Skip to main content
main-content

Über dieses Buch

Professionelle Hackerangriffe (sogenannte Advanced Persistent Threats) treffen heutzutage Regierungen, Unternehmen und sogar kritische Infrastrukturen wie Flughäfen oder Stromnetzbetreiber. Herauszufinden, welche Täter und Auftraggeber dahinter stecken, wird zunehmend wichtiger. 

Inhaltsverzeichnis

Frontmatter

Einführung

Frontmatter

1. Die Täter

Die meisten Opfer von Computerkriminalität machen die Erfahrung, dass die Suche nach den Tätern im Sand verläuft. Zu gut tarnen sich die Täter und verbergen sich in der Anonymität des Internets. Die zuständigen Polizeibehörden können meist nur Spuren bis zu Anonymisierungsdiensten oder gehackten Rechnern im Ausland zurückverfolgen. Wenn es sich um Kreditkartenbetrug oder gefälschte Online-Überweisungen handelt, übernimmt mit etwas Glück die Bank den Schaden aus Kulanz. Die Ermittlungen der Polizei werden aber oftmals erfolglos eingestellt. Es bleibt bei einem Eintrag in der polizeilichen Kriminalstatistik.Im starken Kontrast dazu stehen Aussagen von IT-Sicherheitsfirmen und staatlichen Stellen, wenn es sich um professionelle Computerangriffe, sogenannte Advanced Persistent Threats (APTs), handelt. So waren die Analysen des Bundesamts für Sicherheit in der Informationstechnik (BSI)OrganisationenBundesamt für Sicherheit in der Informationstechnik im Fall des BundestagshacksVorfälleBundestag von 2015 noch nicht abgeschlossen, als Medienberichte schon eine vermutlich russische Gruppe namens APT28GruppenAPT28 als Täter nannten. Der Präsident des Bundesamts für VerfassungsschutzOrganisationenBundesamt für Verfassungsschutz Hans-Georg Maaßen ließ sich später sogar mit der Feststellung zitieren, die Gruppe gehöre zum russischen Militärgeheimdienst GRUOrganisationenGRU.

Timo Steffens

2. Der Attributionsprozess

Während man im Bereich der Kriminalität von Ermittlungen spricht, ist der Begriff der Attribution für den Kontext von APTs, also staatlich gesteuerten Angriffen, reserviert. Wie bereits erwähnt schwingt hierbei eine selten explizit ausgesprochene, aber wichtige Prämisse mit: APT-Gruppen arbeiten entweder direkt in Behörden oder werden von diesen beauftragt. Daher hat sich auch der Begriff der nachrichtendienstlich gesteuerten Angriffe durchgesetzt, im englischen auch die Bezeichnung state-sponsored.

Timo Steffens

Methoden

Frontmatter

3. Analyse von Schadprogrammen

APT-Gruppen sind vor allem für ihre oft professionell entwickelten Schadprogramme bekannt. Diese spielen bei Angriffen in der Tat eine zentrale Rolle. Allerdings bergen sie auch eine Fülle von Informationen, die für die einzelnen Schritte der Attribution hilfreich sind. In diesem Kapitel wird daher betrachtet, wie Schadprogramme entwickelt und eingesetzt werden, und wie Analysten darin Hinweise auf die Täter finden. Der erste Abschnitt behandelt die Täterperspektive und stellt dessen Arbeitsumgebung und Abwägungen dar. Es wird dargestellt, welche Schadprogramme ein Angreifer für welchen Zweck benötigt und welche Auswahl und Entscheidungen er treffen kann. Soll er beispielsweise den Aufwand investieren, ein eigenes Framework zu entwickeln? Oder greift er stattdessen auf öffentlich verfügbare Werkzeuge zurück? Der Rest des Kapitels behandelt die Arbeit der Analysten. Ihre Datenquellen werden vorgestellt und diskutiert. Welchen Einfluss auf die Ergebnisse hat es, ob Schadprogramme aus öffentlichen Datenbanken wie VirusTotal, aus eigenen Telemetrie-Daten oder aus Einsätzen vor Ort untersucht werden? Die Spuren werden in Hinweise aus der Entwicklungsumgebung und aus funktionalen Aspekten untergliedert. An Beispielen werden unter anderem Sprachressourcen, Zeitstempel, Debug-Informationen, Krypto-Implementierungen und Code-Ähnlichkeiten behandelt.

