Dieser Artikel beschäftigt sich mit verschiedenen Typen von Angreifern die ihre Opfer im Internet bedrohen. Alle Angreifer fallen in eine von 2 Klassen: die eine Sorte hat es auf bestimmte Ziele (zumeist bestimmte) Firmen abgesehen bei denen es sehr viel zu holen gibt, z.B. sehr wertvolle Daten wie Forschungsunterlagen oder anderes "Intellectual Property", Sachen die es nur bei dieser Firma gibt. Solche Angriffe nennt man targeted Attacks. Dazu gehören auch einige der Angriffe aus politischen Gründen (Hacktivism, siehe weiter unten). Grund für einen solchen Angriff kann aber auch sein, weil ein Konkurrent an Vorabinformationen über ein neues Gerät oder ein neues Patent interessiert ist, oder aber weil ein Investor Unterlagen sucht, die ihm sagen, ob eine feindliche Übernahme lohnenswert sein könnte.
Solche Angriffe sind sehr schwer abzuwehren und bei ausreichend Resourcen, Zeit und Aufwand kaum zu verhindern. Beispiele sind Angriffe wie wir sie speziell in 2011 gesehen haben, z.B. Stuxnet. Für solche Angriffe werden oft erhebliche Summen investiert, z.B. sog. Zero-Day Vulnerabilities eingekauft, die sehr teuer sein können oder SSL-Zertifikate gefälscht. Selbst wenn eine Organisation technisch perfekt geschützt ist, so gibt es trotzdem immer Möglichkeiten, sich über eine der Formen von Social Engineering, sei es durch gezielt Emails oder auch Telefonanrufe, einen Mitarbeiter zu suchen, der dem Angreifer die Toren öffnet (notfalls durch Erpressung).
Oft beginnen solche Angriffe mit Spearfishing, d.h. gezielten Emails an einzelne Personen, sehr oft zugeschnitten auf deren Interessen und Arbeitsgebiete, scheinbar abgesendet von jemandem aus deren Bekanntenkreis. Diese Informationen sind alle in Facebook oder LinkedIn zu finden. (Spearfishing - Speerfischen ist eine Variation von Phishing, dem Versenden von Emails mit "bösen" Links oder Inhalten an viele Personen). Hier mehr zu Angriffen auf Industrieanalagen. Auch die beginnen meist mit (Spear-)fishing.
Solche targeted Attacks fallen unter die Kategorien Industriespionage, Hacktivisten und Cyber-Sabotage. Wer davon ausgehen muss, Ziel eines solchen Angriffs zu werden, der muss sich darauf einstellen, dass er neben Techniken und Prozessen zur Verhinderung von Angriffen zusätzlich Techniken und Prozessen für die Entdeckung von gelungenen Angriffen benötigt. Dazu gehören z.B. Intrusion Detection und Intrusion Prevention Systeme (IDS, IPS) und vor allem das sog. Security Monitoring, bei dem die verschiedenen Logs die sicherheitsrelevante Informationen enthalten (wie z.B. Firewall-Logs, Proxy-Logs, Logs von misslungenen Anmeldeversuchen) zusammengeführt werden um dort ungewöhnliche Kombinationen von Akitivitäten zu entdecken.
Die meisten von uns werden eher wenig Wahrscheinlichkeit haben, mit solchen targeted Attacks in Kontakt zu kommen, denn nur wenige Ziele sind entsprechend hochkarätig. Wir alle fallen aber in die Kategorie Opportunistic Attacks. Hier sind die Angreifer letztendlich vor allem an Geld interessiert und dafür ist es gleichgültig, von wem dieses Geld (oder die Kreditkarten kommen). Diese Angreifer sind vor allem die Cyber-Kriminellen.
Cyber-Kriminelle sind bei ihren Opfern nicht wählerisch und finden diese zum Teil sogar über Suchmaschinen, wenn sie z.B. gezielt nach Websites suchen, die mit bestimmten veralteten Software-Versionen erstellt wurden und daher leicht mit den fertigen Werkzeugen der Angreifer "geknackt" werden können. Dort installieren sie dann ihre Malware, so dass Besucher dieser Website durch "drive-by" Downloads automatisch infiziert werden (speziell wenn sie nicht die letzten Patches für den Adobe PDF-Reader, Flash Player und ähnliches installiert haben). Genauso wie es den Angreifern egal war, auf was für Websites ihre Schadsoftware platzieren, so ist es ihnen auch weitgehend egal, welche Besucher dieser Websites mit ihren PCs dann Mitglieder der Botnets der Angreifer werden. Hier ein Link zu einer recht guten Übersicht von Imperva über automatisierte Angriffswerkzeuge, wie sie von vielen dieser Angreifer eingesetzt werden.
