Was ist ein Man-in-the-Middle-Angriff?

Bei einer Man-in-the-Middle-Attacke (MitM) hackt sich sich der Angreifer in einen Kommunikationskanal zwischen verschiedenen Ressourcen eines Netzwerks. Das können reale Nutzerinnen und Nutzer aber auch IT-Systeme sein wie beispielsweise eine Datenbank. Die Kontrolle über den Datenverkehr erlangt der Hacker, indem er jeder Kommunikationsseite vorgaukelt, der richtige Partner am anderen Ende der Leitung zu sein. Von dieser Position aus kann der Angreifer den Datenverkehr abfangen, um Informationen zu stehlen oder zu manipulieren. Dadurch können sensible Daten wie Passwörter und TANs in die Hände von Cyberkriminellen gelangen.

Diese Angriffsmethode ist nicht neu. IT-Sicherheitsspezialisten versuchen bereits seit den frühen 1980er Jahren Mittel dagegen zu finden. Im Vergleich zu damals gehen MitM-Angreifer heute jedoch raffinierter vor. Sie können mittlerweile auch vermeintlich sichere SSL-Verschlüsselungen umgehen (SSL = Secure Sockets Layer, ein Protokoll, das sich zwischen den Webserver und den Client schaltet, um die Datenübertragung zu verschlüsseln.) Bei einem erfolgreichen Angriff leiten die Hacker den Datenverkehr entweder auf Phishing-Seiten oder das beabsichtigte Ziel um.

Beispiele für Man-in-the-Middle-Angriffe

MitM umfasst eine breite Palette von Techniken, die vom jeweiligen Ziel der Hacker abhängen. Beim SSL-Stripping beispielsweise stellen die Angreifer eine HTTPS-Verbindung zwischen sich und dem anvisierten Server her, verwenden aber eine ungesicherte HTTP-Verbindung mit dem Opfer, was bedeutet, dass die Informationen unverschlüsselt im Klartext gesendet werden. Evil-Twin-Angreifer legen legitim wirkende Wi-Fi-Zugangspunkte als Köder aus.Diese werden aber vollständig von böswilligen Akteuren kontrolliert, die nun alle vom Benutzer gesendeten Informationen einsammeln oder manipulieren können.

Zum Teil könnten MitM-Angreifer können erheblichen Schaden anrichten, warnt Zeki Turedi, Technology Strategist, EMEA bei CrowdStrike. In einem Bankenszenario könnte ein Angreifer zum Beispiel sehen, dass ein Benutzer eine Überweisung tätigt und die Zielkontonummer oder den zu überweisenden Betrag ändern. Zudem können Kriminelle erkennen, dass Anwendungen heruntergeladen oder aktualisiert werden. Das ermöglicht es ihnen anstelle der legitimen Updates kompromittierte Updates zu senden und Malware zu installieren.

Das EvilGrade-Exploit wurde speziell für schlecht gesicherte Updates entwickelt. Da der Datenverkehr oft nicht verschlüsselt wird, sind mobile Geräte besonders anfällig für dieses Szenario.

"Diese Angriffe können leicht automatisiert werden", betont Johannes Ullrich, Forschungsdekan am SANS Technology Institute. "Es gibt bösartige Tools , die automatisch nach Passwörtern suchen und sie in eine Datei schreiben, sobald sie eines sehen. Oder sie warten auf bestimmte Anfragen, zum Beispiel für Downloads, und senden Malware zurück."

Während sich die Hacker für Angriffe auf Wi-Fi- oder physische Netzwerkein der Nähe ihrer Opfer oder Zielnetzwerke aufhalten müssen, sei es auch möglich, Routing-Protokolle aus der Ferne zu kompromittieren, so Ulrich. "Das ist ein schwierigerer und ausgefeilterer Angriff". Kriminelle könnten sich als legitime Verantwortliche für diese IP-Adressen ausgeben. "Dann leitet das Internet diese IP-Adressen an den Angreifer weiter, und dieser kann nun wiederum Man-in-the-Middle-Angriffe starten."

