Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Dieser Artikel ist Teil einer Viererserie zum Thema Schadsoftware (Malware).
Da sind einmal Tipps für grundlegende Gerätesicherheit von PCs, Macs und Smartphones, dann gibt es eine Seite mit Überblick über verschiedene Formen der Schadsoftware: Spam, Trojanern und anderen Schädlinge und der dritte Artikel erklärt die wirtschaftlichen Hintergründe: Was ist eigentlich das Business Modell der dunklen Seite im Internet?.
Dieser vierte Artikel hier gibt eine Übersicht über die Angreifer im Internet.

An anderer Stelle gibt es einen älteren Artikel über die Angreifer in den Jahren 2004-2009

 

 

Typologie der Angreifer im Internet

Philipp Schaumann - Stand Sept. 2017

 

Targeted vs. Opportunistic Attacks

Dieser Artikel beschäftigt sich mit verschiedenen Typen von Angreifern die ihre Opfer im Internet bedrohen. Alle Angreifer fallen in eine von 2 Klassen: die eine Sorte hat es auf bestimmte Ziele (zumeist bestimmte) Firmen abgesehen bei denen es sehr viel zu holen gibt, z.B. sehr wertvolle Daten wie Forschungsunterlagen oder anderes "Intellectual Property", Sachen die es nur bei dieser Firma gibt. Solche Angriffe nennt man targeted Attacks. Dazu gehören auch einige der Angriffe aus politischen Gründen (Hacktivism, siehe weiter unten). Grund für einen solchen Angriff kann aber auch sein, weil ein Konkurrent an Vorabinformationen über ein neues Gerät oder ein neues Patent interessiert ist, oder aber weil ein Investor Unterlagen sucht, die ihm sagen, ob eine feindliche Übernahme lohnenswert sein könnte.

Viele Attack Tracker

Brian Krebs hat die vielen spannenden animierten Real-time-Visualisierungsversuche für die ständigen Angriffe im Internet zusammengestellt: Who’s Attacking Whom? Realtime Attack Trackers.

Brian verlinkt im Artikel auf
- Cyber Threat Map von FireEye,
IPViking von Norse Corp,
- Arbor Networks‘ Digital Attack map,
- Kaspersky‘s Cyberthreat Real-time Map,
- The Cyberfeed von Anubis Networks,
- threat map von F-Secure,
- Global Botnet Threat Activity Map von Trend Micro,
- Team Cymru‘s Internet Malicious Activity Map,
- Honeynet Project‘s Honey Map und
- OpenDNS Labs attack tracker .
Enjoy!

Aber natürlich sind das extrem vereinfachende Darstellungen für Marketing-Zwecke. Die wirkliche Zuordnung eines Angriffs zu einem Angreifer ist sehr schwierig, ich behandele das unter dem Stichwort Attribution. Was genau in diesen Animationen dargestellt wird, ist mir nicht klar, aber es sieht schön aus. :-)


Solche Angriffe sind sehr schwer abzuwehren und bei ausreichend Resourcen, Zeit und Aufwand kaum zu verhindern. Beispiele sind Angriffe wie wir sie speziell in 2011 gesehen haben, z.B. Stuxnet. Für solche Angriffe werden oft erhebliche Summen investiert, z.B. sog. Zero-Day Vulnerabilities eingekauft, die sehr teuer sein können oder SSL-Zertifikate gefälscht. Selbst wenn eine Organisation technisch perfekt geschützt ist, so gibt es trotzdem immer Möglichkeiten, sich über eine der Formen von Social Engineering, sei es durch gezielt Emails oder auch Telefonanrufe, einen Mitarbeiter zu suchen, der dem Angreifer die Toren öffnet (notfalls durch Erpressung).

Oft beginnen solche Angriffe mit Spearfishing, d.h. gezielten Emails an einzelne Personen, sehr oft zugeschnitten auf deren Interessen und Arbeitsgebiete, scheinbar abgesendet von jemandem aus deren Bekanntenkreis. Diese Informationen sind alle in Facebook oder LinkedIn zu finden. (Spearfishing - Speerfischen ist eine Variation von Phishing, dem Versenden von Emails mit "bösen" Links oder Inhalten an viele Personen). Hier Beispiele aus dem SCADA Umfeld.

Solche targeted Attacks fallen unter die Kategorien Industriespionage, Hacktivisten und Cyber-Sabotage. Wer davon ausgehen muss, Ziel eines solchen Angriffs zu werden, der muss sich darauf einstellen, dass er neben Techniken und Prozessen zur Verhinderung von Angriffen zusätzlich Techniken und Prozessen für die Entdeckung von gelungenen Angriffen benötigt. Dazu gehören z.B. Intrusion Detection und Intrusion Prevention Systeme (IDS, IPS) und vor allem das sog. Security Monitoring, bei dem die verschiedenen Logs die sicherheitsrelevante Informationen enthalten (wie z.B. Firewall-Logs, Proxy-Logs, Logs von misslungenen Anmeldeversuchen) zusammengeführt werden um dort ungewöhnliche Kombinationen von Akitivitäten zu entdecken.

Newsletter Abo
Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

Die meisten von uns werden eher wenig Wahrscheinlichkeit haben, mit solchen targeted Attacks in Kontakt zu kommen, denn nur wenige Ziele sind entsprechend hochkarätig. Wir alle fallen aber in die Kategorie Opportunistic Attacks. Hier sind die Angreifer letztendlich vor allem an Geld interessiert und dafür ist es gleichgültig, von wem dieses Geld (oder die Kreditkarten kommen). Diese Angreifer sind vor allem die Cyber-Kriminellen.

Cyber-Kriminelle sind bei ihren Opfern nicht wählerisch und finden diese zum Teil sogar über Suchmaschinen, wenn sie z.B. gezielt nach Websites suchen, die mit bestimmten veralteten Software-Versionen erstellt wurden und daher leicht mit den fertigen Werkzeugen der Angreifer "geknackt" werden können. Dort installieren sie dann ihre Malware, so dass Besucher dieser Website durch "drive-by" Downloads automatisch infiziert werden (speziell wenn sie nicht die letzten Patches für den Adobe PDF-Reader, Flash Player und ähnliches installiert haben). Genauso wie es den Angreifern egal war, auf was für Websites ihre Schadsoftware platzieren, so ist es ihnen auch weitgehend egal, welche Besucher dieser Websites mit ihren PCs dann Mitglieder der Botnets der Angreifer werden. Hier ein Link zu einer recht guten Übersicht von Imperva über automatisierte Angriffswerkzeuge, wie sie von vielen dieser Angreifer eingesetzt werden.

Gegen solche Angreifer kann man sich relativ leicht schützen, indem man die Grundregeln der sicheren Internet-Nutzung einhält. Die Regel Nr. 1 ist: Software aktuell halten - sowohl für den Heim-PC, wie auch die PHP-Version, das MySQL oder das Wordpress mit denen die Website betrieben wird.

 

Flame / sKYWIper ist ein gutes Beispiel, dass der gleiche Typus von Angriffssoftware für gezielte Angriffe oder für opportunistische Angriffe eingesetzt wird. Flame / sKYWIper wurde entwickelt für gezielte Angriffe, Trojaner wie Zeus oder SpyEye enhalten sehr ähnliche Funktionalitäten, werden aber für opportunistische Angriffe vor allem durch Cyberkriminelle eingesetzt. Beim Flame / sKYWIper geht es um die gezielte Informationssammlung mit aufwendigen Mitteln, bei Zeus oder SpyEye um Zugriff auf Bankkonten irgendwelcher Bürger.

Die Angreifer haben einen erheblichen Aufwand getrieben und es durch ein ganz neues kryptographisches Verfahren geschafft, sich ein gefälschtes Microsoft-Zertifikat zu basteln, mit dessen Hilfe sie den Windows-Update Service für die Infektionen nützen konnten. Auch dies spricht dafür dass es sich um eine staatliche Spionage-Organisation handelt.

 

 

Die Frage was machen eigentlich die Kriminellen nachdem sie einen Rechner infiziert haben bespreche ich an einer anderen Stelle.

 

Cyberkriminelle

Diese tolle interaktive grafische Darstellung (auf die Zeichnung klicken) zeigt wie erfolgreich die Angreifer mittlerweile geworden sind und in welche Größenordnungen die Datenverluste seit 2004 bis 2015 gewachsen sind, mit Background-Info, Quelle: http://www.informationisbeautiful.net

Nun zu den einzelnen Typen von Angreifern. Die erste Kategorie sind die Cyber-Kriminellen, mit diesen es jeder von uns immer wieder zu tun bekommt, entweder über einen (hoffentlich) misslungenen Angriff oder über eine Infektion des Heim-PCs oder Mac-Gerätes. Dies sind Profikriminelle, die mit Betrug und ähnlichem schnelles Geld verdienen wollen und heutzutage dafür eben das Internet nutzen. Sie sind technisch oft eher durchschnittlich, wissen aber, wo sie bei Bedarf Bankentrojaner oder Spyware kaufen können. Sie verdienen ihr Geld mit dem Abschöpfen von Bankkonten, Kreditkartenbetrug oder Kreditbetrug nach einem Identitätsdiebstahl. Sie kümmern sich um das Abkassieren von gestohlenen Kreditkarten, machen Bankomatkarten nach und ähnliches. Solche Angreifer gehen nicht gezielt vor sondern suchen sich schwache, ungeschützte Opfer.

Wir haben bei der Internetkriminalität einen hohen Grad an Arbeitsteilung - mehr dazu im nächsten Kapitel zu Rogue Hackern, Malware-Schreibern, Bot-Herdern. Diese Arbeitsteilung habe ich an anderer Stelle graphisch dargestellt: Die dunkle Seite des Internets.

Im Jahr 2009 hatte ich mir bereits einige Gedanken zur Internetkriminalität gemacht. Der Artikel dort zeigt vor allem die Probleme der Strafverfolgung auf, anderseits haben es die Angreifer auch nicht wirklich einfach. Denn dadurch dass sich die Beteiligten nicht persönlich kennen und treffen gibt es viele Betrüger in der Untergrund-Ökonomie. Der Artikel sagt, dass dies auch die unglaubliche niedrigen Preise z.B. für Kreditkarten erklärt. Wenn mit einer gestohlenen Kreditkartennummer (mit dem Sicherheitscode) wirklich so viel Geld zu machen wäre, so müssten die Preise höher sein. Hier ein Artikel über Kriminalität unter den Kriminellen.

Was sind die Werte einer Firma, hinter der die Cyberkriminellen her sind?
Brian Krebs hat versucht, das hier als Mindmap zusammenzustellen: The Value of a Hacked Company. (Die volle Graphik findet sich im hier verlinkten Artikel)


Was ist der Wert eines übernommenen Email-Accounts?
In diesem Mindmap findet sich, was Kriminelle aus einem gehackten Email-Account rausholen können: The Value of a Hacked Email Account. (Die volle Graphik findet sich im hier verlinkten Artikel)

Ein Artikel in der NY Times im Mai 2012 bestätigt das auch: The Cybercrime Wave That Wasn’t. Wenn es wirklich so einfach wäre, im Internet problemlos zu Geld zu kommen, so wären die Verluste noch viel höher. Der Artikel erklärt auch, warum oft so große Zahlen bei Schäden durch Cybercrime in den Studien herauskommen: Self-Selection Bias führt dazu dass an solche Umfragen nur Personen teilnehmen, die zu Schaden gekommen sind. Die Studien beruhen dann oft auf Opferzahlen deutlich kleiner 100, und wenn dann ein einziges Opfer von 1 Mio Schaden berichtet, so kommen auf die Bevölkerung gerechnet riesige (und zum Teil unrealistische) Schäden zusammen.

