Web3-IPFS
Angreifer setzen zunehmend auf Web3-IPFS-Technologie
Im Jahr 2022 beobachteten die Cyber-Analysten von Palo Alto Networks /Unit 42 , dass das InterPlanetary File System (auch bekannt als IPFS) in großem Umfang für kriminelle Zwecke genutzt wird. IPFS ist eine Web3-Technologie, die die Speicherung von Dateien und anderen Daten in einem Peer-to-Peer-Netzwerk dezentralisiert und verteilt. Wie jede Technologie kann auch IPFS von Cyberkriminellen missbraucht werden. Da die auf IPFS gehosteten Inhalte jedoch dezentralisiert und verteilt sind, ist es schwierig, gefährliche Inhalte zu finden und aus dem Ökosystem zu entfernen.
Was sind Web3 und IPFS?
IPFS ist eine der Technologien, die Web3-Infrastrukturen unterstützen. Web3 – oder die dritte Iteration des Webs – ist eine neue Version des Internets, bei der die Dezentralisierung mithilfe von Blockchain-Technologie und Token im Vordergrund steht. Mit Web3 können Nutzer ihre Daten vor Zensur und Manipulation schützen, ohne eine zentrale Autorität zu benötigen. Diese Dezentralisierung ermöglicht es Einzelpersonen, Eigentum und Kontrolle über ihre eigenen Inhalte zu haben, die sie veröffentlichen können, ohne befürchten zu müssen, dass Regierungen oder Technologieunternehmen sie entfernen. Cyberkriminelle können sich diese Vorteile jedoch auch für ihre Aktivitäten zunutze machen.
IPFS ist ein verteiltes Dateifreigabesystem, veröffentlicht im Jahr 2015. Es ist offen und verwendet ein Peer-to-Peer-Hypermedia-Protokoll, um das Internet schneller, sicherer und offener zu machen. Anders als das herkömmliche Web ist IPFS inhaltsorientiert und sucht über ein dezentrales Netzwerk nach Inhaltskennungen in Form von Hashes und nicht nach bestimmten Orten. Der Zugriff auf IPFS-Inhalte kann durch die Einrichtung eines eigenen Knotens im IPFS-Netz oder über IPFS-Gateways erfolgen, bei denen es sich um webbasierte Schnittstellen von Drittanbietern zwischen dem Web und dem IPFS-Netz handelt. Diese Gateways ermöglichen es Benutzern, Inhalte über HTTP-Requests anzuzeigen und abzurufen, aber sie können die Inhalte nicht ändern oder ergänzen.
Zunahme des IPFS-bezogenen Datenverkehrs
Vom letzten Quartal 2021 bis zum Ende des letzten Quartals 2022 stellte Palo Alto Networks einen Anstieg des IPFS-bezogenen Datenverkehrs um 893 Prozent fest. Dieser Anstieg des IPFS-Verkehrs ist erwartungsgemäß mit einem bemerkenswerten Anstieg krimineller Aktivitäten verbunden. Die Analysten von Unit 42 beobachteten im Jahr 2022 zahlreiche Bedrohungskampagnen, die das gesamte Spektrum von Phishing, Diebstahl von Zugangsdaten, Command-and-Control-Kommunikation (C2) über die Verbreitung von bösartigen Nutzdaten bis hin zu allgemeiner Systemübernahme abdeckten.
Unit 42 von Palo Alto Networks hat Angreifer identifiziert, die in Foren im Dark Web über den Einsatz der Technologie diskutieren, und Cyberkriminelle, die auf IPFS gehostete Dienste verkaufen. Die Akteure werben häufig für ihre Betrugsdienste und führen eine Reihe von Verkaufsargumenten an, darunter, dass Websites „lange Zeit nicht online waren“ und dass ihr „Link keine Ausfallzeiten hat“. Das bedeutet, dass IPFS ihnen Schutz und Langlebigkeit für ihre Kampagnen bietet.
