Attacks/Breaches

Finanziell motivierte Angreifer könnten den gestohlenen Quellcode für breitere Angriffe missbrauchen

Auf den ersten Blick passt der massive Einbruch bei Adobe, der letzte Woche bekannt wurde, nicht so recht in das Profil eines reinen Cybercrime-Angriffs: Die Bösewichte haben nicht nur Kundendaten und Zahlungskarteninformationen des Softwareunternehmens gestohlen, sondern auch den Quellcode für Adobes ColdFusion-, Acrobat- und Reader-Software erbeutet.

Es ist immer noch unklar, wie die Angreifer an die Kundendaten und den Quellcode von Adobe gelangt sind und was sie, wenn überhaupt, getan haben, um den Quellcode zu Betrugszwecken zu manipulieren. Klar ist jedoch, dass die Angreifer entweder absichtlich oder versehentlich sowohl auf die wertvollen Finanzdaten der Kunden von Adobe als auch auf das geistige Eigentum des Unternehmens zugegriffen haben und sich so mehrere Möglichkeiten zum Geldverdienen eröffneten.

„Diese Typen waren finanziell orientiert“, sagt Alex Holden, CISO bei Hold Security, der zusammen mit Brian Krebs von KrebsOnSecurity die 40 Gigabyte Quellcode von Adobe auf demselben Server wie die gestohlenen Daten von LexisNexis, Dun & Bradstreet, Kroll und anderen entdeckt hat. „

Adobe gab am späten Donnerstag bekannt, dass es massive „ausgeklügelte Angriffe“ auf sein Netzwerk gab, die zum Diebstahl sensibler Daten, einschließlich der Zahlungskartendaten von 2,9 Millionen Kunden, sowie des Quellcodes für mehrere Adobe-Softwareprodukte, einschließlich Adobe Acrobat, ColdFusion, ColdFusion Builder und anderer Adobe-Software, führten. Brad Arkin, Chief Security Officer von Adobe, sagte, dass die Angriffe möglicherweise in Zusammenhang stehen.

Hold Security’s Holden sagt, dass die Angreifer die gestohlenen Daten seit mindestens zwei Monaten in ihrem Besitz zu haben scheinen. Eine seiner größten Befürchtungen ist, dass ein Zero-Day-Angriff auf Adobe-Anwendungen im Gange sein könnte, der noch nicht entdeckt wurde. „Sie könnten hochrangige Ziele angegriffen haben. Das ist ein äußerst beunruhigender und beängstigender Gedanke“, sagt Holden.

Cyberkriminelle versuchen in der Regel, mit gestohlenen Zahlungskartendaten oder Benutzeranmeldedaten schnelles Geld zu machen. Obwohl die gestohlenen Adobe-Kartendaten laut Adobe verschlüsselt waren, ist es möglich, dass die Angreifer in der Lage waren, die Verschlüsselungsschlüssel auszulesen oder die Kryptographie zu knacken, je nach Stärke und Implementierung, sagen Sicherheitsexperten.

Die Angreifer könnten den Quellcode zu Geld machen, indem sie zum Beispiel Exploits für Adobe-Anwendungen finden und verkaufen, sagen Experten.

„Wenn man es auf Adobe oder ein anderes Unternehmen abgesehen hat, wird man nach Informationen suchen, die man schnell zu Geld machen kann. Aber wenn man einige wirklich gute Zero-Days in Adobe Reader oder ColdFusion findet, könnte das zu zukünftigen Angriffen auf mehrere Kunden führen“, sagt Benjamin Johnson, CTO von Carbon Black. „Jeder hat Adobe … das ist eine riesige Angriffsfläche.“

Exploit-Verkäufe sind lukrativ, in der Größenordnung von Zehntausenden von Dollar für eine Adobe-Anwendung, zum Beispiel. „Mit dem Quellcode lässt sich Geld verdienen – er hilft dabei, die Schwachstellen in Adobe-Produkten zu finden. Ein einziger Zero-Day-Exploit für Adobe Reader kann auf dem Schwarzmarkt 50.000 Dollar wert sein“, sagt Timo Hirvonen, Senior Researcher bei F-Secure.