Das heißt aber nicht, dass wir die Bedrohungen im Internet vernachlässigen können. Der erste Punkt ist, dass Kollateralschäden erheblich sein können - sowohl bei Privatleuten wie auch bei Firmen. So kostet das Reinigen eines infizierten PCs deutlich mehr als was die Angreifer durch eine Infektion durchschnittlich verdienen. Das gilt übrigens auch im "richtigen Leben": Kupferdiebstahl von Stromleitungen bei der Bahn oder von Blitzableitern bringen dem Täter wenige Tausend Euro, der Gesellschaft aber Schäden die das hundertfache betragen können. Die Schäden durch einen gesprengten Bankomaten liegen bei einem vielfachen dessen, was die Täter aus dem Bankomaten herausholen.

Der nächste Punkt ist, dass es immer wieder neue Geschäftsmodelle gibt, die dann doch zu erheblichen Schäden führen. Ein gutes Beispiel für ein sehr ertragreiches Geschäftsmodell ist der Trend Ransomware, der seit Ende 2015 alles andere bei Angriffen auf Privatgeräte dominiert.

Ein Artikel 'The current state of the cybercrime ecosystem' bringt eine Reihe von Ansichten eines Experten für die dunkle Seite des Internets. Der Artikel unterscheidet zwischen "Cybercrime-as-a-Service" und dem "Affiliate Model" wie bei "Partnerka".

Aktualisierung Dez. 2012:
Hier einige Details über Streitigkeiten in der Szene: Vrublevsky Sues Kaspersky.

Aktualisierung Jan. 2015:
Hacker-for-hire durch Privatleute ist eine neue Form des Outsourcings von (mehr oder weniger) kriminellen Aktivitäten. Das sind Websites, bei denen Privatpersonen Geld (einige Hundert bis einige Tausend Dollar) dafür bieten, z.B. den Facebook-Account des Ehegatten oder Ex zu "knacken", ihre Schulnoten zu "korrigieren" oder in Netze der Konkurrenz einzudringen und die Kundenliste zu stehlen. Die Website "putzt sich ab" indem sie auf die Nutzungsbedingungen verweist, die illegale Aktivitäten ausschließen. Anderseits sind viele der Job-Angebote deutlich illegal, aber schwer zu verfolgen, weil nicht (immer) klar ist, in welchem Land das angegriffene System eigentlich liegt. Legal können solche Dienste nur dann sein, wenn sie über die Aktivitäten eines Privatdetektivs nicht hinausgehen.

 

 

2016: Cyberattacke als Service

Da gibt es sehr bequeme Geschäftsmodelle, z.B. werden 6 Abonnement-Typen von "Basic" bis "Ultimate" angeboten. Basic gibt es bereits für 25$ für 15 Tage. Es geht um Adwind Remote Access Tool (RAT), entdeckt und beschrieben von Kaspersky. Es soll bereits 400 000 Opfer geben. Der Kunde dieser Plattform muss "nur" noch die Software auf den Rechner (oder das Smartphone) das Opfers bekommen, z.B. mittels Emails mit Anhang. Unterstützt werden Windows, Linux, Mac und Android.

 

Rogue Hacker, Malware-Schreiber, Bot-Herder

Jetzt kommen wir zu den Technikern unter den Angreifern, die oft aus intellektueller Neugier beginnen und dann langsam in die Kriminalität abrutschen ("von irgendwas muss man ja leben"). Hier gibt es Beispiele: Albert Gonzales, ein chinesisches Hacker-Team: "Wicked Rose" and the NCPH Hacking Group (mit Fotos) und Allmachtsfantasien eines Programmierers. Wenn so jemand technisch gut ist, aber von etwas leben muss, so verdingt er sich oft an die Organisationen der Cyber-Kriminellen (siehe oben) und entwickelt für sie Banken-Trojaner oder Trojaner-Software mit deren Hilfe sie infizierte PC zu Botnetzen zusammenfassen können. Oder sie verdingen sich dann als Botnet-Herder, d.h. sie verleasen die Netze an Kriminelle oder führen in deren Auftrag Denial-of-Service-Angriffe durch.

Ein Beispiel für so jemanden haben wir hier: Bekenntnisse eines Botnetz-Betreibers. heise.de schreibt: Wenn man bei der Lektüre im Hinterkopf behält, dass es sich bei dem Autor um einen selbstverliebten Kriminellen handelt, kann man insbesondere aus seinen Einschätzungen zur Computer-Sicherheit und seinen Schilderungen der Szene sehr interessante Erkenntnisse gewinnen. Bestürzend ist für mich das Abschieben der Verantwortung auf die Opfer: sie hätten ja ihre PCs besser schützen können, wer dazu nicht in der Lage ist, der hat nach Meinung dieses Kriminellen im Internet eben nichts verloren.

Dieser Hacker benutzt vor allem infizierte Raubkopien um Rechner zu infizieren, andere Techniker sorgen für die Verteilung der Malware über geknackte Websites und die Infektion der Heim-Systeme, andere erstellen die Bot-Software und administrieren die Botnetze. Die Aufgabe, das erpresste Geld zu transferieren ohne Spuren zu Hinterlassen. Botnets sind aber ein Allzweck-Werkzeug und können auch für andere Sachen genutzt werden, z.B überlassen diese Techniker der organisierten Cyber-Kriminalität. Botnets kann man aber noch für andere Sachen verwenden, neuerdings z.B. für das sog. "Minen" von Bitcoins, einer Online-Währung.

2012: Hier jetzt eine detaillierte Blosstellung der Koobface Malware Gang. Die Informationen stammen von zwei deutschen Sicherheitsforschern, die die Namen im Zeitraum von 2009 bis 2010 ermittelt hatten. Einer der Forscher arbeitet für den Antivirenhersteller Sophos, von dem der hier verlinkte Bericht ist, der viele Fotos aus dem Hackerleben zeigt. An Geld scheint es nicht gemangelt zu haben. In dem verlinkten Bericht wird aber auch sehr detailliert die Arbeitsteilung im Hacker-Untergrund dargestellt.

Hier jetzt noch eine sehr detaillierte Hintergrundstory Cosmo, the Hacker ‘God’ Who Fell to Earth zu einem Angriff auf einen Redakteur von Wired. In der Hintergrundstory geht es um einen unglücklichen 15-jährigen, der offenbar eine Naturbegabung für Social Engineering Angriffe hat. Für mich liegt dieser Blackhat zwischen dem Typ der in diesem Abschnitt beschrieben wird und den weiter hinten. Ich finde die Geschichte recht traurig, weil er junge Mann (15 Jahre) offensichtlich sehr begabt ist, aber leider die einzige Möglichkeit zur Selbstbestätigung darin gefunden hat, Social Engineering Angriffe durchzuführen. Falls er jetzt einen längeren Gefängnisaufenthalt bekommt, wird ihn das sicher nicht resozialisieren.

Im Atlantic Monthly war 2013 ein guter Artikel: If Hackers Didn't Exist, Governments Would Have to Invent Them. Der Artikel handelt vom Mythos des Hackers im Keller, der übermenschliche Fähigkeiten hat wenn es um Computer geht und der in jeden Rechner eindringen kann (ein frapantes Beispiel dafür ist m.E. die Heldin von Stieg Larssons Trilogie, sie scheint magische Kräfte zu haben wie sie in Systeme eindringt). Der Autor meint, dass diese Legende von den eigentlichen Problemen der Computersicherheit ablenkt und einen Butzemann / Bogeyman konstruiert der für die Presse unterhaltsam ist und den Regierungen die Möglichkeit gibt, strengere Überwachungsgesetze zu rechtfertigen. Er weist darauf hin, dass die Hälfte der 1400 bekannt gewordenen Datenverluste seit 2005 durch verlorene oder falsch entsorgte Datenträger oder Geräte passiert ist und damit 180 Mio Personendaten gefährdet wurden ohne dass auch nur ein Hacker involviert war. Mehr Details zur Geschichte der Hackerlegende im Artikel.

Dez. 2014: Symantec präsentiert eine aktuelle Übersicht über Handel und Preise im Internet. Neuer Aspekt ist die unglaubliche Schwämme von gestohlenen Daten in 2014, mehr denn je zuvor: Underground black market: Thriving trade in stolen data, malware, and attack services

Juni 2016:
An anderer Stelle ein Interview mit einem russischen Hacker, der derzeit eine Sammlung von 800 Mio Passworten anbietet und behauptet, eine weitere Milliarde zu besitzen. Die Daten sind meist alt (2012 und 2013) aber weiterhin verwendbar, weil kaum jemand Passworte ändert und die alten Passworte auf vielen weiteren Accounts verwendet werden. Auch Zuckerberg und andere Prominente hat es erwischt.

Juli 2017:
Und immer wieder lassen sich auch die Profis der Cyberkriminalität erwischen: How a Citadel Trojan Developer Got Busted. Viele fallen auf ihre Eitelkeit oder Unachtsamkeit rein, wie dieser Betreiber von AlphaBay, aber dem Entwickler des extrem erfolgreichen und professionenellen Bankentrojaners Citadel wurde vom FBI eine Falle gestellt. Die Ermittler haben sich als Kunden ausgegeben, die den Trojaner für Angriffe nutzen, aber Verbesserungsvorschläge haben. Diese haben sie ihm als Screenshot auf eine Filesharing-Platform zur Verfügung gestellt, der mit den Behörden zusammengearbeitete und die Kriminellen haben vergessen, beim Zugriff TOR zu nutzen und damit ihren IP-Adresse und letztendlich den Wohnort verraten.

 

 

 

Spammer und Ad-Ware-Verbreiter, Domain-Squatter

Sie glauben nicht mal, dass sie kriminell sind, sie halten sich selbst für aggressive Marketingmenschen. Sie bekommen ihr Geld nicht von "Opfern", sondern von Firmen die über diese Tricks Besucher auf ihre Website locken wollen und ihnen dann einen Kredit oder Viagra verkaufen. Sie sammeln oder kaufen Email-Adressen und versenden Spams-Mails, oder sie kaufen als Domain- und Typo-Squatter Domain-Namen mit geringen Unterschieden zu populären Marken, legen dann Websites an auf die sie gestohlene Inhalte (z.B. aus Wikipedia) übernehmen (Search Engine Optimization, SEO) und dort mittels Google-Adwords Werbung platzieren. Sie werden dann ganz legal von Google für die Hits bezahlt wenn ihre Besucher auf diese Werbung klicken. Diese Klasse von "Internet-Abschaum" sind zumeist nicht sehr gefährlich aber sicher nervig. Eine andere Art von "Abschaum" sind Internet-Service Provider (ISPs), von denen einige in den USA erwischt wurden dass sie den Datenverkehr ihrer Kunden zu Suchmaschinen umleiten auf andere Websiten zu diesem Thema und sich dafür bezahlen lassen.

 

 

 

Hacktivisten, Cyber Fighter

Das sind politisch motivierte Angreifer, z.B. die Gruppe "anonymous" die jetzt gegen alle vorgeht, die gegen Wikileaks aktiv werden, die Gruppe 4chan (siehe Time 100 Precision Hack), der oder die Angreifer die Estland lahm gelegt haben oder auch die Syian Electronic Army (SEA). Es geht ihnen nicht um Geld, sondern um die Sache, oft ein politisches Anliegen. Dies wird manchmal verglichen mit politisch motivierten Gesetzesübertretungen. Sie wird dann Denial of Service (DoS) mit einem Sitzstreik verglichen und das Verändern einer Website (defacement) mit einem Angriff per Spaydose. Sie nutzen dafür aber auch manchmal Methoden der Industriespionage um z.B. an Emails der "Gegner" zu kommen.

Die bekanntesten Hacktivisten sind derzeit (2011) Anonymous. Hier ein Artikel über diese lose Gruppierung mit vielen Beispielen ihrer Aktivitäten: Crude, Inconsistent Threat: Understanding Anonymous. Oft überschneidet sich Hacktivismus mit "doing it for the LULZ", d.h. um Spaß zu haben. Ethisch bedenklich wird es, wenn Unbeteiligte zu Schaden kommen, z.B. durch die Veröffentlichung ihrer Passworte.

Die Firma Imperva wurde vom Vatikan zu Hilfe gerufen, nachdem Anonymous in Südamerika dafür geworben hatte, den Vatican anzugreifen, indem die Website für den Weltjugendkongress in 2011 in Madrid gehackt wird. Imperva hat jetzt den ausführlichen Bericht über die Angriffe (pdf), von dem Werben für die Aktion bis zur Durchführung der Angriffe auf die Website. Es ist ein gute Dokumention wie Hacktivism ablaufen kann.

