Die Urheber von Zero-Day-Angriffen sind keine einheitliche Gruppe. Sie haben unterschiedliche Beweggründe und gehören nicht alle zur gleichen Kategorie. Das Problem sind nicht nur opportunistische Hacker, sondern es gibt auch einen regen Schwarzmarkt, auf dem Zero-Day-Schwachstellen und -Exploits für hohe Beträge gehandelt werden. Auch staatlich unterstützte Akteure sind auf der Jagd nach diesen Schwachstellen. Anstatt sie jedoch offenzulegen, bewahren Sie oft Stillschweigen darüber und behalten sie in der Hinterhand, um anhand dieser Schwachstellen spezialisierte Zero-Day-Exploits für den Einsatz gegen ihre Gegner zu entwickeln – eine Praxis, die erhebliche Kritik hervorgerufen hat, weil sie unschuldige Unternehmen in Gefahr bringt.
Cyberkriminelle streben in der Regel nach finanziellem Gewinn und streben danach, vertrauliche Informationen zu erlangen und zu verschlüsseln, um dafür Lösegeld zu erpressen (Ransomware), oder damit zu drohen, sie zu veröffentlichen. Staatlich unterstützte Akteure und Hacktivisten nutzen Zero-Day-Schwachstellen, um soziale oder politische Anliegen voranzutreiben, oft mit dem Ziel, vertrauliche Daten zu sammeln oder ihre Mission bekannt zu machen. Wirtschaftsspionage wiederum ist ein Beweggrund für Unternehmen, Exploits zu nutzen, um sich einen Wettbewerbsvorteil zu verschaffen, indem sie auf vertrauliche Daten von Konkurrenten zugreifen. Schließlich lassen sich diese Angriffe als Werkzeuge für die Cyberkriegsführung einsetzen. Bestimmte Staaten können dies nutzen, um die digitale Infrastruktur eines anderen Landes durch kurz- oder längerfristige Angriffe zu stören. Dadurch verschaffen sie sich Vorteile gegenüber Versorgungsunternehmen, wirtschaftlichen Institutionen sowie im Bereich der strategischen Investitionen und des geistigen Eigentums – einschließlich Staatsgeheimnissen.
Zero-Day-Exploits haben weitreichende Auswirkungen. Als Angriffsziele kommt alles in Frage, von Betriebssystemen und Webbrowsern bis hin zu Hardware und IoT-Geräten. Dieses breite Spektrum an angreifbaren Geräten finden Sie bei den Opfern vor. Zu diesen zählen:
· Normale Anwender, die ein anfälliges System wie einen veralteten Browser nutzen.
· Eigentümer wertvoller Geschäftsdaten oder geistigen Eigentums.
· Große Unternehmen und Organisationen, die erhebliche Mengen an vertraulichen Daten verwalten.
· Regierungsbehörden, die über wichtige Informationen zur nationalen Sicherheit verfügen.
Es werden entweder ganz gezielt spezifische Systeme angegriffen, oder die Angriffe erfolgen breit gestreut. Gezielte Zero-Day-Angriffe zielen auf hochrangige Opfer wie Regierungsbehörden oder große Unternehmen ab, während bei nicht gezielten Angriffen jedes ungeschützte System angegriffen wird, das die Angreifer finden können. In letzterem Fall haben die Angriffe das Ziel, die Systeme so vieler Benutzer wie möglich zu manipulieren – so ist niemand wirklich vor möglichem Schaden sicher.
Bei einem Zero-Day-Angriff sind mehrere Faktoren wichtig. Dazu gehören:
· Identifizierung einer Software-Schwachstelle, die Fehler bei der Ausführung der Anwendung aufweist.
· Die Schwachstelle wurde noch nicht öffentlich bekannt gegeben.
· Schnelle Entwicklung eines Exploits der Schwachstelle.
Diese Faktoren sind Wegbereiter für verschiedene schädliche Aktivitäten, aber die Bereitstellung von Exploit-Code ist in jedem Fall erforderlich, um einen Angriff einzuleiten. Die Bereitstellung eines Exploits kann über verschiedene Kanäle erfolgen:
· Social Engineering: Die Angreifer verwenden eine Vielzahl von Mitteln, die Personen ins Visier nehmen, darunter maßgeschneiderte E-Mails, soziale Medien und andere Nachrichten. Ein Angreifer erstellt ein Profil eines Angriffsopfers, um dessen Vertrauen zu gewinnen.
· Phishing: Die Angreifer nutzen dieses Verfahren, um Benutzer dazu zu verleiten, eine manipulierte Datei oder einen Link in einer E-Mail zu öffnen, die legitim erscheint, aber tatsächlich von einem Angreifer stammt.
· Drive-by-Download: Bei diesem Szenario betten die Urheber der Bedrohungen Exploit-Code als verstecktes Element in eine manipulierte, aber scheinbar legitime Website ein. Wenn Besucher auf die infizierte Website navigieren, wird der Exploit heruntergeladen und auf ihren Systemen ausgeführt, ohne dass sie dies veranlasst haben oder sich dessen bewusst sind. Diese Technik wird häufig verwendet, um Zero-Day-Angriffe durchzuführen, wobei Zero-Day-Schwachstellen ausgenutzt werden, um Systeme diskret zu infiltrieren.
· Malvertising: Bei dieser Strategie werden schädliche Anzeigen auf vertrauenswürdigen Werbenetzwerken angezeigt. Der Exploit-Code wird ausgelöst, sobald man lediglich auf diese Anzeigen klickt oder mit der Maus darüber fährt. Angesichts der Tatsache, dass Benutzer bekannten Websites in der Regel vertrauen, ist dies eine raffinierte Methode, um Zero-Day-Angriffe zu starten.
· Spear-Phishing: Diese Technik zielt auf bestimmte Endbenutzer ab, denen hochgradig personalisierte Nachrichten über E-Mail, SMS oder andere Plattformen geschickt werden. Sobald ein Angreifer Zugriff auf ein Konto mit erweiterten Benutzerrechten erlangt hat, kann der Exploit innerhalb der Zielinfrastruktur viel besser verbreitet werden. Dies kann die Reichweite eines Angriffs über das betroffene Unternehmen hinaus auf Geschäftspartner und andere verbundene Unternehmen ausweiten.
Solche Exploits können auch in einem "Exploit-Pack" gebündelt werden. Damit wird das System auf mehrere Schwachstellen untersucht, sodass der Exploit dort bereitgestellt werden kann, wo er am effektivsten ist. Sobald der Code ausgeführt ist, kann er eine Reihe von Schäden verursachen – von Datendiebstahl bis hin zum kompletten Lahmlegen des Systems. Da diese Angriffe heimlich erfolgen und sehr ausgeklügelt sind, lassen sie sich oft schwer erkennen und verhindern, sodass leistungsfähige Strategien zur Verhinderung von solchen Zero-Day-Angriffen erforderlich sind.