Gegen solche Angreifer kann man sich relativ leicht schützen, indem man die Grundregeln der sicheren Internet-Nutzung einhält. Die Regel Nr. 1 ist: Software aktuell halten - sowohl für den Heim-PC, wie auch die PHP-Version, das MySQL oder das Wordpress mit denen die Website betrieben wird.
Flame / sKYWIper ist ein gutes Beispiel, dass der gleiche Typus von Angriffssoftware für gezielte Angriffe oder für opportunistische Angriffe eingesetzt wird. Flame / sKYWIper wurde entwickelt für gezielte Angriffe, Trojaner wie Zeus oder SpyEye enhalten sehr ähnliche Funktionalitäten, werden aber für opportunistische Angriffe vor allem durch Cyberkriminelle eingesetzt. Beim Flame / sKYWIper geht es um die gezielte Informationssammlung mit aufwendigen Mitteln, bei Zeus oder SpyEye um Zugriff auf Bankkonten irgendwelcher Bürger.
Die Angreifer haben einen erheblichen Aufwand getrieben und es durch ein ganz neues kryptographisches Verfahren geschafft, sich ein gefälschtes Microsoft-Zertifikat zu basteln, mit dessen Hilfe sie den Windows-Update Service für die Infektionen nützen konnten. Auch dies spricht dafür dass es sich um eine staatliche Spionage-Organisation handelt.
Cyberkriminelle
Nun zu den einzelnen Typen von Angreifern. Die erste Kategorie sind die Cyber-Kriminellen, mit diesen es jeder von uns immer wieder zu tun bekommt, entweder über einen (hoffentlich) misslungenen Angriff oder über eine Infektion des Heim-PCs oder Mac-Gerätes. Dies sind Profikriminelle, die mit Betrug und ähnlichem schnelles Geld verdienen wollen und heutzutage dafür eben das Internet nutzen. Sie sind technisch oft eher durchschnittlich, wissen aber, wo sie bei Bedarf Bankentrojaner oder Spyware kaufen können. Sie verdienen ihr Geld mit dem Abschöpfen von Bankkonten, Kreditkartenbetrug oder Kreditbetrug nach einem Identitätsdiebstahl. Sie kümmern sich um das Abkassieren von gestohlenen Kreditkarten, machen Bankomatkarten nach und ähnliches. Solche Angreifer gehen nicht gezielt vor sondern suchen sich schwache, ungeschützte Opfer.
Im Jahr 2009 hatte ich mir bereits einige Gedanken zur Internetkriminalität gemacht. Der Artikel dort zeigt vor allem die Probleme der Strafverfolgung auf, anderseits haben es die Angreifer auch nicht wirklich einfach. Denn dadurch dass sich die Beteiligten nicht persönlich kennen und treffen gibt es viele Betrüger in der Untergrund-Ökonomie. Der Artikel sagt, dass dies auch die unglaubliche niedrigen Preise z.B. für Kreditkarten erklärt. Wenn mit einer gestohlenen Kreditkartennummer (mit dem Sicherheitscode) wirklich so viel Geld zu machen wäre, so müssten die Preise höher sein. Hier ein Artikel über Kriminalität unter den Kriminellen.
Ein Artikel in der NY Times im Mai 2012 (aber immer noch aktuell in 2023) bestätigt das auch: The Cybercrime Wave That Wasn't. Wenn es wirklich so einfach wäre, im Internet problemlos zu Geld zu kommen, so wären die Verluste noch viel höher. Der Artikel erklärt auch, warum oft so große Zahlen bei Schäden durch Cybercrime in den Studien herauskommen: Self-Selection Bias führt dazu, dass an solche Umfragen nur Personen teilnehmen, die zu Schaden gekommen sind. Die Studien beruhen dann oft auf Opferzahlen deutlich kleiner 100, und wenn dann ein einziges Opfer von 1 Mio Schaden berichtet, so kommen auf die Bevölkerung gerechnet riesige (und zum Teil unrealistische) Schäden zusammen.