Und hier ein Beispiel aus 2012: Aufruf zum "Cyber-Dschihad".

Eine Studie von Verizon sagt, dass Hacktivisten in 2011 (bei den Angriffen von denen Verizon Kenntnis hat) mehr Datensätze gestohlen haben als die kriminellen Profis. Das ist aber keine Entwarnung bzgl. der Angriffe der Profis, denn weil diese ihre Erfolge nicht in die Öffentlichkeit tragen ist dort mit einer viel höheren Dunkelziffer zu rechnen.

Eine spezielle Form des Haktivismus ist der Datendiebstahl aus politischen Gründen. In zumindestens einigen Fällen bei denen die Finanzbehörden Kundendaten gekauft haben wurde die Tat als Protest gegen die Steuerhinterziehung begründet. Viele Geschichten zu den handelnden Personen finden sich hinter dem vorigen Link.

Das LulzSec logo

Viele der Hacktivisten akzeptieren bei ihren Aktionen zum Teil erhebliche Kolateralschäden bei Unbeteiligten, z.B. der Privatsphären von Nutzern, deren Benutzernamen und Passworte sie (unnötigerweise) veröffentlichen. Einen sehr ausführlichen Überblick über die Geschichte des Hacktivismus, beginnend mit der Gründung des Chaos Computer Clubs vor vielen Jahrzehnten, über 4chan, Anonymous, mit Referenzen zu Scientology, Wikileaks, HBGary, LULZsec und den vielen internen Streitigkeiten findet sich in einem Papier eines französischen McAfee Mitarbeiters: Hacktivismus - Das Internet ist das neue Medium für politische Stimmen (PDF). Ein schönes Beispiel für den Schaden den solche Angriffe anrichten können ist HBGary gegen Anonymous in 2011.

Es enthält vor allem viele Links und ist damit eine sehr gute Quelle für eigene Studien. Daneben gibt es Infos zu Anonymisierungstechniken wie TOR, I2P, zu Telecomix in Syrien (diese Technologien werden auch in einem Beitrag auf dem Chaos Computer Club-Kongress behandelt). Erwähnt werden auch die nationalistischen Bewegungen, vor allem in Russland, China, Indien, Pakistan, Palästina, Israel, die oft Dissidenten angreifen oder ausspionieren, oder wie im Fall von Estland, auch schon mal ein ganzes Land bedrohen (dabei liegt bei diesen Aktionen manchmal eine Anstiftung von jeweiligen Regierungsorganisationen nicht fern). Das Ganze ist eine sehr gute Materialsammlung, für einen wissenschaftlichen Artikel fehlt manchmal der nötige Abstand.

Feb. 2013:
Ein ziemlich erfolgreiche Angriffsserie läuft 2013: Aus Protest gegen die Vorgänge die zum Tode von Aaron Swartz geführt haben zerlegen Anonymous Mitglieder oder Sympatisanten eine größere Zahl von US-Regierungswebseiten: Anonymous reveals ample Fed access. Unter anderem veröffentlichen sie persönliche Daten von 4000 Bank-Managern auf einer Regierungswebsite. Die Schäden und die Verwundbarkeiten der Websites scheinen erheblich zu sein: einige sind auch 2 Wochen später "under construction".

März 2013:
Hier der Link zu einem Interview mit einem Mitglied von Anonmyous.

Okt. 2013:
Eine ausführliche Analyse zu Anonymous: Anonymous in Context: The Politics and Power behind the Mask.

Juli 2014:
In einem Artikel von Glenn Greenwald wird berichtet, mit welcher Vehemenz und welchen Methoden der britische Geheimdienst GCHQ gegen politische Aktivisten vorgegangen ist: von Schmutzkampagnen bei Nachbarn, Arbeitskollegen und Freunden bis zu Honeytraps, d.h. Kompromitieren durch das Provozieren von sexuellen Kontakten. Diese Vorgehensweisen der quasi "Bestrafung" durch Zerstörung der Lebensumstände ohne Gerichtsverfahren ist natürlich im Rechtsstaat extrem problematisch.

Juli 2015:
Neues von Aktivisten: Hacktivist Group GhostShell Claims it Hacked Over 300 Websites: "With no seeming pattern to the attacks, Team GhostShell claim they hope to raise awareness and attention to the vulnerability and shoddy cybersecurity that most websites embrace."

 

 

An anderer Stelle berichte ich über die Waffenhändler bei diesen Angriffen, nämlich die Händler mit sog. Zero-Day-Exploits, die teuer sind und bei hoch-rangigen Zielen eingesetzt werden.

Der CrowdStrike Global Threat Report 2013 gibt einen recht guten Überblick über die Cyber-Spionage Aktivitäten, aber mit einem sehr blinden Fleck was die NSA betrifft. Hier die Zusammenfassung.

Die NSA ist stark im Fokus meiner Seite zum Thema Abhören und Überwachung. Und an anderer Stelle schreibe ich darüber, warum niemand die Angriffe der NSA gesehen hat.

 

Industriespione, Cyberspionage

Jetzt kommen wir zu den targeted Attacks, die zum Teil mit großen Aufwand und großer Konzentration betrieben werden. Die Angreifer können Einzelpersonen sein, aber in der Regeln sind es kleinere bis größere Organisationen. Der Bericht 'Espionage as a Service' Offers Governments Deniability aus 2015 argumentiert, dass wohl ein viel größerer Teil der Cyberspionage-Aktivitäten als normalerweise angenommen wird durch kleine Gruppen von "Söldnern", z.B. Ex-Geheimdienstleuten, ausgeführt wird. Die Profis hinterlassen Spuren, die entweder ins Leere oder auf eine falsche Fährte führen.

Diese Angreifer sind hinter Geschäftsgeheimnissen her, z.B. in der Form von Angeboten, Angebotsentwürfen, Konstruktionsplänen, Patentanträgen, aber auch Email-Sammlungen aus denen Mitbewerber etwas lernen können. Ihre Methoden reichen von Social Engineering Anrufen oder Emails bis zu Advanced Persistent Threats bei denen sie große Teile der Firmen-IT unterwandern und kontrollieren.

Advanced Persistent Threats (APT)

Das große Schlagwort in diesem Bereich ist Advanced Persistent Threat. Es wurde von Sicherheitsfirmen geprägt um damit darzustellen, dass ihre bisherigen Produkte wie Malware-Scan nicht mehr ausreichend sind wenn Angreifer es gezielt auf ein Unternehmen (oder eine Person) abgesehen haben. D.h. da steckt viel "Marketing" in diesem Begriff drin. Microsoft wehrt sich im Microsoft Security Intelligence Report Vol. 12 gegen den Begriff Advanced Persistent Threat (APT). Sie haben eigentlich Recht damit, nämlich:

Manche der Angriffe sind sehr "advanced", wie z.B. Stuxnet oder Flame, aber nur dann, wenn dies wirkich notwendig ist. Meistens reicht die ganz normale Suche nach nicht aktuellen Versionen vom Adobe PDF-Reader oder vom Flash-Player. Jemand der auf einen Link klickt findet sich fast immer. Oft ist ein Angriff über Social Engineering extrem hilfreich, speziell wenn der Angreifer das soziale Umfeld des Opfers kennt oder über eie Social Network ausspähen kann. Ein gutes Beispiel für Social Engineering nach dem Lehrbuch ist hier dokumentiert: HBGary gegen Anonymous.

Microsoft sagt, die beiden Schlüsselfaktoren sind targeted Attack und determined Adversaries. Über targeted habe ich weiter oben schon einiges gesagt, es geht um die Abgrenzung gegenüber Angriffen bei denen das Opfer gesucht wird, bei dem der Angriff am einfachsten geht (opportunistic). Bei determined Adversaries geht es darum, dass solche Angreifer einen "Sponsor" haben, dem es um genau ein Ziel bei genau einem Opfer geht. Dieser Sponsor kann ein Staat sein oder eine andere große Organisation, z.B. die organisierte Kriminalität. Das Ziel ist dem Sponsor so wichtig, dass ausreichend Resourcen zur Verfügung stehen, um so lange dran zu bleiben, bis das Ziel erreicht ist, egal was es kostet, egal wie lange es dauert. Daraus kann sich "persistent" ergeben, wenn dies dem Ziel dient, es muss aber nicht.

Solche Angreifer sind für Firmen (oder auch Staaten) extrem gefährlich, da sie ganz gezielt vorgehen und bei dem einen Unternehmen so lange neue Tricks versuchen (Anrufe beim Helpdesk, Emails mit vorgeblichen Gewinnspielen, infizierte USB-Sticks auf dem Parkplatz, Ausspähen durch fingierte Bewerbungsgespräche, Bestechung, gezielter Diebstahl von Firmen-Laptops oder Smartphones, etc.) bis sie eine schwache Stelle in genau diesen Unternehmen gefunden haben. Um sich dagegen zu schützen müssen Firmen eine sehr breit gefächerte Schutzpalette implementieren und vor allem auch in die Entdeckung erfolgreicher Angriffe investieren.

Weiter oben gibt es Infos über Flame / sKYWIper, ein sehr aufwendiges Werkzeug zur staatlichen Spionage. Weiter unten Informationen zu solchen Werkzeugen, die bei ganz wichtigen Zielen auch für Cyber-Sabotage eingesetzt werden können.

Symantec weist im Herbst 2012 auf ein größere Sache hin, sie nennen es Elderwood Project. Hier ist die detaillierte Studie als PDF. Es geht um gezielte Angriffe auf verschiedene Firmen seit 2009 (z.B. "Aurora" gegen Google-Mail, bei denen Symantec jetzt auffallend viele Gemeinsamkeiten entdeckt hat. Es werden gleiche Code-Teile wieder verwendet, gleiche Zero-Day Exploits tauchen in verschiedenen Angriffen auf und ähnliches. Gemeinsam ist bei diesen Angriffen dass die Firmen aus den Bereichen Militärtechnik und Zulieferer sind, aber auch IT-Dienstleister und eigenartigerweise auch einige Nicht-Regierungsorgansiationen aus China, Taiwan und Hongkong. Auffallend ist, dass insgesamt 8 Zero-Days "verbraucht" wurden, aber dabei auch sehr geschickt und effektiv eingesetzt. Zero-Days sind teuer, d.h. diese Organisation ist nach Meinung von Symantec sehr gut organisiert und hat sehr viele Ressourcen zur Verfügung. Das spricht für eine sehr große kriminelle Organisation, oder aber für Arbeiten im Auftrag einer Regierung. Der folgende Link gibt viele Hintergründe zu Aurora, aber auch zur intensiven Zusammenarbeit der US-Firmen mit den US-Behörden.

Ein sehr schönes Beispiel für Industriespionage ist auch der Angriff auf Coca Cola in 2009. Coca Cola war in Verhandlungen zwecks einer sehr großen Firmenübernahme in China wenn mittels Spear-Phishing Angriffe Rechner in ihrem Netz infiziert wurden und große Mengen Daten abgezogen wurden. Die Details finden sich in dieser Studie. Ergebnis war letztendlich, dass die Acquisition nicht stattgefunden hat.

 

Der Mandiant-Report zu APT1

März 2013:
Einen sehr detaillierten Überblick über die Aktivitäten einer speziellen militärischen Einheit in Shanghai mit der Ziele der systematischen Industriespionage. Die US-Firma Mandiant legt einen umfangreichen Bericht vor, in dem sie eine Unit 61398 der chinesischen Volksbefreiungsarmee für die meisten Angriffe auf US-Firmen verantwortlich macht (hier die Studie: APT1: Exposing One of China's Cyber Espionage Units (PDF). 76 Seiten, viele Details und Unterlagen, so viele Details liegen vermutlich über keine "Cyberwar"-Truppe irgendwo anders vor. Die Hinweise sind mehr als nur IP-Adressen,die Details sind im Report. Ich kenne keinen Bericht, der die Details der Struktur einer solchen Cyberwar/Spionageeinheit so detailliert beschreibt.

