Immer häufiger führen geopolitische Konflikte wie sie derzeit etwa in Syrien stattfinden, zu politischen Aktionen im Internet. Trend Micro hat nun eine umfangreiche Analyse veröffentlicht, die zeigt, in welchem Umfang fremde Webseiten für politische Zwecke verändert werden. Für die Studie untersuchte das Unternehmen nach eigenen Angaben mehr als 13 Millionen so genannter Defacement-Angriffe in einem Zeitraum von 1998 bis 2016.
Die Angreifer nutzten dafür nicht nur den Diebstahl von Admin-Passwörtern, sondern auch Schwachstellen wie LFI (Local File Inclusion) oder SQL-Injection. Zu den beliebtesten Zielen zählte dabei Apache, gefolgt vom Internet Information Server (IIS) von Microsoft sowie der Web-Server Nginx. Die am häufigsten attackierten Betriebssysteme waren - mit weitem Abstand - Linux, gefolgt von Windows 2003 sowie 2000. Insgesamt sollen die Angreifer etwa 30 verschiedene Methoden genutzt haben, um ihre Botschaften auf fremden Webseiten zu platzieren.
Anders als herkömmliche Hacker und Cyber-Kriminelle zeichnen sich die Angriffe von so genannten Defacern aber durch einige Spezialitäten aus. So hinterlassen sie in der Regel nach der Manipulation einer Webseite eine Kontaktmöglichkeit. Laut Trend Micro wurde in jedem vierten Fall eine E-Mail-Adresse platziert, in 8 Prozent der Fälle wurde auf einen Twitter-Account verwiesen. In einigen Fällen wurden zudem Videos oder Verweise auf Videos auf Streaming-Websites eingebaut, die weitere politische Botschaften verbreiteten.
Geringer monetärer Antrieb
Trend Micro weist darauf hin, dass Defacer in der Regel nicht auf Geld aus sind. Das könne sich aber bald ändern. In der nächsten Phase würden sie vermutlich dazu übergehen, ihre Aktivitäten zu Geld zu machen. Dies wäre einfach, angesichts der vielen Möglichkeiten, auf kompromittierte Webseiten zuzugreifen. Denkbar wären auch Umleitungen auf andere Seiten oder Exploits, die heimlich Ransomware installieren. Selbst das bei Cyber-Kriminellen derzeit immer mehr in Mode kommende verborgene Schürfen nach Krypto-Währungen im Browser dürfte demnächst dazu gehören.
Die Analysen zeigen außerdem, dass politisch motivierte Angriffe seit etwa 2009 deutlich zugenommen haben. Insbesondere 2011 und 2013 erfolgten laut Trend Micro besonders viele Attacken. Das Unternehmen stützt sich bei seinen Untersuchungen auf Daten aus fünf Quellen: Zone-H2, Hack-CN3, Mirror Zone, Hack Mirror und MyDeface. Laut den dort erhältlichen Zahlen habe es im Untersuchungszeitraum fast 10 Millionen Defacements von mehr als 100.000 politischen Aktivisten gegeben. Am bedeutendsten waren die schwelenden Konflikte in Kashmir und Syrien. Sie waren für einen großen Teil der Angriffe verantwortlich.
Immer wieder kommt es zudem laut den Analysen auch vor, dass sich Hacker-Gruppen miteinander verbünden, gemeinsam gegen ein Ziel vorgehen oder dass es zumindest Kontakte zwischen verschiedenen Gruppierungen gibt. So wurden nach Angaben von Trend Micro Überschneidungen zwischen der ZCompany Hacking Crew und der Muslim Liberation Army gefunden. Beide stammen aus Pakistan und haben mehrere Mitglieder, die zu beiden Gruppen gehören sollen. Ihre Zusammenarbeit führt des weiteren dazu, dass sie nicht nur Werkzeuge, sondern auch Exploits oder Techniken tauschen.
Gegenmaßnahmen
Trend Micro rät Unternehmen, die eine Webseite betreiben, unter anderem zu folgenden Schritten, um sich abzusichern:
Zu den wichtigsten Maßnahmen gehören starke Passwörter sowie eine solide und sichere Konfiguration des Web-Servers.
Web-Application-Firewalls können Angriffe erkennen und blockieren.
Die Webseiten sollten sorgfältig programmiert und ausgiebig auf Schwachstellen getestet worden sein.
Die Systeme müssen kontinuierlich aktualisiert und auf den aktuellen Stand gebracht werden.
Alle Web-Anwendungen sollten regelmäßig auf Schwachstellen gescannt werden.
Generell sollten mehrstufige Sicherheitsmaßnahmen genutzt werden, die eine Webseite nicht nur auf einer einzigen Ebene schützen.
Lesetipp: So halten Sie Hacker ab