Das heißt aber nicht, dass wir die Bedrohungen im Internet vernachlässigen können. Der erste Punkt ist, dass Kollateralschäden erheblich sein können - sowohl bei Privatleuten wie auch bei Firmen. So kostet das Reinigen eines infizierten PCs deutlich mehr als was die Angreifer durch eine Infektion durchschnittlich verdienen. Das gilt übrigens auch im "richtigen Leben": Kupferdiebstahl von Stromleitungen bei der Bahn oder von Blitzableitern bringen dem Täter wenige Tausend Euro, der Gesellschaft aber Schäden die das hundertfache betragen können. Die Schäden durch einen gesprengten Bankomaten liegen bei einem vielfachen dessen, was die Täter aus dem Bankomaten herausholen.
Der nächste Punkt ist, dass es immer wieder neue Geschäftsmodelle gibt, die dann doch zu erheblichen Schäden führen. Ein gutes Beispiel für ein sehr ertragreiches Geschäftsmodell ist der Trend Ransomware, der seit Ende 2015 alles andere bei Angriffen auf Privatgeräte dominiert.
Jan. 2015: Hacker-for-hire durch Privatleute ist eine neue Form des Outsourcings von (mehr oder weniger) kriminellen Aktivitäten. Das sind Websites, bei denen Privatpersonen Geld (einige Hundert bis einige Tausend Dollar) dafür bieten, z.B. den Facebook-Account des Ehegatten oder Ex zu "knacken", ihre Schulnoten zu "korrigieren" oder in Netze der Konkurrenz einzudringen und die Kundenliste zu stehlen. Die Website "putzt sich ab" indem sie auf die Nutzungsbedingungen verweist, die illegale Aktivitäten ausschließen. Anderseits sind viele der Job-Angebote deutlich illegal, aber schwer zu verfolgen, weil nicht (immer) klar ist, in welchem Land das angegriffene System eigentlich liegt. Legal können solche Dienste nur dann sein, wenn sie über die Aktivitäten eines Privatdetektivs nicht hinausgehen.
Rogue Hacker, Malware-Schreiber, Bot-Herder
Jetzt kommen wir zu den Technikern unter den Angreifern, die oft aus intellektueller Neugier beginnen und dann langsam in die Kriminalität abrutschen ("von irgendwas muss man ja leben"). Hier gibt es Beispiele (auch wenn die Beispiele bereits älter sind, bleibt das Prinzip auch 2023 weiter aktuell): Albert Gonzales, ein chinesisches Hacker-Team: "Wicked Rose" and the NCPH Hacking Group (mit Fotos) und Allmachtsfantasien eines Programmierers. Wenn so jemand technisch sehr gut ist, aber von etwas leben muss, so verdingt er sich oft an die Organisationen der Cyber-Kriminellen (siehe oben) und entwickelt für sie Banken-Trojaner oder Trojaner-Software mit deren Hilfe sie infizierte PC zu Botnetzen zusammenfassen können. Oder sie verdingen sich dann als Botnet-Herder, d.h. sie vermieten die Netze an Kriminelle oder führen in deren Auftrag Denial-of-Service-Angriffe durch.
Ein Beispiel für so jemanden haben wir hier: Bekenntnisse eines Botnetz-Betreibers. heise.de schreibt: Wenn man bei der Lektüre im Hinterkopf behält, dass es sich bei dem Autor um einen selbstverliebten Kriminellen handelt, kann man insbesondere aus seinen Einschätzungen zur Computer-Sicherheit und seinen Schilderungen der Szene sehr interessante Erkenntnisse gewinnen. Bestürzend ist für mich das Abschieben der Verantwortung auf die Opfer: sie hätten ja ihre PCs besser schützen können, wer dazu nicht in der Lage ist, der hat nach Meinung dieses Kriminellen im Internet eben nichts verloren.
Dieser Hacker benutzt vor allem infizierte Raubkopien um Rechner zu infizieren, andere Techniker sorgen für die Verteilung der Malware über geknackte Websites und die Infektion der Heim-Systeme, andere erstellen die Bot-Software und administrieren die Botnetze. Die Aufgabe, das erpresste Geld zu transferieren ohne Spuren zu Hinterlassen. Botnets sind aber ein Allzweck-Werkzeug und können auch für andere Sachen genutzt werden, z.B überlassen diese Techniker der organisierten Cyber-Kriminalität. Botnets kann man aber noch für andere Sachen verwenden, neuerdings z.B. für das sog. "Minen" von Bitcoins, einer Online-Währung.