Timo Steffens

4. Die Infrastruktur der Täter

Keine APT-Gruppe ist für die Struktur ihrer KontrollserverKontrollserver bekanntgeworden. Dies liegt unter anderem daran, dass sich diese nicht mit solch illustrativen Namen wie Spionageprogramme beschreinen lassen. Schließlich handelt es sich in der Regel um zu viele einzelne Adressen, manchmal Dutzende, manchmal mehrere Tausend IP-Adressen oder Domainnamen. Dennoch ist die Server-Infrastruktur, der sich die Täter bedienen, mindestens genauso charakteristisch wie ihre BackdoorsBackdoor und RATsRAT.

Timo Steffens

5. Untersuchung von Kontrollservern

Ein KontrollserverKontrollserver stellt für einen Täter eins seiner wichtigsten Werkzeuge dar. Über diesen verteilt er ExploitsExploit, steuert seine BackdoorsBackdoor und sammelt die gestohlenen Daten ein. Dadurch hinterlässt er aber zwangsläufig Spuren, die von Analysten ausgewertet werden können, wenn sie Zugriff auf einen Kontrollserver erhalten. In diesem Kapitel wird aus Täterperspektive zunächst dargestellt, welche Skripte und Programme auf einem Kontrollserver nützlich sind, um Angriffsoperationen durchzuführen und zu verwalten. Zudem wird erläutert, wie die Angreifer ihre Herkunft verschleiern, wenn sie auf die Server zugreifen, und welche Fehler dabei passieren. Der Hauptteil des Kapitels widmet sich den Möglichkeiten, die Analysten haben, wenn sie Zugriff auf einen Kontrollserver erlangen. Welche Chancen bietet das Mitschneiden von Netzwerkverkehr? Welche Hinweise findet man beim Auswerten der Festplatten von Kontrollservern? Und wie unterschieden sich diese Funden von denen, die man auf infizierten Endgeräten sammelt?

Timo Steffens

6. Geopolitische Analyse

Die Methode, die bei Analysten ein erstes Bauchgefühl hinsichtlich des Ursprungs von Angriffskampagnen erzeugt, ist überraschenderweise keine technische, sondern eine geopolitische. Das Cui bonoCui Bono, also die Frage, wem der Angriff nützt, wird häufig als erster Fingerzeig genutzt, um die Analyse zu treiben. In welcher Region befindet sich das Opfer? Wer hat dort welche Interessen? Welche politischen Konflikte herrschen dort? Zu welcher Branche gehört die betroffene Organisation und wer interessiert sich für Daten aus dieser Branche? Vielfach sind Cyber-Spionage-Angriffe auch gegen ethnische Minderheiten oder Oppositionelle gerichtet. Um diese Faktoren bewerten zu können, beschäftigen nicht wenige IT-Sicherheitsfirmen und Regierungsstellen Politikwissenschaftler und Länderexperten. In diesem Kapitel werden deren Methoden betrachtet, wie die Analyse von Aufgaben der verdächtigen Nachrichtendienste, die Untersuchung von wirtschaftlichen Interessen und die Erkenntnisse, die aus zwischenstaatlichen und innenpolitischen Konflikten gewonnen werden können. Was unterscheidet die russischen Nachrichtendienste FSB und GRU? Welche Folgen hat die Umorganisation der chinesischen Volksbefreiungsarmee? Was sind die Fünf Gifte und was bedeuten sie für APT-Angriffe?

Timo Steffens

7. Telemetrie – Daten von Sicherheitsunternehmen

Auf nahezu jedem Rechner weltweit ist ein Anti-Viren-Programm installiert. Wie nützlich wäre es für die Attribution, wenn man diese Programme verwenden könnte, um Daten über gefundene Schadprogramme und erkannte Angriffe abzufragen? Man erhielte einen Überblick darüber, in welchen Regionen und Branchen die Täter aktiv sind, welche Schadprogramme sie auf demselben Rechner einsetzen, und könnte sogar die entdeckten Spionageprogramme einsammeln und analysieren. Tatsächlich werden solche Daten bereits von vielen IT-Sicherheitsfirmen erhoben. Geläufig ist für diese Mechanismen der Begriff Telemetrie. Dieses Kapitel erläutert die so gewonnenen Daten und ihre Bedeutung für die Attribution. Welche Daten werden von den einzelnen Arten von Sicherheitsprodukten übermittelt? Und wie kann man aus diesen Informationen auf den Ursprung von Angriffen schließen?