April 2013:
Eine ziemlich technische Ergänzung dazu gibt es in APT1: technical backstage. IT-Sicherheitsforscher aus Luxemburg haben es geschafft, in Server der APT1-Angreifger einzudringen und haben dabei interessante Details gefunden:

  • More than 300 servers
  • Use of proxy servers to hide their activities;
  • one server per target;
  • custom made malware
  • working hours, like office employees (5-Tagewoche)
  • really good organization

An anderer Stelle berichte ich über die Entwicklungen bei kommerzieller Überwachungssoftware wie sie z.B. von der deutsch-britischen Firma Gamma Software angeboten wird: FinSpy oder FinFisher. Das ist offensichtlich ein gutes Geschäft, wird offiziell als "Lawful Interception" angeboten, d.h. für Überwachung im Rahmen von Gesetzen, aber die große Markt sind alle Diktaturen, die ihre Oppositionellen überwachen wollen. Hier ein Link zur globalen FinFisher Präsenz.

Mai 2013:
Noch mal zu APT1, auch als "Comment Group" bekannt. heise.de berichtet darüber, dass "bisher jede Firma, die Maschinen und Systeme für die Verteidigung der USA herstelle, Opfer von chinesischen Hackern geworden [sei]. Damit seien den Angreifern auch streng vertrauliche militärische Pläne der US-Regierung bekannt." Der heise-Artikel verlinkt auf den Orginalartikeln mit sehr vielen Details.

Noch mehr Details finden sich in diesem Artikel der Washington Post: Confidential report lists U.S. weapons system designs compromised by Chinese cyberspies. Hier werden die einzelnen Rüstungsprojekte aufgezählt. Der Artikel zeigt, wie flächendeckend die Cyberspionage mittlerweile geworden ist. Es scheint nicht ein einziges Projekt zu geben, dessen Details nicht gestohlen wurden.

Mehr zu APT1 an anderer Stelle.

Wie sich jetzt herausstellt war ein wichtiges Ziel der ausländischen Angriffe gegen Google und andere (neben den Emails politischer Dissidenten) auch die Liste der Accounts, die im Auftrag von CIA und FBI überwacht werden:
Chinese hackers who breached Google gained access to sensitive data, U.S. officials say. D.h. genauso spannend wie die Disssidenten-Emails fand der ausländische Geheimdienst die Liste der Personen, die auf ihrer Gehaltsliste stehen und denen FBI und CIA bereits auf der Spur sind. Die Angreifer haben dafür evtl. die offiziellen Überwachsungsinterfaces genutzt.

Juni 2016: Eine neue Studie von FireEye berichtet von einem deutlichen Rückgang der chinesischen Spionageaktivitäten gegen US-Firmen. Und zwar begann dieser Rückgang interessanterweise bereits vor dem ernsten Gespräch zwischen President Obama und President Xi Jinping. Die Unit 61398 scheint aufgelöst und die Mitarbeiter setzen ihre Tricks jetzt an anderer Stelle ein. Wichtig ist, dass diese Einigung der Präsidenten sich nicht auf einen Stop der gegenseitigen Spionage bezogen hat, sondern nur auf einen Stop des Diebstahls von intellectual property bei Firmen. Daher ist der Angriff gegen das US Office of Personnel Management (OPM, das Personalbüro der Regierungsbehörden) auch nicht unter dieses Verbot gefallen. Hier der Link zur Gesamtstudie.

Noch mal China: APT 10

2017 wird eine andere chinesiche Gruppierung APT10 unter dem Schlagwort Operation Cloud Hopper ausführlich dokumentiert.

 

Hidden Lynx und Icefog

Sept. 2013:
Sicherheitsfirmen profilieren sich, in dem sie die Methoden von Industrie-Spionage-Teams analysieren und aufzeigen. Da ist z.B. Hidden Lynx oder Icefog.

Beide Teams sind bereits jahrelang aktiv, Hidden Lynx werden die Angriffe auf Lockheed Martin und RSA, sowie die sog. Aurora-Angriffe gegen Google, Adobe und 30 andere US-Firmen nachgesagt, Icefog ist wohl hauptsächlich auf Südkorea und Japan spezialisiert, greift aber dadurch die Partner auch von westlichen Firmen an und macht mehr MacOS Infektionen als Windows-PCs.

 

Angriffe in der anderen Richtung - US Hacking

Juni 2013:
Der Whistleblower zum NSA-Thema berichtet über mehrere 100 Angriffe seit 2009 in der Gegenrichtung.

Sept. 2013:
Bereits im Juni werden Details über die offensiven US-Aktivitäten veröffentlicht: Inside the NSA's Ultra-Secret China Hacking Group.

Im Rahmen der PRISM-Veröffentlichungen werden jetzt Zahlen bekannt: Die NSA gab 2011 $25 Mio für Zero-Day Verwundbarkeiten aus um damit 231 Angriffe auf Rechner in anderen Staaten auszuführen und mittlerweile 85000 Rechner infizieren und steuern könnten, für, Zitat: ". . . virtual or physical access to create and sustain a presence inside targeted systems or facilities.” The document adds: “System logs and processes are modified to cloak the intrusion, facilitate future access, and accomplish other operational goals”. . . . “The United States is moving toward the use of tools short of traditional weapons that are unattributable — that cannot be easily tied to the attacker — to convince an adversary to change their behavior at a strategic level.

Ein Artikel in Forbes stellt die Größenordnung der chinesischen und US-amerikanischen Aktivitäten gegenüber. Zitat:

    Even the most sophisticated Chinese cyber spies do not appear to be well funded. They use shelf ware and their teams work regular hours. The NSA on the other hand is shockingly replete with funds. The US Intelligence Community budget of $70 billion is twice the size of the Australian military budget.

Er stellt diesen Betrag den $60 Milliarden (=billion) gegenüber, die in der gesamten IT-Security Industrie umgesetzt werden.

Ein guter Kommentar aus Anlass der Snowden Papiere von Susan Landau: Making Sense from Snowden: What’s Significant in the NSA Surveillance Revelations (pdf, 10 Seiten). Ein Zitat (im Orginal mit vielen Links):

    Snowden also revealed that the NSA hacked into at least 63 servers at Tsinghua University, China’s leading technical school and home of one of six backbone networks in the nation. Snowden claimed that the NSA compromised Chinese telecommunications networks and had access to millions of text messages. This type of spying, and the NSA’s capabilities to exploit it, surely isn’t a surprise: the NSA has conducted network exploitation efforts since the 1990s.

 

APT28 (Fancy Bear), APT29 (Cozy Bear):
A Window Into Russia's Cyber Espionage Operations

Nov. 2014:
Es gibt wieder einen umfangreichen Bericht über Cyberspionage. Die Firma FireEye publiziert 45 Seiten Details über eine Gruppe, die FireEye "APT28" nennt. Die Daten wurden über längere Zeit über diese Gruppe gesammelt, die offenbar russisch spricht und ihre Angriffssoftware zwischen 8 und 18 Uhr Moskau-Zeit compiliert. Die Gruppe ist offenbar nur ein Politik interessiert, macht keine Wirtschaftsspionage und auch keine Angriffe auf Banken. Mehr Details hier nachdem ich den Bericht gelesen habe.

Dez. 2015:
Kaspersky berichtet, dass die Angreifer, die auch im Netz des deutschen Bundestags waren, wieder aktiv sind. Kaspersky sieht Angriffe auf mehrere Nato-Staaten sowie Rüstungsunternehmen insbesondere aus der Luft- und Raumfahrtbranche.

Okt. 2016:
Überraschende Meldung zu einem Angriff gegen TV5 aus dem Jahr 2015. Jetzt wird der Angriff der russischen APT28 . Es gab ursprünglich ein Bekennerschreiben von Islamisten.

APT28 wird auch an anderen Stellen im Zusammenhang mit Disinformation erwähnt. Siehe die Wada Leaks zu Doping im Sport.

Dez. 2016:
CozyBear (auch "APT 29" oder "Dukes") und der russische Geheimdienst GRU mit FancyBear (aka "APT 28" oder "Pawn Storm") waren beide, anscheinend unabhängig voneinander in den Servern der demokratischen Partei aktiv und haben Mails abgezogen (mit einem Link zur NY Times wo sich die Details finden, z.B. dass die Angreifer es sich gute 7 Monate in den Servern bequem gemacht und dann auch noch die privaten Gmail-Accounts der Beteiligten übernommen hatte).

Ende 2016:
Obama schlägt wegen der Wahlbeeinflussung zurück und veröffentlicht Details über die Aktivitäten von APT28 und APT29. Und es wird schon wieder ein neues Schlagwort eingeführt: Grizzly Steppe. Die technischen Details sollen es Technikern besser erlauben, die russischen Aktivitäten in ihren Netzen, auch in Deutschland zu erkennen. Auch wenn die Aktivitäten gegen die USA gerichtet waren, so haben die Angreifer aber trotzdem Systeme in anderen Ländern als "Proxy" oder "Hopserver" genutzt. Diese können mit Hilfe dieser Informationen und entsprechender IPS-Software (untrusion prevention system) innerhalb der Firmennetze gefunden und bereinigt werden.

Noch mehr Nachrichten dazu: Zwang oder Erpressung: Wie Moskau seine Hacker rekrutiert, die deutsche Zusammenfassung eines längeren NY Times Artikels. Auch im Standard: Frage und Antwort: Was es mit den Hackervorwürfen und Sanktionen auf sich hat, z.B. zur Frage, wie sicher eigentlich so eine Zuordnung eines Angriffes ist (zu dieser grundsätzlichen Frage siehe auch weiter unten).

Ende 2016 sind die russischen Aktivitäten ein großes Thema: Das "Handbook of Russian Information Warfare" ist eine Veröffentlichung des NATO Defense College’s Research Division. Das eigentliche Dokument ist 76 Seiten lang, plus viele Quellenhinweise. Hier die Einleitung: The "Handbook of Russian Information Warfare" is an introductory guide to Russia’s doctrine and activities in this field, including elements of cyber warfare. The handbook’s target audience is NATO servicemen and officials who are unfamiliar with Russian principles of warfighting, but require an introduction to this essential element of how Russia projects state power." Hier findet sich das PDF: "Handbook of Russian Information Warfare".

Anfang 2017: APT28 verbessert ihre Mac-Tools und Google beobachtete die Gruppe seit Jahren.

August 2017:
Die russischen Angreifer schaffen es mal wieder in die Presse: Wired: A Guide to Russia’s High Tech Tool Box for Subverting US Democracy. Der Artikel gibt viele interessante Details zur russischen Cyberwar-Strategie und warum der Hack der demokratischen Partei nur eine von vielen Aktionen war.

Im gleichen Monat wird berichtet, dass APT28 Laptops in Hotelnetzwerken angreift. Dafür nutzen sie Software, die der NSA irgendwie "abhanden kam". Diese Angriffe sind nicht überraschend, Hotelnetze sind kein sicherer Ort und auf Reisen ist extra Vorsicht geboten.

 

Equation Group (= REGIN): die NSA Angriffssoftware

Nov. 2014:
Symantec berichtet über eine Software, die sie Regin nennen und die offenbar von staatlichen Hackern entwickelt wurde: Hochentwickelte Malware spionierte jahrelang Computer aus. Mehr Details finden sich in den Links. Feb. 2015:
Kaspersky berichted von einer Spionagetruppe, die sie Equation genannt hat und recht reiserisch "vermarktet". Die Punkte das sich dahinter die NSA verbirgt kommen im Arstechnica Bericht noch ein wenig deutlicher raus: How “omnipotent” hackers tied to NSA hid for 14 years—and were found at last. Der Punkt ist, dass der Bericht von Kaspersky jede Menge Hinweise darauf enthält, dass die Equation Group in Wirklichkeit die TAO-Gruppe der NSA. Die Hinweise sind z.B.