Phishing
Bei IPFS war unter anderem ein exponentieller Anstieg des Phishing-bezogenen Netzwerkverkehrs zu verzeichnen, insbesondere im letzten Quartal vergangenen Jahres. Im Gegensatz zu herkömmlichen Phishing-Seiten, die im Internet gehostet werden, kann ein Hosting-Anbieter oder eine moderierende Partei IPFS-Phishing-Inhalte nicht einfach entfernen. Sobald die Inhalte im IPFS-Netzwerk veröffentlicht sind, kann jeder sie abrufen und auf seinem eigenen Knotenpunkt erneut veröffentlichen. Phishing-Inhalte können auf mehreren Knoten gehostet werden, und bei jedem Host müsste die Entfernung der Inhalte beantragt werden. Sollte einer der Hosts der Entfernung nicht zustimmen, wäre es praktisch unmöglich, die Inhalte zu entfernen.
Phishing-Kampagnen haben in der Regel jedoch eine kürzere Verweildauer als andere Arten von Cyberkriminalität, da die Inhalte von Website-Eigentümern, Hosting-Anbietern oder Moderatoren entfernt oder gesperrt werden. Die Struktur von IPFS ermöglicht es Kriminellen, ihre Kampagne zu verlängern, indem sie sie widerstandsfähiger gegen die Entfernung von Inhalten machen. IPFS-Phishing-Kampagnen ähneln denen des herkömmlichen Phishings, bei denen Angreifer legitime Dienste und Software wie DHL, DocuSign und Adobe imitieren, um die Wahrscheinlichkeit zu erhöhen, dass sie im Posteingang eines gutgläubigen Adressaten landen. Die Fähigkeit, diese Köder zu blockieren, hängt davon ab, welche E-Mail-Sicherheitsvorkehrungen das empfangende Unternehmen getroffen hat. Während einige Unternehmen sehr strenge Regeln in ihren sicheren E-Mail-Gateways und anderen Sicherheitsprodukten festlegen, verzichten andere darauf, weil sie befürchten, dass legitime E-Mails davon betroffen sein könnten.
Schlussfolgerung von Palo Alto Networks
Die zunehmende Nutzung von IPFS durch Cyberkriminelle ist ein sich verschärfendes Problem. Als dezentralisierte und verteilte Speichertechnologie bringt IPFS besondere Herausforderungen beim Auffinden und Entfernen bösartiger Inhalte aus dem Ökosystem mit sich. Es ist wichtig zu beachten, dass es keine einheitliche Lösung für die Entfernung gefährlicher Inhalte aus IPFS-Netzwerken gibt. Je nach den spezifischen Umständen und der Beteiligung der Eigentümer der dezentralen Netzwerke, in denen die Inhalte letztlich gehostet werden, können verschiedene Ansätze mehr oder weniger effektiv sein.
Der erhebliche Anstieg des IPFS-bezogenen Datenverkehrs, den Palo Alto Networks im Jahr 2022 beobachtet hat, untermauert durch Daten von VirusTotal, verdeutlichen die wachsende Beliebtheit dieser Technologie bei Cyberkriminellen. Die von den Analysten von Unit 42 beobachteten Bedrohungskampagnen zeigen die Vielseitigkeit von IPFS bei der Durchführung verschiedener krimineller Aktivitäten. Hierzu zählen Phishing, Diebstahl von Zugangsdaten, C2-Kommunikation und Verteilung von Nutzdaten.
Die missbräuchliche Nutzung von IPFS sowie der Verkauf von Diensten, die auf IPFS gehostet werden, unterstreicht die Notwendigkeit ständiger Wachsamkeit und proaktiver Maßnahmen zur Erkennung und Eindämmung von Bedrohungen auf dieser Plattform. Es ist unerlässlich, dass die Cybersicherheitscommunity wachsam bleibt und proaktive Maßnahmen ergreift, um den sich entwickelnden Bedrohungen bei IPFS und anderen neuen Technologien einen Schritt voraus zu sein.