Cyber-Kriminalität
Physische Kriminalität im cyberkriminellen Untergrund
Lange Zeit waren Untergrundforen der Bereich für digitale oder über das Internet ausgeführte Verbrechen. Doch nun gibt es Anzeichen für eine zunehmende Synergie und Interaktion zwischen traditionellen Kriminellen und Cyberkriminellen.
Save to Folio
von Trend Micro
Lange Zeit waren Untergrundforen der Bereich für digitale oder über das Internet ausgeführte Verbrechen. Doch nun gibt es Anzeichen für eine zunehmende Synergie und Interaktion zwischen traditionellen Kriminellen und Cyberkriminellen. Ein genauerer Blick darauf zeigt, dass sich die Trennlinie zwischen den beiden Akteursgruppen immer mehr verwischt.
Ein beliebtes Angebot: Änderungen an Fahrzeugen
Im Zuge der Beobachtung des cyberkriminellen Untergrunds fielen den Sicherheitsforschern von Trend Micro Angebote für Fahrzeug-Toolkits auf. Damit können Nutzer von Herstellern eingebaute physische Sicherheitsmechanismen umgehen, um administrative Aufgaben durchzuführen, wie etwa Updates oder Umprogrammierung des Engine Control Module (ECM), das aufgrund von Sensorinformationen und Leistung Motorentscheidungen trifft. Die aktualisierten Versionen der Firmware in dem Angebot bieten die Möglichkeit, die Wegfahrsperre zu umgehen, eine Sicherheitsvorrichtung, die verhindert, dass das Fahrzeug ohne den richtigen Schlüssel funktioniert. Das Modul kostet ca. 450 $.
In demselben Forum werden auch einige andere Zusatz-Tools erwähnt, so etwa ein „Universalzündschlüssel“, der für ca. 75 $ verkauft wird. Damit lässt sich ein Auto in etwa einer Minute öffnen, starten (und tatsächlich stehlen), indem der Dieb die üblichen Sicherheits- und Alarmmechanismen während oder nach dem Diebstahl umgeht. In den Werbevideos werden sowohl physische als auch elektronische Schlüssel angeboten. Im Fall des Diebstahls mithilfe eines elektronischen Schlüssels wird das Signal eines legitimen Schlüssels gefälscht, sodass der Dieb ins Fahrzeug einsteigen und es klauen kann.
Obwohl diese Werkzeuge eine physische Präsenz erfordern, um den Angriff durchzuführen, sind zwei Aspekte hervorzuheben. Erstens kann der gleiche Angriff theoretisch aus der Ferne durchgeführt werden, vorausgesetzt, es gibt einen anfälligen Zugangspunkt. Frühere Forschungsprojekte haben gezeigt, dass über einen Exploit im Entertainment-System des Fahrzeugs drahtlos auf den CANBUS zugegriffen werden kann. Zweitens, da das ECM im Wesentlichen das „Gehirn“ des Motors ist, könnte bösartige Funktionalität in die verkauften „Kits“ aufgenommen werden, um beispielsweise (auch unbemerkt, wie Trend Micro letztes Jahr gezeigt hatte) fahrzeuginterne Funktionen zu manipulieren und letztendlich damit auch Menschenleben zu gefährden. So wie Cyberkriminelle Raubkopien kostenpflichtiger Software als Vektor für die Verbreitung von Malware nutzen, so könnten sie sicherlich auf ähnliche Weise vernetzte Autos missbrauchen. Auch könnten Verbraucher versuchen, die werkseitig installierte Firmware ihrer Fahrzeuge zu „upgraden“, um offizielle Reparaturdienste zu umgehen, wie im Falle von John Deere-Traktoren, die mit ukrainischer Firmware „gehackt“ wurden.
Die Synergie zwischen physischen Verbrechen und Cyberkriminalität kann zu hybriden Arten von Cyberangriffen führen, einschließlich On-Demand Angriffsdiensten mit unterschiedlichen Zielen – zum Beispiel Erpressung hochrangiger Persönlichkeiten — oder einfach zur Bedrohung von Menschenleben. Die Analyse der kriminellen Services im Deep Web aus dem Jahr 2015 zeigte mehrere Fälle von kriminellen Services auf Bestellung (einschließlich Mord).
Autos sind für diese Art des Angriffs ideal geeignet, weil sie einen relativ langen Lebenszyklus haben und nur begrenzte Fähigkeiten, Hardware oder Firmware aus der Ferne in großem Umfang zu aktualisieren. Und wenn Patches für Schwachstellen nicht einfach zu verteilen und zu installieren sind, so bleiben die Ziele angreifbar.
Die Industrie geht in Richtung vernetzter Fahrzeuge und sogar selbstfahrender Autos, die mehr Sensoren, den Informationsaustausch zwischen Fahrzeugen, „intelligente“ Straßen und eine Infrastruktur für intelligente Transportsysteme im Allgemeinen nötig machen. Damit wiederum vergrößert sich die Angriffsfläche.
Physische Verbrechenskategorien in Untergrundforen
Viele Cyberkriminalitätsforen unterhalten heutzutage entweder physischer Kriminalität vorbehaltene Stränge oder gar Unterkategorien dazu, etwa zu Fahrzeugen mit dem Verkauf von Geräten, die Signale abfangen und Türen entsperren sowie gefälschte Dokumentation und Codeerkennung beinhalten.
Interessanterweise erwähnen die Verkäufer Autos nur selten direkt und nutzen stattdessen Slang-Ausdrücke dafür, wahrscheinlich um keine Beweise für die Polizei und Behörden zu liefern. So bezieht sich etwa „sibirischer Käse“ auf gerade geklaute Autos aus Sibirien.
Enge Verbindungen zwischen Cyberkriminellen und traditionellen (nicht-Cyber-) Akteuren sind in anderen Märkten sichtbar. Reisebezogene Dienstleistungen, die als Internet- oder internetgestützte Kriminalität eingestuft werden können, sind einer der wichtigsten Monetarisierungsmärkte im Untergrund.
Fazit
Künftig dürfte die Zahl der Bedrohungsakteure, die sowohl in traditioneller als auch Cyberkriminalität tätig sind, noch steigen, und auch das Angebot an physischen Verbrechensdiensten auf Plattformen, die eigentlich dem internetgestützten Verbrechen vorbehalten war, wird größer werden.
Es gibt zwei Gründe dafür: Cyberkriminelle Gruppen werden immer professioneller und rivalisieren sogar mit traditionell organisierten Banden sowohl bezüglich des Ehrgeizes als auch des Umfangs ihrer Unternehmungen. Viele cyberkriminelle Gruppen expandieren in diese Richtung, um höheren Profit zu generieren, während umgekehrt, traditionelle Banden, die das Potenzial der Cyberkriminalität erkannt haben, ihre eigenen digitalen Aktionen aufsetzen.
Darüber hinaus verwischt die Entwicklung im Bereich Internet of Things (IoT) die Trennlinie zwischen dem digitalen Bereich und der realen Welt, sodass auch die Trennung zwischen traditionellen und Cyberkriminellen unscharf wird.