Angreifer könnten auch die DNS-Einstellungen für eine bestimmte Domain ändern [bekannt als DNS-Spoofing]", so Ullrich weiter. "Wenn Sie also eine bestimmte Website besuchen, verbinden Sie sich mit der falschen IP-Adresse, die der Angreifer angegeben hat, und der Angreifer kann wiederum einen Man-in-the-Middle-Angriff starten."

Während die meisten MitM-Attacken über kabelgebundene Netzwerke oder Wi-Fi erfolgen, sei es ebenfalls möglich, gefakte Mobilfunktürme zu nutzen. Strafverfolgungsbehörden in den USA, Kanada und dem Vereinigten Königreich haben so genannte Stingrays eingesetzt, um massenhaft Informationen für ihre Ermittlungen zu sammeln. Stingray-Geräte sind aber auch im Dark Web erhältlich.

Forscher der Technischen Universität Berlin, der ETH Zürich und von SINTEF Digital in Norwegen haben Schwachstellen in den Authentifizierungs- und Schlüsselvereinbarungsprotokollen (AKA) entdeckt, die in 3G- und 4G-Mobilfunktechnologien verwendet werden. Diese Sicherheitslücken sollen MitM-Angriffe ermöglichen. Auch die 5G-Mobilfunktechnologien kann davon betroffen sein.

Im Rahmen der Black Hat 2022 entdeckten die Sicherheitsforscher von Nozomi Networks eine Schwachstelle, die sich auf Ultra-Wideband (UWB) Real-Time Locating Systems (RTLS = Echtzeit-Lokalisierungssystem) auswirken und Man-in-the-Middel-Angriffe ermöglichen kann. Die RTLS-Technologie wird häufig in der Industrie, im Gesundheitswesen und in Smart-City-Anwendungen eingesetzt. Die Hauptaufgabe besteht darin, die Sicherheit zu unterstützen, indem Geofencing-Zonen mithilfe von Tracking-Tags, Signalempfangsankern und einem zentralen Verarbeitungssystem definiert werden.

Wie die Forscher erklären, könnte ein Angreifer zum Beispiel Standortdaten manipulieren, um anzuzeigen, dass sich ein Arbeiter in einer bestimmten Geofencing-Zone befindet, um eine gesamte Produktionslinie herunterzufahren, selbst wenn niemand in der Nähe sei.

Schutz vor Man-in-the-Middle-Angriffen

Verschlüsselungsprotokolle wie TLS sind der beste Schutz gegen MitM-Angriffe. Die neueste Version von TLS wurde im August 2018 zum offiziellen Standard. Es gibt auch andere wie SSH oder neuere Protokolle wie QUIC von Google.

Wenn sie irgendwann kommerziell nutzbar wird, könnte die Quantenkryptografie einen robusten Schutz gegen MitM-Angriffe bieten. Die Theorie beruht darauf, dass es unmöglich ist, Quantendaten zu kopieren, und dass sie nicht beobachtet werden können, ohne ihren Zustand zu verändern. Damit würde sofort sichtbar, wenn ein Datenverkehr unterwegs gestört wurde.

Ermahnen Sie Ihre Mitarbeiter, nach Möglichkeit kein öffentliches Wi-Fi oder Wi-Fi-Angebote an öffentlichen Orten zu nutzen, da diese viel leichter zu fälschen sind als Handy-Verbindungen. Weiterhin sollten Sie darauf hinweisen, Browser-Warnungen zu beachten, dass Websites oder Verbindungen möglicherweise nicht legitim sind. Verwenden Sie VPNs, um sichere Verbindungen zu gewährleisten.

"Zu den besten Schutzmethoden gehören die Multi-Faktor-Authentifizierung, die Maximierung der Netzwerkkontrolle und -sichtbarkeit sowie die Segmentierung Ihres Netzwerks", erläutert Alex Hinchliffe, Threat Intelligence Analyst bei Unit 42, Palo Alto Networks.

Vorbeugung sei immer besser als der Versuch, nach einem gelungenen Angriff den Schaden aufräumen zu müssen, insbesondere bei einem Angriff, der so schwer zu identifizieren ist, warnt Turedi von Crowdstrike. "Diese Angriffe sind von Grund auf heimtückisch und für die meisten herkömmlichen Sicherheitsanwendungen nur schwer zu erkennen."

Wie häufig sind Man-in-the-Middle-Angriffe?