  • die Kontrollinfrastruktur für die infizierten Systeme (C&C server) sind zum Teil bereits seit 1996 in Betrieb, die meisten wurden 2002 oder 2002 angemeldet; so lange sind die anderen Nationen noch nicht als Angreifer im Internet unterwegs. Insgesamt handelt es sich um 300 Domains und 100 Server
  • die Angriffssoftware ähnelt von der Technologie sehr stark Regin, die Software die u.a. gegen Belgacom eingesetzt wurde
  • Teile des Programmcodes der Angriffssoftware ist identisch zu der in Stuxnet und Flame, aber die Versionen in Equation sind älter. Auch Teile von Gauss wurden gefunden.
  • Es wurden reichlich und großzügig Zero-Days eingesetzt, das können sich in diesem Umfang nur Staaten leisten, zum gleich die selben, die später in Stuxnet auftauchten.

Der letzte Hinweis auf die NSA ist die Tatsache, dass die Software der Equation Group extrem komplex ist, auch wenn immer wieder mal kleine Fehler gemacht werden, sie z.B. den Benutzername im kompilierten Code zu belassen. Besonders wird eine Software-Komponente hervorgehoben, die wohl die komplexeste Angriffssoftware darstellt: für die Platten von 12 wichtigen Herstellern kann die Software die originäre Firmware überschreiben und durch eine Version ersetzen, bei der es einen verborgenen Speicherbereich gibt, auf den nur die eigene Angriffssoftware zugreifen kann, kein Virenscanner, nicht das eigentliche Betriebssystem und nicht mal eine Neu-Formatierung der Platten kann diese Speicher zerstören, es braucht wohl einen schweren Hammer dafür.

Wenig später die Erkenntnis, dass es sich wohl um dieselbe Software handelt, mit der NSA und GCHQ die Belgacom angegriffen haben. Hier mehr zu Belgacom an anderer Stelle dieser Website.

Eine sehr detaillierte und fundierte Analyse bringt der Artikel von Claudio Guarnieri Everything we know of NSA and Five Eyes malware, der wie es klingt, die Orginaldokumente und die Malware-Samples sehr ausführlich studiert hat. Er bringt eine sehr gute Übersicht wie die verschiedenen Komponenten zusamme spielen. Als Ergänzung dazu: If the NSA has been hacking everything, how has nobody seen them coming?.

August 2016:
Interessante Entwicklungen: Eine Gruppe die sich Shadow Brokers nennt veröffentlicht den Code zu Angriffstools, die der Equation Group zugeschrieben werden. Angeblich sind die Tools auf einem Stand 2013. Snowden äußert den Verdacht, dass Russland hinter der Veröffentlichung steckt.

 

Operation Cleaver und die Darkhotel Gruppe

Nov. 2014:
Alle Hackergruppen bekommen jetzt von den Security-Forschern kreative Namen umgehängt, Branding ist alles. Kaspersky berichtet über eine Gruppe, die sie Darkhotel-Gruppe nennen. Sie ist angeblich auf Angriffe auf Hotel-Netze spezialisiert, ein Ort, an dem die PCs der Reisenden deutlich ungeschützter sind als im Firmen-Netz und in den meisten Fällen auch deutlich angeschützter als hinter einem häußlichen Kabelanschluss. An anderer Stelle hatte ich bereits vor ca. einem Jahrzehnt darüber geschrieben.

Operation Cleaver ist eine angeblich aus dem Iran initierte Kampagne. Das ist das "Schöne" an Cybersabotage und Cyberspionage: Jeder kann mitspielen, die Kosten für so etwas sind, im Gegensatz zu einer konventionellen Aufrüstung, auch für kleine Länder erschwinglich. Und die eigene Angriffsfläche ist bei den Industriestaaten deutlich größer als bei weniger entwickelten Nationen - siehe der nächste Abschnitt hier.

Hinter diesem Link findet sich eine Zusammenfassung von Cyber-Spionage in 2014.

 

"Carbanak" und "Anunak"

Feb. 2015:
Kaspersky veröffentlicht einen Report zu dem was sie Carbanak nennen. Dabei geht es um eine Gruppe, die sich nicht auf herkömmliche Industriespionage von Firmengeheimnissen spezialisiert hat, sondern die gleichen APT-Techniken verwendet um sich in Banken festzusetzen. Ziel ist aber in diesem Fall die "große Kohle". Sie arbeiten monatelang bis sie Zugriff auf die Buchungssysteme und/oder die Bankomaten bekommen. In den Buchungssystemen überweisen sie typischerweise Millionenbeträge auf andere Konten, bei dem Bankomaten sorgen sie durch "leichte Umprogrammierung" dafür, dass diese zu einem festen Zeitpunkt große Mengen Scheine ausspucken. Kaspersky berichtet von nachgewiesenen Schäden in Höhe von 300 Mio USD in insgesamt 100 Banken, sie schätzen die Schäden aber viel höher. Kasperky berichtet von "hauptsächlich russichen Banken", aber es seien auch andere betroffen. Hier ein ausführlicher Bericht in der NYTimes: Bank Hackers Steal Millions via Malware.

Da hakt die niederländische Firma Fox-IT ein, die bereits im Dezember über eine Gruppe berichtet hat, die sie Anunak genannt hatten und nach der gleichen Methode vorgeht, aber nach dem Fox-IT bericht nur in Russland. Wie auch immer, dies ist nicht nur ein Marketingstreit zwischen 2 Sicherheitsunternehmen, sondern auch eine ganz erhebliche Bedrohung für die Banken weltweit. Es ist nämlich extrem schwer, sich gegen zielgerichtete Angriffe zu verteigen, wenn diese ausreichend systematisch und intensiv betrieben werden - es findet sich leider immer irgendein Mitarbeiter, der auf ein geschicktes Phishing-Mail hereinfällt.

 

 

Duqu 2.0 und Angriff auf Kaspersky (vermutlich aus Israel)

Juni 2015:
Kaspersky veröffentlicht, dass sie selbst (und viele weitere Anti-Malware Firmen) Opfer eines Angriffs geworden sind. Sie nennen die Software Duqu 2.0 und schreiben sie Israel zu. Bruce Schneier schreibt einen detaillierten Bericht dazu: Duqu 2.0. Es geht wohl um das Ausspionieren der Verhandlungen um das iranische Anreicherungsprogramm. Die Software wird es extrem trickreich beschrieben, bis hin zum Infizieren der Hotel-Systeme in denen die Verhandlungen stattfinden, so dass die Gespräche in den Räumen auch direkt abgehört werden können, nicht nur der elektronische Datenverkehr.

 

Auch Nordkorea spielt aktiv mit: Lazarus Gruppe aktiv gegen die Banken der Welt

Beim Cyberwar findet eine Nivellierung der Möglichkeiten der Nationen statt. Auch Nationen wie Iran und Nordkorea, die mit ihren Armeen nicht gegen die Waffentechnologien der hochentwickelten Nationen auftreten können, sind beim Cyberwar ernsthafte Player und können Schäden für Volkswirtschaften und bei Firmen anderer Länder anrichten, die richtig weh tun. Und andere Schwellenländer werden dies nachmachen wollen. Ein Ergebnis davon ist, dass die Diskussionen im Hackback oder Selbstverteidigung immer stärker werden.

2017 verdichten sich die Hinweise darauf, dass die Angriffe der sog. Lazarus Cybercrime Gruppe aus Nordkorea kommen. Nach dem durchaus spektakulären Angriff auf Sony Pictures werden der Gruppe finanziell lukrative Angriffe auf verschiedene Banken zugeschrieben, unter anderem die Angriffe via Swift, bei denen z.B. die Nationalbank in Bangladesh 51 Mio USD verloren hat. Hier ein zusammenfassender Artikel: Symantec: Nordkorea hinter Cyberangriffen auf Banken mit Referenz auf die Studie von Symantec.

Auch österreichische Bankadressen haben sich in der Malware gefunden. Hier ein Analyse-Papier von Kaspersky Labs (inkl. SWIFT "Raubzug" Malware-Analysen).

 

 

Juristische Aspekte von Cyberwar, z.B. Recht auf Selbstverteidigung, Verhältnismäßigkeit von Einsätzen, etc.

Wer sich für juristische Aspekte von Cyberwar interessiert, dem sei ganz dringend diese Veröffentlichung empfohlen: The Tallinn Manual on the International Law Applicable to Cyber Warfare. Der Text kann nur käuflich Taschenbuch oder eBook erworben werden.

2016 machen die USA und China gemeinsam digitale Wargames um zu verhindern dass aus einem (evt. missverstandenen oder falsch zugeordnetem) Cyberangriff ein richtiger Krieg wird. Russland und China schließen Nichtangriffspakt im Internet.

 

Cyber-Sabotage, Cyber-Terrorismus, Cyber-Krieg - Cyber War

Der Begriff Cyber-War wird derzeit ziemlich inflationär verbreitet, oft auch in der Form Cyber-Terror. IT-basierte Angriffe zur Unterstützung von konventioneller Kriegsführung sind nichts Neues und fallen in diese Klasse, aber auch natürlich auch der Stuxnet-Angriff auf die Kernenergie-Anlagen im Iran. Wie in einigen der hier verlinkten Artikel aber erklärt wird, so ist nicht jede Handlung die gegen einen Staat gerichtet ist ein "Krieg" im Sinne von Clausewitz. Dafür müssen die Angriffe einem Angreifer zuordenbar sein und es müssen sich auch beide Parteien beteiligen.

Thomas Rid veröffentlichte im Journal of Strategic Studies dazu einen sehr lesenswerten Artikel Cyber War Will Not Take Place. Er geht von der Definition von Krieg bei Clausewitz aus und zeigt, dass keiner der bisherigen Ereignisse die so oft unter diesem Begriff subsummiert werden, diese Kriterien erfüllt. Ein Krieg ist immer politisch und will ein Ziel erreichen, das auch dem Angegriffenen vermittelt wird. Anonyme Angriffe (d.h. Angriffe die nicht klar zuordenbar sind) sind daher kein Krieg in diesen Sinne, sondern können Spionage, Sabotage oder Terrorismus sein. Ein weiteres Kriterium das die bisherigen Angriffe nicht erfüllen ist, dass es bei einem Krieg immer 2 aktive Parteien geben muss, ansonsten ist es Sabotage oder Terrorismus. Der Artikel ist sehr ausführlich und bringt viele gute Argumente und weitere Links.

In diesem Sinne war Stuxnet kein Krieg, sondern Cyber Sabotage. Ein nicht identifizierter Gegner versucht Anlagen zu behindern oder zu zerstören. Bei Cyber Sabotage geht es darum, dass (in der Regel) ein Staat zumindest kurzzeitig geschwächt werden soll, indem Teile seiner Infrastruktur lahm gelegt. Das kann über simple Denial of Service-Angriffe (DoS) geschehen oder komplexe Operationen die eine Unterwanderung der IT-Infrastruktur ähnlich zur Industriespionage erfordern.

Mehr Beispiele für Cyber-Sabotage finden sich auch im Rückblick 2014 und im meinem Artikel zum Thema Blackout, Angriffe auf die Energieversorgung, in dem ich auch auf den BlackEnergy Angriff in der Ukraine Ende 2015 eingehe.

Man muss 2 Arten von Cyber Sabotage unterscheiden: im ersten, einfachen Fall versucht ein Gegner, ein IT-System zu behindern oder zum Absturz zu bringen. Das ist vergleichsweise einfach, gelingt z.B. den Hacktivisten von Anonymous immer wieder mit Denial of Service Angriffen (DoS). Das ist zwar lästig (und kann auch schon mal zu finanziellen Verlusten führen), aber es ist kein großes Problem. Selbst das Sabotieren von Systemen von innen, z.B. indem Daten gelöscht werden, führt aber nur zu begrenzten Verzögerungen bis die Systeme neu aufgesetzt sind und die Daten aus der Datensicherung zurückgeladen werden.