2012:Hier jetzt eine detaillierte Blosstellung der Koobface Malware Gang. Die Informationen stammen von zwei deutschen Sicherheitsforschern, die die Namen im Zeitraum von 2009 bis 2010 ermittelt hatten. Einer der Forscher arbeitet für den Antivirenhersteller Sophos, von dem der hier verlinkte Bericht ist, der viele Fotos aus dem Hackerleben zeigt. An Geld scheint es nicht gemangelt zu haben. In dem verlinkten Bericht wird aber auch sehr detailliert die Arbeitsteilung im Hacker-Untergrund dargestellt.
Hier jetzt noch eine sehr detaillierte Hintergrundstory Cosmo, the Hacker 'God' Who Fell to Earth zu einem Angriff auf einen Redakteur von Wired. In der Hintergrundstory geht es um einen unglücklichen 15-jährigen, der offenbar eine Naturbegabung für Social Engineering Angriffe hat. Für mich liegt dieser Blackhat zwischen dem Typ der in diesem Abschnitt beschrieben wird und den Hacktivisten weiter hinten. Ich finde die Geschichte recht traurig, weil er junge Mann (15 Jahre) offensichtlich sehr begabt ist, aber leider die einzige Möglichkeit zur Selbstbestätigung darin gefunden hat, Social Engineering Angriffe durchzuführen. Falls er jetzt einen längeren Gefängnisaufenthalt bekommt, wird ihn das sicher nicht resozialisieren.
Im Atlantic Monthly war 2013 ein guter Artikel: If Hackers Didn't Exist, Governments Would Have to Invent Them. Der Artikel handelt vom Mythos des Hackers im Keller, der übermenschliche Fähigkeiten hat wenn es um Computer geht und der in jeden Rechner eindringen kann (ein frapantes Beispiel dafür ist m.E. die Heldin von Stieg Larssons Trilogie, sie scheint magische Kräfte zu haben wie sie in Systeme eindringt). Der Autor meint, dass diese Legende von den eigentlichen Problemen der Computersicherheit ablenkt und einen Butzemann / Bogeyman konstruiert der für die Presse unterhaltsam ist und den Regierungen die Möglichkeit gibt, strengere Überwachungsgesetze zu rechtfertigen. Er weist darauf hin, dass die Hälfte der 1400 bekannt gewordenen Datenverluste seit 2005 durch verlorene oder falsch entsorgte Datenträger oder Geräte passiert ist und damit 180 Mio Personendaten gefährdet wurden ohne dass auch nur ein Hacker involviert war. Mehr Details zur Geschichte der Hackerlegende im Artikel.
Juni 2016:
An anderer Stelle ein Interview mit einem russischen Hacker, der derzeit eine Sammlung von 800 Mio Passworten anbietet und behauptet, eine weitere Milliarde zu besitzen. Die Daten sind meist alt (2012 und 2013) aber weiterhin verwendbar, weil kaum jemand Passworte ändert und die alten Passworte auf vielen weiteren Accounts verwendet werden. Auch Zuckerberg und andere Prominente hat es erwischt.
Spammer und Ad-Ware-Verbreiter, Domain-Squatter
Spammer und Ad-Ware-Verbreiter, Domain-Squatter glauben nicht mal, dass sie kriminell sind, sie halten sich selbst für aggressive Marketingmenschen. Sie bekommen ihr Geld nicht von "Opfern", sondern von Firmen die über diese Tricks Besucher auf ihre Website locken wollen und ihnen dann einen Kredit oder Viagra verkaufen.
Diese Firmen sammeln oder kaufen Email-Adressen und versenden Spams-Mails, oder sie kaufen als Domain- und Typo-Squatter Domain-Namen mit geringen Unterschieden zu populären Marken, legen dann Websites an auf die sie gestohlene Inhalte (z.B. aus Wikipedia) übernehmen (Search Engine Optimization, SEO) und dort mittels Google-Adwords Werbung platzieren. Sie werden dann ganz legal von Google für die Hits bezahlt wenn ihre Besucher auf diese Werbung klicken. Diese Klasse von "Internet-Abschaum" sind zumeist nicht sehr gefährlich aber sicher nervig.
