Auf der Spur der Hacker

Die meisten Opfer von Computerkriminalität machen die Erfahrung, dass die Suche nach den Tätern im Sand verläuft. Zu gut tarnen sich die Täter und verbergen sich in der Anonymität des Internets. Die zuständigen Polizeibehörden können meist nur Spuren bis zu Anonymisierungsdiensten oder gehackten Rechnern im Ausland zurückverfolgen. Wenn es sich um Kreditkartenbetrug oder gefälschte Online-Überweisungen handelt, übernimmt mit etwas Glück die Bank den Schaden aus Kulanz. Die Ermittlungen der Polizei werden aber oftmals erfolglos eingestellt. Es bleibt bei einem Eintrag in der polizeilichen Kriminalstatistik.

Im starken Kontrast dazu stehen Aussagen von IT-Sicherheitsfirmen und staatlichen Stellen, wenn es sich um professionelle Computerangriffe, sogenannte Advanced Persistent Threats (APTs), handelt. So waren die Analysen des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Fall des Bundestagshacks von 2015 noch nicht abgeschlossen, als Medienberichte schon eine vermutlich russische Gruppe namens APT28 als Täter nannten. Der Präsident des Bundesamts für Verfassungsschutz Hans-Georg Maaßen ließ sich später sogar mit der Feststellung zitieren, die Gruppe gehöre zum russischen Militärgeheimdienst GRU.

Während man im Bereich der Kriminalität von Ermittlungen spricht, ist der Begriff der Attribution für den Kontext von APTs, also staatlich gesteuerten Angriffen, reserviert. Wie bereits erwähnt schwingt hierbei eine selten explizit ausgesprochene, aber wichtige Prämisse mit: APT-Gruppen arbeiten entweder direkt in Behörden oder werden von diesen beauftragt. Daher hat sich auch der Begriff der nachrichtendienstlich gesteuerten Angriffe durchgesetzt, im englischen auch die Bezeichnung state-sponsored.

APT-Gruppen sind vor allem für ihre oft professionell entwickelten Schadprogramme bekannt. Diese spielen bei Angriffen in der Tat eine zentrale Rolle. Allerdings bergen sie auch eine Fülle von Informationen, die für die einzelnen Schritte der Attribution hilfreich sind. In diesem Kapitel wird daher betrachtet, wie Schadprogramme entwickelt und eingesetzt werden, und wie Analysten darin Hinweise auf die Täter finden. Der erste Abschnitt behandelt die Täterperspektive und stellt dessen Arbeitsumgebung und Abwägungen dar. Es wird dargestellt, welche Schadprogramme ein Angreifer für welchen Zweck benötigt und welche Auswahl und Entscheidungen er treffen kann. Soll er beispielsweise den Aufwand investieren, ein eigenes Framework zu entwickeln? Oder greift er stattdessen auf öffentlich verfügbare Werkzeuge zurück? Der Rest des Kapitels behandelt die Arbeit der Analysten. Ihre Datenquellen werden vorgestellt und diskutiert. Welchen Einfluss auf die Ergebnisse hat es, ob Schadprogramme aus öffentlichen Datenbanken wie VirusTotal, aus eigenen Telemetrie-Daten oder aus Einsätzen vor Ort untersucht werden? Die Spuren werden in Hinweise aus der Entwicklungsumgebung und aus funktionalen Aspekten untergliedert. An Beispielen werden unter anderem Sprachressourcen, Zeitstempel, Debug-Informationen, Krypto-Implementierungen und Code-Ähnlichkeiten behandelt.

Keine APT-Gruppe ist für die Struktur ihrer Kontrollserver bekanntgeworden. Dies liegt unter anderem daran, dass sich diese nicht mit solch illustrativen Namen wie Spionageprogramme beschreinen lassen. Schließlich handelt es sich in der Regel um zu viele einzelne Adressen, manchmal Dutzende, manchmal mehrere Tausend IP-Adressen oder Domainnamen. Dennoch ist die Server-Infrastruktur, der sich die Täter bedienen, mindestens genauso charakteristisch wie ihre Backdoors und RATs.