Timo Steffens

8. Nachrichtendienstliche Methoden

Ein Großteil der öffentlich verfügbaren Informationen zu Attributionsmethoden und konkreten Fällen stammen aus Berichten von Sicherheitsfirmen. Wenn sich jedoch eine staatliche Stelle zum Ursprung eines APT-Angriffs äußert, erzeugt dies deutlich mehr Aufmerksamkeit. Die Attributionsaussagen eines Nachrichtendienstes werden in der öffentlichen Wahrnehmung als belastbarer und sicherer angesehen. Daher ist es ratsam zu betrachten, welche Methoden ihnen zur Verfügung stehen und ob diese ein vollständigeres Bild liefern können als diejenigen der Sicherheitsfirmen. In diesem Kapitel werden zu diesem Zweck öffentlich verfügbare Quellen genutzt, um einen Einblick in die Attributionsarbeit von Nachrichtendiensten zu gewinnen. Welche Möglichkeiten bieten geheimdienstliche Informanten? Wie können Nachrichtendienste den Internetverkehr auswerten, um Angriffsaktivität zu erkennen? Wie ist es der NSA gelungen, Hackern bei der Arbeit zuzusehen? Und wie schützen sich die Täter gegen Anwerbungsversuche und Abhörmaßnahmen? Schließlich werden die Möglichkeiten von IT-Sicherheitsfirmen und Nachrichtendiensten miteinander verglichen.

Timo Steffens

9. Personenbezogene Recherchen – Doxing

Die beeindruckendsten Attributions-Ergebnisse sind solche, die konkrete Personen identifizieren, im Idealfall mit ihren Klarnamen und sogar Fotos. Objektiv betrachtet sind die konkreten Individuen hinter den Spionageangriffen meist weniger relevant als die Organisation, für die sie arbeiten. Dennoch werden zumindest auf intuitiver Ebene die Hintergründe deutlich greifbarer, wenn hinter einer APT-Kampagne echte Menschen wie ,UglyGorilla‘ zum Vorschein kommen und nicht nur eine gesichtslose Organisation wie die dritte Abteilung der chinesischen VolksbefreiungsarmeeOrganisationen3PLA.Eine wichtige Technik zum Ermitteln von Personen ist das sogenannte DoxingDoxing, also das Recherchieren von personenbezogenen Daten in öffentlichen Quellen. In diesem Kapitel wird erläutert, warum Doxing möglich ist und wie Analysten vorgehen, um die Identität von Tätern aufzudecken.

Timo Steffens

10. Falsche Fährten

Die größte Herausforderung für die Attribution sind absichtlich gelegte falsche Fährten. Dabei sind es nicht unbedingt die tatsächlich existierenden Winkelzüge der Täter, die Analysten das Leben schwermachen. Stattdessen ist allein die abstrakte Möglichkeit, dass ein Hinweis nicht auf einem tatsächlichen Fehler der Täter beruht, sondern absichtlich hinterlassen wurde, um den Verdacht auf einen anderen Akteur zu lenken, die größte Achillesferse für jedes Attributionsergebnis. Angesichts der Tatsache, dass Cyberspionage vor allem durch Nachrichtendienste erfolgt, sind solche Manöver sogar sehr wahrscheinlich, schließlich basiert Spionage und Gegenspionage in der physischen Welt seit Jahrhunderten auf solchen Methoden der Verschleierung und Täuschung.In diesem Kapitel werden zum einen Beispiele falscher Fährten aus echten Fällen erläutert, und zum anderen Methoden beschrieben, um die Fallen der Täter zu erkennen und zu umgehen. Dabei wird betrachtet, welche Spuren leicht zu fälschen sind, und wie sich aus der Kombination mehrerer Aspekte ein Gesamt-Bild ergibt, in dem Fälschungen mit einer gewissen Wahrscheinlichkeit auffallen. Angelehnt an die nachrichtendienstliche Methode der Analysis of Competing Hypotheses wird eine schrittweise Untersuchungsmethode vorgestellt, die das Erkennen von falschen Spuren unterstützen kann.