Eine andere Art von "Abschaum" sind Internet-Service Provider (ISPs), von denen einige in den USA erwischt wurden dass sie den Datenverkehr ihrer Kunden zu Suchmaschinen umleiten auf andere Websiten zu diesem Thema und sich dafür bezahlen lassen.
Hacktivisten sind politisch motivierte Angreifer im Internet. Als Begründer des Begriffs "hacktivism" wird die Gruppe "Cult of the Dead Cow" (cDc) genannt (eine Buchbesprechung in der NY Times beschreibt sehr gut die Vielschichtigkeit der Gruppe). Andere Hacktivisten sind z.B. die Gruppe "anonymous" die 2016/17 gegen alle vorgeht, die gegen Wikileaks aktiv werden. Und die Gruppe 4chan (siehe Time 100 Precision Hack), der oder die Angreifer die Estland lahm gelegt haben oder auch die Syian Electronic Army (SEA). Es geht ihnen nicht um Geld, sondern um die Sache, oft ein politisches Anliegen (bei 4chan überwiegt aber oft der Jux). Hacktivismus wird manchmal verglichen mit politisch motivierten Gesetzesübertretungen. Dann wird ein Denial of Service (DoS) gegen eine unliebsame Website mit einem Sitzstreik verglichen und das Verändern einer Website (defacement) mit einem Angriff per Spraydose. Hacktivisten nutzen dafür aber auch manchmal Methoden der Industriespionage um z.B. an Emails der "Gegner" zu kommen.
Die bekanntesten Hacktivisten waren 2011 Anonymous. Hier ein Artikel über diese lose Gruppierung mit vielen Beispielen ihrer Aktivitäten: Crude, Inconsistent Threat: Understanding Anonymous. Oft überschneidet sich Hacktivismus mit "doing it for the LULZ", d.h. um Spaß zu haben. Ethisch bedenklich wird es, wenn Unbeteiligte zu Schaden kommen, z.B. durch die Veröffentlichung ihrer Passworte.
Die Firma Imperva wurde vom Vatikan zu Hilfe gerufen, nachdem Anonymous in Südamerika dafür geworben hatte, den Vatikan anzugreifen, indem die Website für den Weltjugendkongress in 2011 in Madrid gehackt wird. Imperva hat jetzt den ausführlichen Bericht über die Angriffe (pdf), von dem Werben für die Aktion bis zur Durchführung der Angriffe auf die Website. Es ist ein gute Dokumention wie Hacktivism ablaufen kann.
Eine Studie von Verizon sagt, dass Hacktivisten in 2011 (bei den Angriffen von denen Verizon Kenntnis hat) mehr Datensätze gestohlen haben als die kriminellen Profis. Das ist aber keine Entwarnung bzgl. der Angriffe der Profis, denn weil diese ihre Erfolge nicht in die Öffentlichkeit tragen ist dort mit einer viel höheren Dunkelziffer zu rechnen.
Eine spezielle Form des Haktivismus ist der Datendiebstahl aus politischen Gründen. In zumindestens einigen Fällen bei denen die Finanzbehörden Kundendaten gekauft haben wurde die Tat als Protest gegen die Steuerhinterziehung begründet. Viele Geschichten zu den handelnden Personen finden sich hinter dem vorigen Link.
Viele der Hacktivisten akzeptieren bei ihren Aktionen zum Teil erhebliche Kolateralschäden bei Unbeteiligten, z.B. der Privatsphären von Nutzern, deren Benutzernamen und Passworte sie (unnötigerweise) veröffentlichen. Einen sehr ausführlichen Überblick über die Geschichte des Hacktivismus, beginnend mit der Gründung des Chaos Computer Clubs vor vielen Jahrzehnten, über 4chan, Anonymous, mit Referenzen zu Scientology, Wikileaks, HBGary, LULZsec und den vielen internen Streitigkeiten findet sich in einem Papier eines französischen McAfee Mitarbeiters: Hacktivismus - Das Internet ist das neue Medium für politische Stimmen (PDF). Ein schönes Beispiel für den Schaden den solche Angriffe anrichten können ist HBGary gegen Anonymous in 2011.