Ein Kontrollserver stellt für einen Täter eins seiner wichtigsten Werkzeuge dar. Über diesen verteilt er Exploits, steuert seine Backdoors und sammelt die gestohlenen Daten ein. Dadurch hinterlässt er aber zwangsläufig Spuren, die von Analysten ausgewertet werden können, wenn sie Zugriff auf einen Kontrollserver erhalten. In diesem Kapitel wird aus Täterperspektive zunächst dargestellt, welche Skripte und Programme auf einem Kontrollserver nützlich sind, um Angriffsoperationen durchzuführen und zu verwalten. Zudem wird erläutert, wie die Angreifer ihre Herkunft verschleiern, wenn sie auf die Server zugreifen, und welche Fehler dabei passieren. Der Hauptteil des Kapitels widmet sich den Möglichkeiten, die Analysten haben, wenn sie Zugriff auf einen Kontrollserver erlangen. Welche Chancen bietet das Mitschneiden von Netzwerkverkehr? Welche Hinweise findet man beim Auswerten der Festplatten von Kontrollservern? Und wie unterschieden sich diese Funden von denen, die man auf infizierten Endgeräten sammelt?

Die Methode, die bei Analysten ein erstes Bauchgefühl hinsichtlich des Ursprungs von Angriffskampagnen erzeugt, ist überraschenderweise keine technische, sondern eine geopolitische. Das Cui bono , also die Frage, wem der Angriff nützt, wird häufig als erster Fingerzeig genutzt, um die Analyse zu treiben. In welcher Region befindet sich das Opfer? Wer hat dort welche Interessen? Welche politischen Konflikte herrschen dort? Zu welcher Branche gehört die betroffene Organisation und wer interessiert sich für Daten aus dieser Branche? Vielfach sind Cyber-Spionage-Angriffe auch gegen ethnische Minderheiten oder Oppositionelle gerichtet. Um diese Faktoren bewerten zu können, beschäftigen nicht wenige IT-Sicherheitsfirmen und Regierungsstellen Politikwissenschaftler und Länderexperten. In diesem Kapitel werden deren Methoden betrachtet, wie die Analyse von Aufgaben der verdächtigen Nachrichtendienste, die Untersuchung von wirtschaftlichen Interessen und die Erkenntnisse, die aus zwischenstaatlichen und innenpolitischen Konflikten gewonnen werden können. Was unterscheidet die russischen Nachrichtendienste FSB und GRU? Welche Folgen hat die Umorganisation der chinesischen Volksbefreiungsarmee? Was sind die Fünf Gifte und was bedeuten sie für APT-Angriffe?

Ein Großteil der öffentlich verfügbaren Informationen zu Attributionsmethoden und konkreten Fällen stammen aus Berichten von Sicherheitsfirmen. Wenn sich jedoch eine staatliche Stelle zum Ursprung eines APT-Angriffs äußert, erzeugt dies deutlich mehr Aufmerksamkeit. Die Attributionsaussagen eines Nachrichtendienstes werden in der öffentlichen Wahrnehmung als belastbarer und sicherer angesehen. Daher ist es ratsam zu betrachten, welche Methoden ihnen zur Verfügung stehen und ob diese ein vollständigeres Bild liefern können als diejenigen der Sicherheitsfirmen. In diesem Kapitel werden zu diesem Zweck öffentlich verfügbare Quellen genutzt, um einen Einblick in die Attributionsarbeit von Nachrichtendiensten zu gewinnen. Welche Möglichkeiten bieten geheimdienstliche Informanten? Wie können Nachrichtendienste den Internetverkehr auswerten, um Angriffsaktivität zu erkennen? Wie ist es der NSA gelungen, Hackern bei der Arbeit zuzusehen? Und wie schützen sich die Täter gegen Anwerbungsversuche und Abhörmaßnahmen? Schließlich werden die Möglichkeiten von IT-Sicherheitsfirmen und Nachrichtendiensten miteinander verglichen.

Die beeindruckendsten Attributions-Ergebnisse sind solche, die konkrete Personen identifizieren, im Idealfall mit ihren Klarnamen und sogar Fotos. Objektiv betrachtet sind die konkreten Individuen hinter den Spionageangriffen meist weniger relevant als die Organisation, für die sie arbeiten. Dennoch werden zumindest auf intuitiver Ebene die Hintergründe deutlich greifbarer, wenn hinter einer APT-Kampagne echte Menschen wie ,UglyGorilla‘ zum Vorschein kommen und nicht nur eine gesichtslose Organisation wie die dritte Abteilung der chinesischen Volksbefreiungsarmee.

Eine wichtige Technik zum Ermitteln von Personen ist das sogenannte Doxing , also das Recherchieren von personenbezogenen Daten in öffentlichen Quellen. In diesem Kapitel wird erläutert, warum Doxing möglich ist und wie Analysten vorgehen, um die Identität von Tätern aufzudecken.