Hinchliffe schätzt, dass MitM-Angriffe nicht so weit verbreitet sind. Viele der gleichen Ziele wie das Ausspionieren von Daten/Kommunikation oder das Umleiten von Datenverkehr ließen sich auch mit Malware erreichen, die auf dem System des Opfers installiert ist. "Wenn es einfachere Möglichkeiten gibt, Angriffe auszuführen, wählen die Angreifer oft den leichten Weg", so der Analyst von Palo Alto Networks.

Ein bemerkenswertes MitM-Beispiel aus jüngster Zeit war eine Gruppe russischer Agenten des Militärgeheindienstes GRU, die versuchte, sich mit einem Wi-Fi-Spoofing-Gerät in das Büro der Organisation für das Verbot chemischer Waffen (OPCW) in Den Haag zu hacken.

Die zunehmende Verbreitung von HTTPS und mehr Warnungsfunktionen im Browser haben die potenzielle Bedrohung durch einige MitM-Angriffe verringert. Google meldet, dass in einigen Ländern inzwischen über 90 Prozent des Datenverkehrs verschlüsselt ist. Wichtige Browser wie Chrome und Firefox warnen Nutzer auch, wenn sie durch MitM-Angriffe gefährdet sind. "Mit der zunehmenden Verbreitung von SSL und der Einführung moderner Browser wie Google Chrome haben MitM-Angriffe auf öffentliche WiFi-Hotspots an Popularität verloren", sagt Turedi von CrowdStrike.

"Heute werden MitM-Prinzipien häufig für hochentwickelte Angriffe verwendet", fügt Turedi hinzu. Der Experte verweist darauf, dass kürzlich im Open-Source-Umfeld Malware beobachtet wurde, die auf das SWIFT-Netzwerk eines großen Finanzunternehmens abzielte und dabei eine MitM-Technik verwendete. Ziel der Angreifer sei es gewesen, einen falschen Kontostand vorzutäuschen und so unentdeckt zu bleiben, während Gelder auf das Konto der Cyberkriminellen verschoben wurden.

Das Beispiel zeigt, dass die Gefahr durch MitM-Angriffe nach wie vor groß ist. So leitet beispielsweise der Banking-Trojaner Retefe den Datenverkehr von Bankdomänen über vom Angreifer kontrollierte Server um, entschlüsselt und verändert Anfragen, bevor er die Daten erneut verschlüsselt und an die Bank weiterleitet. Eine kürzlich entdeckte Schwachstelle im TLS-Protokoll - auch in der neuesten Version 1.3 - ermöglicht es Angreifern, den RSA-Schlüsselaustausch zu knacken und Daten abzufangen.

Die zunehmende Verbreitung von IoT-Geräten kann aufgrund der mangelnden Sicherheitsvorkehrungen auch die Häufigkeit von Man-in-the-Middle-Angriffen erhöhen. CSO hat bereits über die Möglichkeit berichtet, dass Angriffe im Stil von MitM auf IoT-Geräte ausgeführt werden. Angreifer senden entweder falsche Informationen an das Unternehmen oder falsche Anweisungen an die Geräte zurück.

"IoT-Geräte sind tendenziell anfälliger für Angriffe, weil sie viele der Standardmaßnahmen gegen MitM-Angriffe nicht implementieren", sagt Ullrich. "Viele IoT-Geräte verwenden noch kein TLS oder nutzen ältere Versionen, die nicht so robust sind wie die neueste Version."

Eine Umfrage von Ponemon Institute und OpenSky ergab, dass 61 Prozent der Sicherheitsexperten in den USA sagen, dass sie die Verbreitung von IoT- und IIoT-Geräten in ihren Unternehmen nicht kontrollieren können.Sechs von zehn Befragten gaben zu, dass sie nicht in der Lage sind, Sicherheitslücken und Datenverletzungen im Zusammenhang mit IoT und IIoT zu vermeiden.

"Bei den mobilen Anwendungen und IoT-Geräten ist niemand in der Nähe, und das ist ein Problem. Einige dieser Anwendungen ignorieren diese Fehler und stellen trotzdem eine Verbindung her, und das macht den Zweck von TLS zunichte", fasst Ullrich zusammen. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.