Es enthält vor allem viele Links und ist damit eine sehr gute Quelle für eigene Studien. Daneben gibt es Infos zu Anonymisierungstechniken wie TOR, I2P, zu Telecomix in Syrien (diese Technologien werden auch in einem Beitrag auf dem Chaos Computer Club-Kongress behandelt). Erwähnt werden auch die nationalistischen Bewegungen, vor allem in Russland, China, Indien, Pakistan, Palästina, Israel, die oft Dissidenten angreifen oder ausspionieren, oder wie im Fall von Estland, auch schon mal ein ganzes Land bedrohen (dabei liegt bei diesen Aktionen manchmal eine Anstiftung von jeweiligen Regierungsorganisationen nicht fern). Das Ganze ist eine sehr gute Materialsammlung, für einen wissenschaftlichen Artikel fehlt manchmal der nötige Abstand.
Feb. 2013:
Ein ziemlich erfolgreiche Angriffsserie läuft 2013: Aus Protest gegen die Vorgänge die zum Tode von Aaron Swartz geführt haben zerlegen Anonymous Mitglieder oder Sympatisanten eine größere Zahl von US-Regierungswebseiten: Anonymous reveals ample Fed access. Unter anderem veröffentlichen sie persönliche Daten von 4000 Bank-Managern auf einer Regierungswebsite. Die Schäden und die Verwundbarkeiten der Websites scheinen erheblich zu sein: einige sind auch 2 Wochen später "under construction".
"With no seeming pattern to the attacks, Team GhostShell claim they hope to raise awareness and attention to the vulnerability and shoddy cybersecurity that most websites embrace."
2018:
Um Hacktivisten die Websites angreifen oder ähnliche Taten vollbringen ist es überaschend still geworden - aber im Rahmen des Ukraine-Kriegs wurde dies wieder zum Thema, siehe Kasten weiter oben.
Regierungen gegen ihre Bürger - mit und ohne Staatstrojaner
Aber auch Regierungen setzen Cyberwaffen ganz gezielt gegen die Bevölkerung ein, entweder die eigenen oder die anderer Staaten. 2018 wird berichtet, dass Türk Telekom gezielt Downloadanfragen manipuliert und Internetnutzern Malware unterschiebt. Die Nutzer wollen sich legitime Software wie Opera, VLC, WinRAR, 7-Zip, Skype installieren, gegen zu den legitimen Quellen, aber der Internprovider unterbricht die Verbindung und liefert ein manipuliertes Installationspaket das zusätzlich zur gewünschten Software auch noch Schadsoftware enthält, typischerweise einen sog. Bundestrojaner (Staatstrojaner) (dessen Einsatz ja seit spätestens 2012 diskutiert wird und 2017/18 auch in Deutschland und Österreich aktiv geplant ist oder bereits passiert).
Diese Technik ist nicht ganz neu, die Snowden-Veröffentlichungen haben gezeigt, dass bei der NSA solche Angriffe unter dem Begriff QUANTUM und QUANTUMCOOKIE gelaufen sind (mehr dazu hinter dem Link). Eine alternative Methode für die Installation von Spionagesoftware auf den Rechnern der Bürger sind Staatstrojaner (oder Bundestrojaner). Das ist Schadsoftware die mittels sog. Zero-Days einen Fehler in der Software des angegriffenen Rechners ausnutzt die den Virenscannern noch nicht bekannt ist (daher der Name Zero-Day). Solche Schadsoftware kaufen die Regierungen typischerweise von Waffenhändler im Cyberkrieg, über die ich an anderer Stelle ausführlich berichte, siehe voriger Link.
Das ist z.B. die deutsche Firma FinFisher, die französische Firma VUPEN oder die italienische HackingTeam. Allen diese Firmen wird vorgeworfen, dass sie bei der Auswahl ihrer staatlichen Kunden nicht zimperlich sind: Am besten zahlen die Diktatoren, die viel Angst vor der eigenen Bevölkerung und deren aufmüpfigen Gedanken haben. (Gegen Finfisher-Manager wird 2023 Anklage erhoben).
Juli 2014:
In einem Artikel von Glenn Greenwald im Guardian (leider nicht mehr online) wurde 2014 berichtet, mit welcher Vehemenz und welchen Methoden der britische Geheimdienst GCHQ gegen politische Aktivisten vorgegangen ist: von Schmutzkampagnen bei Nachbarn, Arbeitskollegen und Freunden bis zu Honeytraps, d.h. Kompromitieren durch das Provozieren von sexuellen Kontakten. Diese Vorgehensweisen der quasi "Bestrafung" durch Zerstörung der Lebensumstände ohne Gerichtsverfahren ist natürlich im Rechtsstaat extrem problematisch.