Die größte Herausforderung für die Attribution sind absichtlich gelegte falsche Fährten. Dabei sind es nicht unbedingt die tatsächlich existierenden Winkelzüge der Täter, die Analysten das Leben schwermachen. Stattdessen ist allein die abstrakte Möglichkeit, dass ein Hinweis nicht auf einem tatsächlichen Fehler der Täter beruht, sondern absichtlich hinterlassen wurde, um den Verdacht auf einen anderen Akteur zu lenken, die größte Achillesferse für jedes Attributionsergebnis. Angesichts der Tatsache, dass Cyberspionage vor allem durch Nachrichtendienste erfolgt, sind solche Manöver sogar sehr wahrscheinlich, schließlich basiert Spionage und Gegenspionage in der physischen Welt seit Jahrhunderten auf solchen Methoden der Verschleierung und Täuschung.

In diesem Kapitel werden zum einen Beispiele falscher Fährten aus echten Fällen erläutert, und zum anderen Methoden beschrieben, um die Fallen der Täter zu erkennen und zu umgehen. Dabei wird betrachtet, welche Spuren leicht zu fälschen sind, und wie sich aus der Kombination mehrerer Aspekte ein Gesamt-Bild ergibt, in dem Fälschungen mit einer gewissen Wahrscheinlichkeit auffallen. Angelehnt an die nachrichtendienstliche Methode der Analysis of Competing Hypotheses wird eine schrittweise Untersuchungsmethode vorgestellt, die das Erkennen von falschen Spuren unterstützen kann.

Attribution ist kein Selbstzweck, sondern verfolgt in der Regel Ziele. Dies kann etwa das Ausüben von diplomatischem Druck auf den Urheber sein, die Aufklärung der Öffentlichkeit über Beeinflussungsversuche oder im Idealfall die Verurteilung von Tätern. In all diesen Fällen ist es unerlässlich, dass die Attributionsaussage und die Analyse nachvollziehbar und überzeugend sind. Daher muss die Darstellung der Ergebnisse eine Reihe von Anforderungen erfüllen. In diesem Kapitel wird betrachtet, welche Anforderungen dies sind, und wie die verschiedenen Stellen, die Attribution betreiben, diese umsetzen können. Entscheidend ist dabei der Zweck der Veröffentlichung. Sollen potentielle Opfer in die Lage versetzt werden, sich besser gegen eine bestimmte Gruppe schützen zu können? Soll die Öffentlichkeit informiert und überzeugt werden, oder handelt es sich eher um ein Signal an die Auftraggeber der Angriffe? Oder müssen die Beweise sogar für ein Gerichtsverfahren geeignet sein? Es wird erläutert, worauf die Glaubwürdigkeit einer Attributionsaussage beruht, wie der Analyse-Prozess transparent wird und wie die Analysten ihre Kompetenz und Seriösität untermauern können.

Eine öffentliche Attributionsaussage ist immer auch eine Anschuldigung an einen Staat, eine Organisation oder eine Person. Häufig geht damit die Aufdeckung einer APT-Kampagne einher. Dabei kann es sich um Operationen handeln, deren Ziel das Stehlen von Regierungsdokumenten oder Geschäftsgeheimnissen ist. In anderen Fällen werden Oppositionelle oder Journalisten ausgespäht. Manche Kampagnen richten sich aber auch gegen Terroristen, Waffenschmuggler oder die Proliferation von illegalen Substanzen. In jedem dieser Szenarien stellen sich demjenigen, der diese Operationen aufdecken möchte, auch ethische Fragen.

Für diese Fragen gibt es keine allgemeinen Antworten oder Lösungen. In diesem Kapitel werden die verschiedenen Aspekte diskutiert, die Analysten bei ihrer Arbeit zu bedenken haben.

In diesem Buch wurde der Gesamtprozess der Attribution in die verschiedenen Aspekte wie Schadprogramme, Infrastruktur oder Geopolitik aufgegliedert, und diese in einzelnen Kapiteln behandelt. Diese Vorgehensweise kann dazu verleiten, die Komplexität derartiger Untersuchungen zu unterschätzen. Es könnte der Eindruck entstehen, Attribution sei wie ein Projekt durchführbar, mit Arbeitspaketen und Meilensteinen, an dessen Ende die Täter überführt werden. Dies ist allerdings nicht der Fall. Beim Beginn einer Untersuchung ist nicht abzuschätzen, ob am Ende genügend belastbare Hinweise auf ein Land, eine Person oder eine Organisation gefunden werden können. Zudem hängen die verschiedenen Aspekte nicht sequentiell voneinander ab, sondern führen immer wieder zu Schleifen. So können neue Samples weitere C&C-Domains liefern, die über Infrastruktur-Analyse auf weitere Kontrollserver hindeuten, die wiederum neue Samples zum Intrusion Set hinzufügen.