Die Nutzung des Quellcodes von Adobe würde den Angreifern einen effizienteren Weg zum Diebstahl von Informationen bieten. „In der Vergangenheit war es so einfach, Spree-Attacken durchzuführen – man konnte Millionen von Menschen durch Phishing und Keylogger erreichen“, sagt Dan Hubbard, CTO von OpenDNS. „Aber jetzt sieht es raffinierter aus, und die Angreifer gehen planmäßiger vor, d. h., anstatt auf den Client und das menschliche Element abzuzielen, nehmen sie einige Schwachstellen in der Infrastruktur ins Visier, holen sich Daten zurück und finden heraus, was zu tun ist …

Wenn das Worst-Case-Szenario Wirklichkeit wird und die Angreifer tatsächlich den Adobe-Quellcode vergiftet und dann an Adobe-Kunden verteilt haben, dann war das Software-Unternehmen für die Angreifer eher ein Mittel zum Zweck. „Wenn sich der gestohlene Quellcode tatsächlich auf ColdFusion und Acrobat bezieht, könnten Tausende von Webservern nach Belieben kompromittiert werden und es wäre einfacher, die Systeme von Endanwendern zu kompromittieren. Diese Sicherheitsverletzung ist eine abschreckende Erinnerung daran, dass alle Software-Unternehmen auf der Hut sein sollten, da auch sie ein Sprungbrett für andere Ziele sein könnten“, sagt Chris Petersen, CTO und Mitbegründer von LogRhythm.

Es kann noch einige Zeit dauern, bis das vollständige Bild des Adobe-Angriffs auftaucht – wenn überhaupt. Sicherheitsexperten sagen, wenn Adobe tatsächlich bis zu sechs Wochen gebraucht hat, um den Angriff zu bemerken, ist das Softwareunternehmen von Anfang an im Nachteil. „Das ist ein Vorsprung, den die Bösewichte hatten“, sagt Johnson. Der Schlüssel ist immer eine schnelle Entdeckung, um den Schaden zu begrenzen, sagen Experten.

Bala Venkat, Chief Marketing Officer des Anbieters von Anwendungssicherheitslösungen Cenzic, stimmt dem zu. „Aus den laufenden Untersuchungen geht hervor, dass die Sicherheitsverletzung bei Adobe irgendwann im August begann und bis Ende September andauerte. Solche verzögerten Erkennungs- und Reaktionsmechanismen sind besonders alarmierend. Unternehmen müssen sicherstellen, dass ein kontinuierlicher Sicherheitsüberwachungsprozess für alle ihre Produktionsanwendungen vorhanden ist, um Schwachstellen in Echtzeit zu erkennen und zu melden, wenn eine Sicherheitsverletzung auftritt. Wenn diese Richtlinie rigoros durchgesetzt wird, hätten solche Verstöße viel schneller und effektiver eingedämmt und der Schaden minimiert werden können. „

Eine weitere Sorge ist, ob die Angreifer bereits auf die Kunden von Adobe übergegriffen haben. „Eine meiner Bedenken ist die seitliche Bewegung innerhalb der Kundenbasis“, sagt Johnson von Carbon Black, wo die Angreifer bereits Adobe-Kunden gephisht haben, um Informationen zu stehlen.

„Es wird eine Weile dauern, bis wir die vollen Auswirkungen dieser Sache kennen“, sagt er.

Und Adobe ist nicht das letzte Opfer dieser Cybercrime-Bande: Sicherheitsexperten rechnen mit weiteren Enthüllungen über andere Organisationen, die betroffen sind.

Haben Sie einen Kommentar zu dieser Geschichte? Bitte klicken Sie unten auf „Add Your Comment“. Wenn Sie die Redakteure von Dark Reading direkt kontaktieren möchten, senden Sie uns eine Nachricht.

Kelly Jackson Higgins ist die Chefredakteurin von Dark Reading. Sie ist eine preisgekrönte, erfahrene Technologie- und Wirtschaftsjournalistin mit mehr als zwei Jahrzehnten Erfahrung in der Berichterstattung und Redaktion für verschiedene Publikationen, darunter Network Computing, Secure Enterprise … Vollständigen Lebenslauf anzeigen