Regierungen (und andere) gegen die Industrie der anderen Länder: Industriespionage, Cyberspionage
Jetzt kommen wir zu den targeted Attacks, die zum Teil mit großen Aufwand und großer Konzentration betrieben werden. Die Angreifer können Einzelpersonen sein, aber in der Regeln sind es kleinere bis größere Organisationen. Der Bericht 'Espionage as a Service' Offers Governments Deniability aus 2015 argumentiert, dass wohl ein viel größerer Teil der Cyberspionage-Aktivitäten als normalerweise angenommen wird durch kleine Gruppen von "Söldnern", z.B. Ex-Geheimdienstleuten, ausgeführt wird. Die Profis hinterlassen Spuren, die entweder ins Leere oder auf eine falsche Fährte führen.
Diese Angreifer sind hinter Geschäftsgeheimnissen her, z.B. in der Form von Angeboten, Angebotsentwürfen, Konstruktionsplänen, Patentanträgen, aber auch Email-Sammlungen aus denen Mitbewerber etwas lernen können. Ihre Methoden reichen von Social Engineering Anrufen oder Emails bis zu Advanced Persistent Threats bei denen sie große Teile der Firmen-IT unterwandern und kontrollieren.
Weiter unten bringe ich eine ausführliche Auflistung der vielen Beispiele von Gruppen, die unter APT - Advanced Persistent Threats gelistet werden. Auf Grund der erheblichen Resourcen die solche Gruppen benötigen geht man davon aus, dass es sich eigentlich immer um staatliche oder staats-nahe Gruppen handelt. Dort finden sich auch die detaillierten Berichte über Vorfälle im Bereich Cyber-Spionage die in den letzten Jahrzehnten entdeckt wurden.
Cyber-Sabotage, Cyber-Terrorismus, Cyber-Krieg, Cyber War
Der Begriff Cyber-War wird seit ca. 2010 ziemlich inflationär verbreitet, oft auch in der Form Cyber-Terror. IT-basierte Angriffe zur Unterstützung von konventioneller Kriegsführung sind nichts Neues und fallen in diese Klasse, aber auch natürlich auch der Stuxnet-Angriff auf die Kernenergie-Anlagen im Iran. Das war aber eher ein Fall von Cyber Sabotage.
Denn wie in einigen der hier verlinkten Artikel erklärt wird ist nicht jede Handlung die gegen einen Staat gerichtet ist ein "Krieg" im Sinne von Clausewitz. Dafür müssen die Angriffe einem Angreifer zuordenbar sein und es müssen sich auch beide Parteien beteiligen, d.h. eine Sabotage-Aktion für sich allein ist kein Krieg.
Eine der ersten Analysen von Cyber-War war 1993 der Artikel Cyberwar is Coming! von John Arquilla und David Ronfeldt. Sie unterschieden von 2 Typen von Aktionen die Staaten gegeneinander im Cyberspace ausführen können: Netwar und Cyberwar. Unter Cyberwar verstehen die Autoren militärische Aktionen mit Hilfe von Informationstechnologien. Dabei geht es darum, die Informations- und Kommunikationssysteme des Gegners zu stören oder zu zerstören. Dies kann psychologische Kriegsführung einschließen, z.B. durch Falschinformationen. Sie ist aber gegen das Militär des Gegners gerichtet.
Unter Netwar verstehen sie Operationen gegen die Bevölkerung eines Landes: "Netwar refers to information-related conflict at a grand level between nations or societies. It means trying to disrupt, damage, or modify what a target population 'knows'Â or thinks it knows about itself and the world." Wir würden das heute als "Fake-News" Kampagnen beschreiben. Solche Aktivitäten führt nicht nur Russland durch, sondern auch Staaten des Westens: Britische Armee will "gleichzeitig im physischen, kognitiven und virtuellen Bereich" operieren.