Die zweite Form von Cyber Sabotage, wie sie bei Stuxnet praktiziert wurde, ist hingegen extrem schwierig. Dabei ging es nicht darum, dass das System abstürzt, sondern dass es weiter funktioniert, aber heimlich zusätzliche Funktionalitäten ausübt. Wer beruflich ein großes IT-System (oder auch nur ein großes IT-Netz) am korrekten Funktionieren halten muss, der weiß, dass in der Regel jedes einzelne Bit, jeder Parameter stimmen muss. Und das ist extrem schwierig, selbst wenn es der eigene Job ist, man alle Unterlagen hat, die man selbst und die Kollegen erstellt haben und man das ganze 8 Stunden am Tag und nicht heimlich machen muss.

Wie viel schwieriger ist es dann, ein IT-System nicht einfach zu sabotieren, sondern es dazu zu bringen, etwas anderes zu tun, ohne dass es einfach "stehenbleibt". Es erfordert normalerweise einen Insider (was bei Stuxnet angeblich der Fall war und eine komplette Testumgebung in der das System nachgestellt und ausgetestet werden kann.

Wer Kraftwerke ernsthaft angreifen will, der braucht die entsprechenden Steuersysteme für seine Tests, wer Smart Meter angreifen will, der wird sich die entsprechenden Geräte für Tests besorgen. Selbst die sog. Skimmer, die die Bankomaten manipulieren, kaufen sich entsprechende Bankomaten gebraucht bei eBay.

Michael V. Hayden, a former NSA director and CIA director:

    "It is far more difficult to penetrate a network, learn about it, reside on it forever and extract information from it without being detected than it is to go in and stomp around inside the network causing damage."

 

Jan. 2015
Der Spiegel veröffentlicht einen Artikel zu neu bekanntgewordenen Snowden-Papieren: The Digital Arms Race: NSA Preps America for Future Battle. Der Artikel beschreibt, dass es seit Jahren Offensive-Planungen bei der NSA gibt, mit dem Ziel sog. D Weapons als Angriffswaffe einzusetzen um durch großflächiges Zerstören der IT-Infrastruktur des Gegners ein Land zu lähmen. Der Artikel verlinkt auch auf die Original-Dokumente.

Die auf dieser Website bereits ausführlich dargestellten Überwachungsmaßnahmen und die Aktivitäten von TAO (Tailored Access Operations) etablieren Hintertüren in die Netze der anderen Ländern und erlauben, dort Zeitbomben zu platzieren. Diese sollen dann genutzt werden, um durch wenn möglich permanentes Zerstören der wichtigsten IT-Geräte das Land des Gegners zu lähmen.

Die Hacker der NSA sind bereits so weit auf dem Weg zu ihrem vorgegebenen Ziel "global network dominance", dass es ihnen angeblich oft gelingt, Angriffe anderer Länder zu beobachten, in die Command-and-Control Center einzudringen und die gestohlenen Daten für ihre eigenen Zwecke zu nutzen. Die Technik wird "Fourth Party Access" genannt.

Die NSA setzt im Rahmen der QUANTUMBOT, DEFIANTWARRIOR und HIDDENSALAMANDER Programme auch Botnets ein, so dass auch Unbeteiligte zu Schaden kommen können. Sie nennen dies "throw-away non-attributable CNA (eds: computer network attack) nodes". Angeblich sind dies meist PCs die bereits infiziert sind und von der NSA für eigene Zwecke übernommen werden, z.B. als Angriffswaffe der nicht zur NSA zurückverfolgt werden kann. Ebenfalls wegen der Nicht-Rückverfolgbarkeit transportiert die NSA wenn sie irgendwo Daten abzieht, z.B. von einem anderen Geheimdienst, die Daten zu einem sog. Scapegoat Target. Das ist irgendein Rechner auf den die NSA Zugriff hat. Um selbst an die Daten zu kommen ist es für die NSA auf unverfänglichsten, wenn sie diese Daten dann auf dem Weg vom anderen Geheimdienst zum Scapegoat Target irgendwo auf einem Internetknoten abgreifen. Sie legen dadurch für den anderen Geheimdienst eine falsche Fährte, wieder ein Problem der "Attributability".

Die Aktivitäten der Cyberkrieger aller Länder sind eine immer stärker werdende Bedrohung für die Sicherheit aller unserer Aktivitäten im Internet, von denen das Funktionieren unserer Gesellschaft immer stärker abhängt.

Noch ein Aspekt: Bruce Schneier schreibt 2015 über die beiden konträren Rollen, die die NSA hat: Sie hat erstens die Aufgabe, die Infrastruktur der USA zu schützen, und zweitens, das Ausspionieren der anderen Staaten. Für das 2. nutzt sie Zero-Day Schwachstellen, die sie für diesen Zweck aufkauft und hortet (die NSA sind der größte Käufer, z.B. von dubiosen Anbietern wie Hacking Team), für die 1. Aufgabe müsste sie die eigenen IT-Betreiber und die Hersteller über die Schwachstellen informieren, so dass die Schwachstellen gepatcht werden können.

 

Beispiele für Angriffe gegen Infrastruktur

Das Paradebeispiel ist natürlich Stuxnet in 2010 (an der verlinkten Stelle werden auch viele Hintergründe zu den Sicherheitsproblemen von SCADA und ICS System dargestellt). Eines der wenigen bekannten älteren Beispiele für eine erfolgreiche Cyber-Sabotage ist der Angriff auf eine australische Kläranlage in 2000, bei der ein Ex-Mitarbeiter mehrere Millionen Liter Abwasser in Flüsse, Parks und auf das Grundstück eines großen Hotels laufen lies (Maroochy-Water-Services-Case-Study).

Mai 2013:
Es gibt Berichte über angebliche Angriffe aus dem Iran: Iran Hacks Energy Firms, U.S. Says. Der Punkt des Artikels ist: die chinesischen Hacker versuchen lediglich, Daten zu stehlen, die iranischen Hacker scheinen ernstere Angriffsziele zu haben: die Störung von Öl- und Gas-Pipelines. Zitat: "They proceeded 'far enough to worry people,' one former official said." Diese Angriffe werden auch deutlich ernster gesehen als die seit vielen Monaten laufenden DoS-Angriffe gegen US-Banken.

 

Dez. 2014:
Wer das deutsche Stahlwerk sabotiert hat, ist weit offen. Aber auf Grund des detaillierten Fachwissens sieht es doch stark nach Profis aus.

In 2014 wurde ein anderer älterer Vorfall bekannt: 2008 explodierte eine Pipeline in der Türkei und es wird vermutet, dass Angreifer sich über die Verkabelung der externen Videokameras in das interne Netz (mit vielen Details im verlinkten Artikel) gehackt haben und dann den Druck manipuliert. Der Verdacht liegt auf Russland, auch wenn kurdische Separatisten offiziell die Verantwortung übernommen haben.

 

Die Waffen im Cyber War

Der Artikel The cyber-weapons paradox: 'They're not that dangerous' bringt eine Reihe von interessanten Aspekten zu diesem Thema. Solche aufwendig und professionell gemachten Cyberwaffen sind so spezifisch, dass sie kaum Collateral-Schäden verursachen: Stuxnet hat ganz nebenbei ca. 100 000 Windows-Rechner befallen, ohne dass bei diesen ein Schaden entstand.

Der recht gute Artikel in Business Week: Cyber Weapons: The New Arms Race gibt einen ausführlichen Überblick über die neu entstehende Cyberwar-Industrie und was für ein gutes Geschäft das ganze ist.

Forbes nimmt sich des Themas Handel mit Exploits an. Ich habe darüber in meinen Notizen 2012 geschrieben. Dort wird erwähnt, was für eine Industrie (mit scheinbar legitimen Hintergrund) das mittlereweile geworden ist.

Ebenfalls zu den Werkzeugen gehören Training-Ranges, so wie die "richtigen" Soldaten das auch haben. In diesem Fall heißen sie Cyber Ranges. Der hier verlinkte Artikel gibt viele Details dazu, u.a. dass viele bereits seit 2008 betrieben und weiterentwickelt werden.

 

 

 

Doxing, Disinformation Kampagnen und Troll-Fabriken

Organizational Doxing (oder nur Doxing) ist in der Sicherheitsszene der Fachbegriff für das Veröffentlichen von (wahren - oder bei Bedarf auch gefälschten) Dokumenten zum Schaden eines Unternehmens oder einer Person oder Organisation. Prominente Beispiele sind die veröffentlichten Dokumente von Sony Pictures Entertainment, des Democratic National Committee, Hacking Team und viele andere, die in den meisten dieser Fälle zum schnellen Ende von vielversprechenden Karrieren geführt haben. Ziel ist entweder Erpressung oder einfach nur der Firma oder der Person zu schaden. Bruce Schneier hatte 2015 in einem etwas früheren Artikel im Atlantic geschrieben "The Meanest Email You Ever Wrote, Searchable on the Internet: In the age of cloud computing, everyone is vulnerable." Das Veröffentlichen von falschen Nachrichten ist ein verwandtes Thema, läuft aber in der Regeln heute unter Fake News (und wird hier an anderer Stelle diskutiert).

2016 hat Bruce Schneier auf die zusätzliche Option, die Dokumente vor dem Leak leicht zu verfälschen, hingewiesen: How Long Until Hackers Start Faking Leaked Documents? Leider ist das aber keine theoretische Überlegung.

Okt. 2016: Doxing durch APT28
APT28 schafft es mal wieder in die Presse: Im Zusammenhang mit den Doping-Vorwürfen gegen russische Sportler werden von russischer Seite Dokumente der Welt-Anti-Dopingagentur Wada veröffentlicht, die über Medikamentennutzung amerikanischer Sportlerinnen berichten. Dabei deutet viel darauf hin, dass die Gruppe die wahlweise als APT28 oder Fancy Bear bezeichnet wird, dahinter steht. Jetzt kommt der Knackpunkt: Wada sagt, dass die meisten der Dokumente schon echt seien, aber nicht alle. Dokumente vor der Veröffentlichung leicht zu verfälschen macht es für die betroffene Organisation sehr schwer, ein glaubhaftes Dementi zu erzeugen.

Die NY Times berichtet: A Powerful Russian Weapon: The Spread of False Stories. Der Artikel berichtet über die vielen falschen Berichte aus Russland zu Themen wie dem Abschuss des Zivilflugzeugs über der Ukraine oder die Behauptung, dass die NATO Kernwaffen in Schweden positioniert hätte. Dazu passen die Berichte über die Troll Fabriken in Russland. Mehr zu APT28 und APT 29 weiter unten.

Sept. 2015: Troll Fabriken
Dazu hier ein interessanter Artikel in Techrepublic: The new art of war: How trolls, hackers and spies are rewriting the rules of conflict. Russland hat eine neue Technik im Cyberwar perfektioniert: Angriffe auf die öffentliche Meinung mittels Troll Fabriken (ausführlicher Bericht in der NY Times). Auf diese Weise hat Putin die öffentliche Meinung in Russland ganz gut in Griff was die Krim und die Ukraine betrifft und auch im Westen sind viele Leute durch die bezahlten Blog-Beiträge ziemlich verwirrt.

An anderer Stelle schreibe ich darüber, wie diese Disinformationen die sog. Filterblase füttern und stabilisieren.

Bzw. ganz speziell die Themen Brexit und Trump-Wahl, Fake-News und das schlimme Schlagwort vom postfaktischen Zeitalter

Disinformation Kampagnen, d.h. Schmierkampagnen kann man aber auch außerhalb Russlands kaufen: der indische Anbieter Aglaya bot 2014 Infiltration in die Netze von "Gegnern", aber auch verdeckte Aktionen wie "sting operations", Diskreditierung von Gegnern (egal ob Privatpersonen oder Firmen) in Social Networks und Twitter und auch das Erzeugen von falschen Anklagen gegen die Opfer der Angriffe. Auch für Angriffe gegen kritische Infrastruktur sind sie sich nicht zu gut.

Auch aus der russichen Trickkiste: ein Bericht in der NY Times Foes of Russia Say Child Pornography Is Planted to Ruin Them. Der Bericht sagt, dass die alte Technik aus Sowjetzeiten, Kinderpornographie auf Rechnern von Regime-Kritikern zu installieren, wieder gut in Mode ist. Letztendlich ist es sehr sehr schwer, sich gegen solche Vorwürfe effektiv zu wehren.

