Angreifer die Zielgeräte und sammeln wichtige Daten. Mithilfe dieser Informationen setzen sie Malware ein, die unter dem Radar der Verteidigung hindurchschlüpft und die Installation von Malware ermöglicht, die auf Betriebssysteme von Mobilgeräten und Anwendungsberechtigungen abzielt.

Aus Nutzersicht erscheinen NFC-Käufe normal: Sie tippen, bezahlen und gehen ihrem Alltag nach. In Wirklichkeit hat die installierte Malware die Transaktion gekapert, indem sie den installierten NFC-Chip als ein Ende eines Relais fungieren lässt. Das andere Ende ist ein zweites, vom Angreifer kontrolliertes Gerät, das sich Kilometer entfernt befindet. Dadurch können Cyberkriminelle den zentralen defensiven Vorteil von NFC umgehen: Entfernung. 

Normalerweise sind NFC-Transaktionen auf 10 cm oder weniger beschränkt. Indem Angreifer Nutzergeräte in ein Relais verwandeln, umgehen sie diese Security-Kontrolle, ohne Abwehrmaßnahmen auszulösen. Für CIOs und CISOs, die mit der Verwaltung mobiler Geräteflotten betraut sind, entsteht dadurch ein doppeltes Problem: Abgefangene Nachrichten gepaart mit betrügerischen Käufen, die schwer nachzuverfolgen und noch schwerer zu stoppen sind.

Umgang mit gemischten Nachrichten

Für Unternehmensnetzwerke stellen diese Spyware-Angriffe eine stille, aber anhaltende Bedrohung dar. Wenn sich Angreifer Zugang zu sicheren Messaging-Apps verschaffen oder NFC-Netzwerke kompromittieren können, könnten Unternehmen IP-Daten gestohlen oder Geld auf betrügerische Weise bewegt werden.

Um mit widersprüchlichen Meldungen umzugehen, empfiehlt der Leitfaden CISA Mobile Communications Best Practice Guidance unter anderem folgende Maßnahmen:

Einführung eines Zero-Trust-Messaging-Ansatzes

Die CISA-Richtlinie empfiehlt zwar die Verwendung verschlüsselter Messaging-Dienste, warnt aber auch davor, diesen Apps implizit zu vertrauen. Um potenzielle Kompromittierungen zu vermeiden, sollten Nutzer die Echtheit aller Gruppeneinladungen überprüfen, bei unerwarteten Security-Warnungen misstrauisch bleiben und alle verdächtigen Aktivitäten über die Supportkanäle der App melden. 

Abkehr von SMS

Der Leitfaden empfiehlt auch die Abkehr von SMS, insbesondere für die Multi-Faktor-Authentifizierung. Da SMS nicht verschlüsselt sind, können MFA-Nachrichten von Angreifern gelesen werden, die wiederum Einmalcodes verwenden könnten, um auf Geräte zuzugreifen und Spyware zu installieren.

Legen Sie eine Telekommunikations-PIN fest

Wie von CISA erwähnt, ermöglichen es viele Telekommunikationsanbieter Administratoren, zusätzliche PINs oder Passcodes für Mobiltelefonkonten festzulegen. Diese müssen bereitgestellt werden, bevor Nutzer sensible Aktionen ausführen können, wie z. B. die Installation neuer Software oder das Portieren einer Telefonnummer. 

Das Fazit? Verschlüsselte Messaging-Apps sind nur effektiv, wenn Unternehmen genau wissen, wer zuhört. Angesichts der zunehmenden Verbreitung ausgeklügelter Spyware und NFC-Angriffe müssen Unternehmen Zero-Trust-Operationen priorisieren, die die Abhängigkeit von SMS verringern und zusätzliche Verifizierungen zur Autorisierung kritischer Aktionen erfordern.