Timo Steffens

Strategie

Frontmatter

11. Kommunikation der Ergebnisse

Attribution ist kein Selbstzweck, sondern verfolgt in der Regel Ziele. Dies kann etwa das Ausüben von diplomatischem Druck auf den Urheber sein, die Aufklärung der Öffentlichkeit über Beeinflussungsversuche oder im Idealfall die Verurteilung von Tätern. In all diesen Fällen ist es unerlässlich, dass die Attributionsaussage und die Analyse nachvollziehbar und überzeugend sind. Daher muss die Darstellung der Ergebnisse eine Reihe von Anforderungen erfüllen. In diesem Kapitel wird betrachtet, welche Anforderungen dies sind, und wie die verschiedenen Stellen, die Attribution betreiben, diese umsetzen können. Entscheidend ist dabei der Zweck der Veröffentlichung. Sollen potentielle Opfer in die Lage versetzt werden, sich besser gegen eine bestimmte Gruppe schützen zu können? Soll die Öffentlichkeit informiert und überzeugt werden, oder handelt es sich eher um ein Signal an die Auftraggeber der Angriffe? Oder müssen die Beweise sogar für ein Gerichtsverfahren geeignet sein? Es wird erläutert, worauf die Glaubwürdigkeit einer Attributionsaussage beruht, wie der Analyse-Prozess transparent wird und wie die Analysten ihre Kompetenz und Seriösität untermauern können.

Timo Steffens

12. Die Ethik der Attribution

Eine öffentliche Attributionsaussage ist immer auch eine Anschuldigung an einen Staat, eine Organisation oder eine Person. Häufig geht damit die Aufdeckung einer APT-Kampagne einher. Dabei kann es sich um Operationen handeln, deren Ziel das Stehlen von Regierungsdokumenten oder Geschäftsgeheimnissen ist. In anderen Fällen werden Oppositionelle oder Journalisten ausgespäht. Manche Kampagnen richten sich aber auch gegen Terroristen, Waffenschmuggler oder die Proliferation von illegalen Substanzen. In jedem dieser Szenarien stellen sich demjenigen, der diese Operationen aufdecken möchte, auch ethische Fragen.Für diese Fragen gibt es keine allgemeinen Antworten oder Lösungen. In diesem Kapitel werden die verschiedenen Aspekte diskutiert, die Analysten bei ihrer Arbeit zu bedenken haben.

Timo Steffens

13. Fazit

In diesem Buch wurde der Gesamtprozess der Attribution in die verschiedenen Aspekte wie Schadprogramme, Infrastruktur oder Geopolitik aufgegliedert, und diese in einzelnen Kapiteln behandelt. Diese Vorgehensweise kann dazu verleiten, die Komplexität derartiger Untersuchungen zu unterschätzen. Es könnte der Eindruck entstehen, Attribution sei wie ein Projekt durchführbar, mit Arbeitspaketen und Meilensteinen, an dessen Ende die Täter überführt werden. Dies ist allerdings nicht der Fall. Beim Beginn einer Untersuchung ist nicht abzuschätzen, ob am Ende genügend belastbare Hinweise auf ein Land, eine Person oder eine Organisation gefunden werden können. Zudem hängen die verschiedenen Aspekte nicht sequentiell voneinander ab, sondern führen immer wieder zu Schleifen. So können neue Samples weitere C&C-Domains liefern, die über Infrastruktur-Analyse auf weitere KontrollserverKontrollserver hindeuten, die wiederum neue Samples zum Intrusion Set hinzufügen.

Timo Steffens

Backmatter

Weitere Informationen

Premium Partner

Neuer Inhalt

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Product Lifecycle Management im Konzernumfeld – Herausforderungen, Lösungsansätze und Handlungsempfehlungen

Für produzierende Unternehmen hat sich Product Lifecycle Management in den letzten Jahrzehnten in wachsendem Maße zu einem strategisch wichtigen Ansatz entwickelt. Forciert durch steigende Effektivitäts- und Effizienzanforderungen stellen viele Unternehmen ihre Product Lifecycle Management-Prozesse und -Informationssysteme auf den Prüfstand. Der vorliegende Beitrag beschreibt entlang eines etablierten Analyseframeworks Herausforderungen und Lösungsansätze im Product Lifecycle Management im Konzernumfeld.
Jetzt gratis downloaden!

Bildnachweise