Die heimliche Entdeckung und Ausnutzung von Zeroday-Lücken wird überwiegend aus Steuergeld finanziert. Das legt eine Jahresanalyse der Google Threat Intelligence Group (GTIG) nahe, die zwei Drittel aller aktiv ausgenutzten 0days im Jahr 2024 auf staatliche Akteure zurückführt.
Zeroday (auch 0day) bezeichnet besonders gefährliche Sicherheitslücken: Sie werden ausgenutzt, bevor der Hersteller des angegriffenen IT-Produkts überhaupt weiß, dass er ein Sicherheitsproblem hat. Entsprechend gibt es keine Updates, die das Loch stopfen sollen. Ein zweiter Vorteil für Angreifer ist, dass sie sich oft längerfristig beim Opfer einnisten können.
Daher sind Informationen über solche Lücken auf dem Schwarzmarkt viel Geld wert, was eine unappetitliche Branche an 0day-Anbietern gezeitigt hat. Sie leben offenbar überwiegend von Steuergeld und müssen sich daher kaum vor Strafverfolgung fürchten.
2024 hat die GTIG 75 aktiv ausgenutzte Zerodays aufgespürt. Das ist zwar weniger als die 98 des Jahres 2023, aber mehr als der Durchschnitt der fünf Jahre 2019 bis 2023 (63,6). Die Tendenz bleibt also steigend. Für 34 der 75 0days konnten Googles Experten 34 mit hoher Wahrscheinlichkeit die dahinter stehenden Organisationen ausfindig machen. Das geht aus dem am Dienstag veröffentlichten Jahresbericht hervor.
Er sagt, dass zehn der 34 direkt für staatliche Spionage eingesetzt wurden, davon die Hälfte durch die Volksrepublik China. Russland, Südkorea und drei weitere Geheimdienste unbekannter oder ungenannter Provenienz komplettieren diese zehn. Hinzu kommen fünf weitere 0days, die von Nordkorea eingesetzt wurden, wobei dort das Motiv Raub zumindest gleichwertig mit Spionagezielen einzustufen ist.
Weitere acht Zerodays konnte die GTIG auf kommerzielle Anbieter zurückführen, die laut eigenem Bekunden ausschließlich an Regierungen verkaufen. Macht in Summe 23 Zerodays, also mehr als zwei Drittel jener 34, deren Betreiber die GTIG ausfindig gemacht hat. Zusätzlich nennt sie zwei Fälle russischer Täter, die zwar selbst nicht staatlich sind und aus Habgier kriminell geworden sind, dabei aber auch Spionagetätigkeiten entfalten. Solche Täter können aus Russland ihr Unwesen in der Regel unbehelligt treiben, solange sie keine Ziele im Inland angreifen. Nur fünf der 34 zugeordneten 0days ordnet die GTIG nicht-staatlichen Verbrechern mit finanziellen Motiven zu, die restlichen vier sonstigen Tätern.
42, also gut die Hälfte der untersuchten erfolgreichen 0day-Angriffe 2024, gelangen bei IKT-Produkten, die von Verbrauchern alltäglich genutzt werden, insbesondere Microsoft Windows. Allerdings holen erfolgreiche 0days gegen gewöhnlichen von größeren Betrieben genutzte Anwendungen auf, wobei Einfallstore insbesondere in Netzwerken und ironischerweise bei Sicherheitssoftware genutzt wurden, speziell bei Ivanti Cloud Services Appliance, Palo Alto Networks PAN-OS, Cisco Adaptive Security Appliance und Ivanti Connect Secure VPN.
Gewiefte Angreifer können sogar mehrere 0days für einen Angriff kombinieren. Tatsächlich wird dieser Aufwand fast ausschließlich für Angriffe auf iOS und Android genutzt. Die GTIG deutet dies als Beweis dafür, dass diese Betriebssysteme besonders schwierig zu knacken seien.
Auf iOS gab es nur noch zwei erfolgreiche 0day-Angriffe (nach neun im Jahr 2023), auf Android wie gehabt sieben. Allerdings gelangen fünf davon durch Software anderer Anbieter, die auf den jeweiligen Android-Geräten installiert war, nicht durch direkte Angriffe auf das Betriebssystem selbst. Gute Nachrichten für Apple-Nutzer gibt es auch hinsichtlich Browsern: Nach elf 0days im Jahr 2023 hat die GTIG bei Safari 2024 nur noch drei ausgemacht.
(
Kommentare