 

 

 

Auch die deutsche Verteidigungsministerien möchte jetzt 2017 zurückschlagen dürfen: Von der Leyen verteidigt Cyber-Attacken: "Wir dürfen uns auch wehren".

Aktualisiert wurde diese Debatte Ende 2014 durch den 2014-Angriff auf Sony, der Nordkorea unterstellt wird. Und der Fall von Nordkorea zeigt eine "Asymetrie" des Cyberterrors auf: Auch wenn Obama zurückschlagen will, so kann er keine vergleichbaren Schäden in Nordkorea anrichten, denn die zu verteidigende Angriffsfläche ist in Nordkorea tausendemal kleiner (angeblich gibt es für das ganze Land nur öffentliche 1024 IP-Adressen).

Und die USA sitzen was Cyberangriffe betrifft, im Glashaus - Deutschland nicht weniger, wie der erfolgreiche Angriff gegen das Stahlwerk zeigt.

Das könnte ein Grund sein, warum das FBI jetzt Gerüchten nachgeht, dass US-Banken einen Server im Iran "abgeschossen" hätten. Das FBI erwägt ein Vorgehen nach Computer Fraud and Abuse Act.

Die Hackback Debatte und andere Offensive-Options

Dez. 2012: In den USA wird eine Diskussion (und auch gleich ein paar spezialisierte Unternehmen) gestartet, ob es legal ist wenn die Opfer einer Hack-Atacke sich zu wehren versuchen und z.B. in den Command-and-Control Server das Angreifers und vielleicht sogar in den PC des Hackers einzudringen. Ein erfolgreiches Beispiel dafür berichtet das CERT Georgia: Georgia turns the tables on Russian hacker. Ihnen gelingt es, dem Hacker eine infizierte Datei unterzuschieben, die die Kamera seines Rechner aktiviert und ein Foto vom ihm macht.

Ein ausführliches Protokoll der Argumente "Pro und Contra Hackback" in den USA finden sich im Internet: The Hackback Debate.

Juni 2013:
Die Cyber-Doktrin der USA scheint aber deutlich über Hackback hinaus zu gehen. Der britische Guardian berichtet Obama orders US to draw up overseas target list for cyber-attacks. Die ganze Sache ist natürlich hoch-geheim. Der Guardian berichtet:

    An intelligence source with extensive knowledge of the National Security Agency's systems told the Guardian the US complaints again China were hypocritical, because America had participated in offensive cyber operations and widespread hacking – breaking into foreign computer systems to mine information.
    Provided anonymity to speak critically about classified practices, the source said: "We hack everyone everywhere. We like to make a distinction between us and the others. But we are in almost every country in the world."
    The US likes to haul China before the international court of public opinion for "doing what we do every day", the source added.

Herbst 2016 kommt es aus Anlass der US-Wahlen und der verschiedenen Eingriffe von Hackern in den Ablauf (z.B. Datendiebstahl aus diversen internen Systemen inkl. Wahlnetzen und Datenleaks) zu konkreten Drohungen, bei einer Störung am Wahltag zurückzuschlagen und zwar die Infrastruktur in Moskau zu stören oder zu sabotieren, entsprechende Vorbereitungen wären bereits getroffen worden - Russland verlangt ein Dementi der US-Regierung.

Die NY Times hat die 5 Haupt-Optionen aufgelistet, die ausländische Hacker zum Stören der Wahl haben. Der direkte Angriff auf Wahlmaschinen ist nur eine davon. Der mit Russland in Verbindung gebrachte Hacker mit dem Tarnnamen Guccifer 2.0 drohte am Freitag damit, man werde die Wahl „innerhalb des Netzwerks der Zentralen Wahlkommission“ (FEC) beobachten.

2017: Ein detailliertes Papier der George Washington University über hacking back: "Into the Gray Zone: The Private Sector and Active Defense against Cyber Threats." 3 etwas ältere Papiere dazu: 2013: International Law and Private Actor Active Cyber Defensive Measures, 2016: Ethics of Hacking Back - Six arguments from armed conflict to zombies und 2012: MITIGATIVE COUNTERSTRIKING: SELF-DEFENSE AND DETERRENCE IN CYBERSPACE.

Sept. 2017
Auch das deutsche Militär möchte das Recht bekommen, offensiv im Cyberspace zu operieren und "zurückzuschlagen": Cyberangriffe auf Deutschland : Auge um Auge – Byte um Byte. Der Artikel weist sehr korrekt darauf hin, dass das problematisch ist. Erstens weil man meist nicht feststellen kann, woher der Angriff wirklich kommt, und zweitens, weil z.B. das "Abschießen" eines Servers eines Krankenhauses, den die Angreifer als "Hop-Server" genutzt haben, sehr hohe Kollateralschäden haben könnte.

 

 

 

Zu diesem Kapitel zur sog. "Active Defense", zum Gegenschlag, passt die Affaire um den 2014er Angriff gegen Sony (die Jahreszahl muss man dazu sagen, Sony hat ein lange Geschichte von "Hacker-Trouble".)

Unbekannte Hacker sind tief in das interne Sony Netz eingedrungen, haben ALLE Daten entführt, und veröffentlichen diese jetzt, inkl. sehr persönliche Emails von Managern und kleinen Angestellten. Sony zieht ihre Satire über Nordkorea aus den Kinos zurück. Eigentlich weiß niemand, wer die Angreifer sind, aber die US-Regierung ist sicher, dass es Nordkorea war und sie will mit gleicher Währung zurückzahlen. Das Beispiel zeigt sehr klar, dass "Attribution", d.h. Nennung des Angreifers bei Cyberwar oder Cyberterror nicht möglich ist und daher sind alle Aktionen der vorgeblichen Gegenwehr im rechtsfreien Raum. Ein geschickter Täter braucht seine (in diesem Fall wohl recht simple) Angriffssoftware nur mit der Spracheinstellung "Koreanisch" zu Compilieren und schon fallen die USA über ihn her.

 

Die 'Proactive Defense' Diskussion

Das Hauptproblem beim sog. Cyberwar ist Attribution, d.h. die Feststellung wer eigentlich angegriffen hat. Es ist recht leicht, einen Angriff über chinesische IP-Adressen kommen zu lassen und schon haben wir einen schönen internationalen Konflikt. Das ist ideal für Terroristen die Unruhe stiften wollen. Über dieses Problem setzen sich aber alle Cyberwar-Befürworter locker hinweg.

Deren Lösung des Problems sieht so aus: schlagkräftige Angriffstruppen im Cyberspace, in Verbindung mit Drohungen gegen Hacker und zum Schutz der eigenen Infrastruktur viel teure Security Software mit Sensoren und Monitoren und ähnlichen Tools. Dabei ist die wirkliche Lösung der Einsatz von sicherer Software, aber das wäre kurzfristig teurer (langfristig aber billiger und sicherer). Sensoren die Angriffe aufspüren und dann zurückzuschlagen gegen Angreifer ist deutlich sexier als das systematische Testen und Fixen von Software. Dies ist aber die einzige wirkliche Lösung für das Problem der Informationssicherheit.

 

Presidential Policy Directive 20 - "Offensive Cyber Effect Operations"

Eines der Snowden-Papiere (veröffentlicht in 2013) beschreibt "Offensive Cyber Effect Operations" (OECO):

    OECO can offer unique and unconventional capabilities to advance US national objectives around the world with little or no warning to the adversary or target and with potential effects ranging from subtle to severely damaging. The development and sustainment of OCEO capabilities, however, may require considerable time and effort if access and tools for a specific target do not already exist.
    The United States Government shall identify potential targets of national importance where OCEO can offer a favorable balance of effectiveness and risk as compared with other instruments of national power, establish and maintain OCEO capabilities integrated as appropriate with other US offensive capabilities, and execute those capabilities in a manner consistent with the provisions of this directive.

Quelle: zdnet.com

Bruce Schneier hält dies in Has U.S. started an Internet war? für sehr gefährlich, denn damit haben die USA klar gesagt, dass sie fremde Rechner und fremde Netze nicht nurinfiltrieren wollen, sondern bei Bedarf auch sabotieren, wie auch immer. Das könnte z.B. bedeuten, dass US-Firmen gezwungen werden, in ihre Produkte Backdoors einzubauen. Und dies bedeutet, dass die anderen Länder müssen schauen, dass sie sich dagegen schützen.

Bruce Schneier verweist auf einen Artikel von James Bamford The Secret War. Zitat:

    According to Defense News' C4ISR Journal and Bloomberg Businessweek, Endgame [ein dabei eingesetzte Software] also offers its intelligence clients -- agencies like Cyber Command, the NSA, the CIA, and British intelligence -- a unique map showing them exactly where their targets are located. Dubbed Bonesaw, the map displays the geolocation and digital address of basically every device connected to the Internet around the world, providing what's called network situational awareness. The client locates a region on the password-protected web-based map, then picks a country and city -- say, Beijing, China. Next the client types in the name of the target organization, such as the Ministry of Public Security's No. 3 Research Institute, which is responsible for computer security -- or simply enters its address, 6 Zhengyi Road. The map will then display what software is running on the computers inside the facility, what types of malware some may contain, and a menu of custom-designed exploits that can be used to secretly gain entry. It can also pinpoint those devices infected with malware, such as the Conficker worm, as well as networks turned into botnets and zombies -- the equivalent of a back door left open . . .
    The buying and using of such a subscription by nation-states could be seen as an act of war. 'If you are engaged in reconnaissance on an adversary's systems, you are laying the electronic battlefield and preparing to use it' wrote Mike Jacobs, a former NSA director for information assurance, in a McAfee report on cyberwarfare. 'In my opinion, these activities constitute acts of war, or at least a prelude to future acts of war.' The question is, who else is on the secretive company's client list? Because there is as of yet no oversight or regulation of the cyberweapons trade, companies in the cyber-industrial complex are free to sell to whomever they wish. "It should be illegal," said the former senior intelligence official involved in cyberwarfare. "I knew about Endgame when I was in intelligence. The intelligence community didn't like it, but they're the largest consumer of that business."

Bruce Schneier fragt deswegen, ob die US nicht den Cyberwar durch diese Vorbereitungshandlungen bereits begonnen haben: ". . . Rooting around other countries' networks, analyzing vulnerabilities, creating back doors, and leaving logic bombs could easily be construed as acts of war. And all it takes is one overachieving national leader for this all to tumble into actual war." Und dabei sind die USA eines der verwundbarsten Länder im Cyberspace. Dann bezieht er sich auf das Konzept der Abschreckung im Kalten Krieg (Mutually Assured Destruction): " MAD, mutually assured destruction, made sense because there were two superpowers opposing each other. On the Internet there are all sorts of different powers, from nation-states to much less organized groups. An arsenal of cyberweapons begs to be used, and, as we learned from Stuxnet, there's always collateral damage to innocents when they are. We're much safer with a strong defense than with a counterbalancing offense."

Der frühere NSA und CIA director Michael Hayden hat in einem Interview das im Prinzip sogar bestätigt. Zitat aus der Washington Post:

    Hayden also conceded that the United States. "could be fairly charged with the militarization of the World Wide Web." The NSA's Tactical Access Operations (TAO) is reportedly charged with hacking foreign targets to steal data and monitor communications. It also reportedly develops programs that could destroy or damage foreign computers and networks using cyberattacks.

 

 

 

Attribution von Kenntnissen aus dem Räumen der Angreifer

Ein Artikel in 2017 zitiert den NSA Deputy Director mit "It was ‘hand to hand combat’". Zitat daraus:

    The NSA was alerted to the compromises by a Western intelligence agency. The ally had managed to hack not only the Russians' computers, but also the surveillance cameras inside their workspace, according to the former officials. They monitored the hackers as they maneuvered inside the U.S. systems and as they walked in and out of the workspace, and were able to see faces, the officials said."

Wenn das so stimmt, dass der westliche Geheimdienst die Videokameras in den Räumen der Angreifer übernommen hatte und ihnen detailiert bei der Arbeit zuschauen konnte, dann ist die Attribution natürlich keine Kunst. In wie vielen Fällen das wirklich möglich ist, bleibt offen. Gerüchten zufolge konnte der Angriff gegen Sony Pictures 2014 auf ähnliche Weise Nordkorea zugeordnet werden. Auf jeden Fall erzählt der NSA Mann aber eine packende Geschichte. ;-)

Wer ist es gewesen? - Das Problem der Attribution

Bei Attribution geht es um die Zuordnung zwischen einem Täter (actor) und einer Tat. Das ist ein Problem, das bei jedem Verbrechen entsteht und das dann durch die Kriminalpolizei recherchiert und durch die Gerichte entschieden wird. Diese Arbeit trägt einen ganzen Zweig der Populärliteratur. Die Zuordnung kann auch in "real-live" Situationen schwierig sein, z.B. beim Abschuss des Flugzeugs über der Ukraine 2014. Es ist aber oft noch schwieriger bei Angriffen im Internet, z.B. Cybercrime, Cyberspionage und Cyberwar. "Plausible Deniability" ermöglicht es den Beschuldigten sehr oft, die Verantwortung z.B durch Verweis auf andere, z.B. Hacktivisten, von sich zu weisen (auch wenn diese vielleicht als Proxy, d.h. im Auftrag aktiv sind - siehe Need Some Espionage Done? Hackers Are for Hire Online).

Attribution kann mit vielen technischen Mitteln erschwert werden. So werden die Angreifer in der Regeln “hop points„ oder einen Anonymisierer wie TOR oder andere Mittel verwenden um die Spuren zu verwischen. Compiler speichern zwar beim Übersetzen eines Programmes in Maschinencode (auch bei Schadprogrammen) die Spracheinstellung des PCs im Maschinencode als Kommentar ab. Aber auch diese Einstellung lässt sich vor (oder auch nach) der Compilierung leicht ändern. Kommentare im Programm, Pfadnamen im Dateisystem oder die Bekennerschreiben werden auch auf sprachliche oder kulturelle Eigenheiten untersucht, aber alles dies ist auch fälschbar.

Eine Methoden der Attribution ist "pattern-of-life" Analyse. Damit ist gemeint, dass bei "beamteten" Angreifern typischerweise feste Arbeitszeiten eingehalten werden. So wurden als ein typisches Zeichen von APT1 ausschließlich Aktivitäten zu regulärer chinesischer Arbeitszeit gefunden, im Gegensatz dazu gibt es Angriffe, bei denen alle Aktivitäten in der Arbeitszeit in russischen Zeitzonen liegen (Petersburg oder Moskau). Erfolgreiche Atribution ist aber sehr oft die Folge von Fehlern der Angreifer, z.B. dass sie ihren Facebook-, Twitter- oder Gmail-Account einmal ohne Nutzung von TOR aufgerufen haben. Oder dass ihr Nickname, den sie bei den Angriffen im Programmcode hinterlassen, in ihrer Zeit vor der Hacking-Karriere bereits von ihnen im Netz genutzt wurde und in den alten Logs mit unverfälschten IP-Adressen verknüpft ist. Bei den "nicht-beamteten" Angreifern ist oft die Geltungssucht ein wichtiger Fehler der zur Aufdeckung führt. An anderer Stelle habe ich erklärt, warum Nicknames eine gefährliche Sache sind, man muss um im Untergrund aktiv zu sein, eine "saubere" neue Online-Identität aufbauen, ohne sentimentale Anklänge an frühere oder offline-Identitäten. Beispiele für Fehler von Hackern finden sich weiter oben.

Attribution ist ein wichtiger Faktor gerade beim Thema Cyberwar, wo die Militärs sich ein Recht auf Selbstverteidigung durch Gegenangriff vorbehalten. Dort kann eine falsche Zuordnung (z.B. durch bewusst gelegte falsche Spuren, z.B. Hop Points in anderen Ländern), zu einer Katastrophe führen. Die Behauptung, man kenne die Angreifer, kann wenn sie nicht als Bluff enttarnt wird, sehr wirksam sein, weil alle anderen dann glauben (könnten), dass der Beschuldiger Möglichkeiten hat, Angreifer zu identifizieren, was Teil der Abschreckung sein kann. Dies wird auch im Fall Sony 2014/15 spekuliert.

Bruce Schneier schreibt dazu in 2015:

Ja, das ist beachtlich, dass diese Form der "Kriegsführung" so asymetrisch geworden ist, dass Angriffe von Amateuren und Hacktivisten von stattlichen Angriffen kaum noch zu unterscheiden sind. Beide setzen die selbe Software gegen die selben Verwundbarkeiten ein.

Eine umfassende wissenschaftliche Bearbeitung des Themas findet sich in Thomas Rid and Ben Buchanan: Attributing Cyber Attacks. Dort findet sich auch eine lange Liste von Ergebnissen von Veröffentlichungen von Angriffsdetails (mit vielen Referenzen auf die Quellen):

    When Kaspersky Lab, for instance, published its Careto report on 10 February 2014, about a Spanish language intrusion set, the operation was dismantled ‘within one hour’. When the Flame report came out in May 2012, it took the intruders nearly two weeks to shut down the operation. The way an operation is shut down may provide additional attributive clues, for instance whether the shutdown is done professionally, maintaining high levels of operational security, or slowly, possibly indicating that a large bureaucracy had to authorise the decision to shut down the operation. When Duqu, a savvy operation, was revealed, its operators forgot to shred files that had been deleted but recoverable, thus revealing details about the operation. Several of the intrusions that Kaspersky unveiled disappeared after the initial publicity, some faster than others, and some more smoothly than others: Red October disappeared, so did Miniduke and Icefog, all in 2013. The two latter examples are remarkable, because Kaspersky’s reports did not identify a suspected offender or even a suspected country; the intruders nevertheless retreated. The handlers of Flame, most notably, started dismantling a highly elaborate command-and-control infrastructure on 14 May 2012, two weeks before Kaspersky’s report became public, indicating an extraordinary degree of sophistication, possibly even advance warning. When Mandiant published its APT1 report on 18 February 2013, the malicious activity revealed in the highly-publicised report first stopped for 41 days, then remained at lower-than normal levels until nearly 160 days after exposure.

Sept. 2015
F-Secure berichtet jetzt in einem ausführlichen Bericht über Seven years of malware linked to Russian state-backed cyber espionage mit ganz vielen Varianten von "Duke" Software.

Feb. 2017
Bruce Schneier: Attributing the DNC Hacks to Russia. Er schreibt über die Problematik, die Angriffe bei der US-Wahl 2016 dem russischen Geheimdienst zuzuordnen.

 

 
Dieser Artikel ist Teil einer Viererserie zum Thema Schadsoftware (Malware).
Da sind einmal Tipps für Heim-PCs, dann gibt es eine Seite mit Überblick über verschiedene Formen der Schadsoftware: Spam, Trojanern und anderen Schädlinge und der dritte Artikel erklärt die wirtschaftlichen Hintergründe: Was ist eigentlich das Business Modell der dunklen Seite im Internet?.
Dieser vierte Artikel hier gibt eine Übersicht über die Angreifer im Internet.

 

Und wenn der Angreifer nicht aus dem Internet kommt: Insider

Dem umfangreichen Thema Angriffe durch Insider habe ich mich bereits 2008 angenommen. Und ein noch etwas älterer Artikel behandelt ebenfalls das Thema Angriffe von Innen (mit vielen Links zu Studien). Ebenfalls relevant sind die Ausführungen zu .

 

 

 

Einige Statistiken

In 2012 gibt es einige Artikel zur Frage, ob die Kosten von CYbercrime wirklich 1Trillion USD weltweit pro Jahr betragen, so wie dies eine Reihe interessierter Firmen und auch Politiker behaupten. Beide Gruppen haben Interesse daran, große Schäden aufzuzeigen. Der folgende Wired-Artikel hinterfragt das kritisch: Does Cybercrime Really Cost $1 Trillion?.

Der Autor findet Security Firmen und Politiker, die immer wieder die gleichen Zahlen zitieren, für die aber keine gute Grundlage existiert. Hier in der NYT zur gleichen Frage: The Cybercrime Wave that wasn't.

Researcher von Microsoft haben sich mit der Frage beschäftigt, warum es eigentlich nicht möglich ist, zu vernünftigen Zahlen zu diesem Problem zu kommen: Sex, Lies and Cyber-crime Surveys. Das Hauptproblem liegt in der geringen Zahl von Fällen. "A single individual who claims $50,000 losses, in an N=1000 person survey, is all it takes to generate a $10 billion loss over the population. One unverified claim of $7,500 in phishing losses translates into $1.5 billion." Außerdem kommt noch der self-selection bias dazu. Opfer von Internetbetrug haben eine viel größere Bereitschaft an solchen Umfragen teilzunehmen. Außerdem ist der Begriff nicht klar definiert, jegliche Form das Betrugs, jede Infektion kann dazu gezählt werden. Was sind die Kosten einer PC-Infektion? Wenn ich meine Arbeitszeit beim Reparieren reinrechne, so sind die Kosten der Infektion ein vielfaches der Kosten eines PCs.

Der Norton Cybercrime report 2012 kommt übrigens auf 110 billion, d.h. 10% der McAfee Zahl. Und da sind Reparaturarbeiten auch mit drin, d.h. wenn jemand nach einem Data Leak die Website noch mal ordentlich umbaut, so zählt das vermutlich mit.

 

Hier die Verteilung von opportunistischen versus targeted Attacks für große und kleine Firmen. - Quelle: Verizon

Data Breach Statistiken
Die folgenden Details und Graphiken beruhen auf dem Verizon 2012 Data Breach Investigation Report. Verizon verdingt sich an Firmen bei denen Sicherheitsvorfälle auftraten. Sie versuchen dann die Ursachen zu finden und die Löcher zu schließen. Verizon verwendet für diese Statistiken nur die Zahlen, die bei dieser Arbeit anfallen. D.h. ihn diesen Statistiken sind nur Firmen enthalten, die zumindest so groß sind, dass sie sich ein professionelles Unternehmen für die Aufräumarbeiten leisten können. Außerdem beschäftigen sie sich hauptsächlich mit "Data Breaches", d.h. dem Entwenden von Datensätzen.


Hier einige Zahlen über die Verteilung der Angreifer auf große und kleine Firmen. Organized Crime scheint vor allem auf kleinere Unternehmen loszugehen: opportunistische Angriffe. Hacktivisten "lieben" die großen Firmen mit den großen Namen. Quelle: Verizon

Hier einige Zahlen über die Verteilung der Angreifer auf große und kleine Firmen. Organized Crime scheint vor allem auf kleinere Unternehmen loszugehen: opportunistische Angriffe. Hacktivisten "lieben" die großen Firmen mit den großen Namen. "Unaffiliated Person(s)" bezeichnet die Insider-Angriffe. Diese scheinen in diesen Statistiken kaum auf, denn diese Zahlen beziehen sich auf "gestohlene Datensätze". D.h. wenn ein Insider 5 Patente stiehlt, so geht dies in 1 Million Patientendaten einfach unter.


Ursachen für Verizon Aufträge bei großen Organisationen. Hauptursache waren entwendete Passworte (die Häufung der Vorfälle ist an anderer Stelle dokumentiert). Der detaillierte Report zeigt, dass die Probleme kleinerer Organisationen durchaus anders sein können.

Rechts werden die Angriffstypen bei größeren Unternehmen dargestellt. Interessant ist, dass Social Engineering immerhin bei 12% der Vorfälle zum Einsatz gekommen ist. Das könnte daran liegen, dass bei diesen Organisationen die technischen Vorkehrungen oft bereits so gut sind, dass zu diesem Mittel gegriffen werden muss. Es zeigt auch, dass es für gezielte Angriffe ("targeted attacks") durch Organisationen mit ausreichenden Resourcen immer Mittel und Wege gibt. An anderer Stelle dokumentiere ich weitere Details zu diesen Social Engineering Angriffen.
 


Philipp Schaumann, http://sicherheitskultur.at/

Home

 

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.