Die Grundlagen für gezielte Beeinflussung von vielen Personen wurden durch die Datenauswertung mittels Algorithmen, die Amazon, Facebook und Google perfektioniert haben, auch für den Cyberkrieg mit Bots, Trollen eingesetzt. Und natürlich lassen sich diese Beeinflussungstechniken auch gegen die eigenen Bevölkerung einsetzen, speziell wenn es in einem Land keine unabhängige Presse gibt. Mehr zu Fake-News, alternate realitities, Doxing, Disinformation, etc. an anderer Stelle.
Thomas Rid veröffentlichte 2011 im Journal of Strategic Studies einen sehr lesenswerten Artikel Cyber War Will Not Take Place. Er geht von der Definition von Krieg bei Clausewitz aus und zeigt, dass keiner der bisherigen Ereignisse die so oft unter diesem Begriff subsummiert werden, diese Kriterien erfüllt. Ein Krieg ist danach immer politisch und will ein Ziel erreichen, das auch dem Angegriffenen vermittelt wird. Anonyme Angriffe (d.h. Angriffe die nicht klar zuordenbar sind) sind daher kein Krieg in diesen Sinne, sondern können Spionage, Sabotage oder Terrorismus sein. Ein weiteres Kriterium das die bisherigen Angriffe nicht erfüllen ist, dass es bei einem Krieg immer 2 aktive Parteien geben muss, ansonsten ist es Sabotage oder Terrorismus. Der Artikel ist sehr ausführlich und bringt viele gute Argumente und weitere Links.
In diesem Sinne war Stuxnet, d.h. Angriff gegen die iranische Anreicherungsanlage, vermutlich durch die USA und Israel kein Krieg, sondern Cyber Sabotage (der vorige Link bricht viele Details). Bei Cyber Sabotage versucht ein nicht identifizierter Gegner technische Anlagen zu behindern oder zu zerstören. Bei Cyber Sabotage geht es darum, dass ein Staat oder ein Unternehmen zumindest kurzzeitig geschwächt werden soll, indem Teile seiner Infrastruktur lahm gelegt oder zerstört werden. Das kann über simple Denial of Service-Angriffe (DoS) geschehen oder komplexe Operationen die eine Unterwanderung der IT-Infrastruktur ähnlich zur Industriespionage erfordern.
Man muss 2 Arten von Cyber Sabotage unterscheiden: im ersten, einfachen Fall versucht ein Gegner, ein IT-System zu behindern oder zum Absturz zu bringen. Das ist vergleichsweise einfach, gelingt z.B. den Hacktivisten von Anonymous immer wieder mit Denial of Service Angriffen (DoS). Das ist zwar lästig (und kann auch schon mal zu finanziellen Verlusten führen), aber es ist kein großes Problem. Selbst das Sabotieren von Systemen von innen, z.B. indem Daten gelöscht werden, führt aber nur zu begrenzten Verzögerungen bis die Systeme neu aufgesetzt sind und die Daten aus der Datensicherung zurückgeladen werden.
Die zweite Form von Cyber Sabotage, wie sie bei Stuxnet praktiziert wurde, ist hingegen extrem schwierig. Dabei ging es nicht darum, dass das System abstürzt, sondern dass es weiter funktioniert, aber heimlich zusätzliche Funktionalitäten ausübt. Wer beruflich ein großes IT-System (oder auch nur ein großes IT-Netz) am korrekten Funktionieren halten muss, der weiß, dass in der Regel jedes einzelne Bit, jeder Parameter stimmen muss. Und das ist extrem schwierig, selbst wenn es der eigene Job ist, man alle Unterlagen hat, die man selbst und die Kollegen erstellt haben und man das ganze 8 Stunden am Tag und nicht heimlich machen muss.
Wie viel schwieriger ist es dann, ein IT-System nicht einfach zu sabotieren, sondern es dazu zu bringen, etwas anderes zu tun, ohne dass es einfach "stehenbleibt". Es erfordert normalerweise einen Insider (was bei Stuxnet angeblich der Fall war und eine komplette Testumgebung in der das System nachgestellt und ausgetestet werden kann.
Wer Kraftwerke ernsthaft angreifen will, der braucht die entsprechenden Steuersysteme für seine Tests, wer Smart Meter angreifen will, der wird sich die entsprechenden Geräte für Tests besorgen. Selbst die sog. Skimmer, die die Bankomaten manipulieren, kaufen sich entsprechende Bankomaten gebraucht bei eBay.
"It is far more difficult to penetrate a network, learn about it, reside on it forever and extract information from it without being detected than it is to go in and stomp around inside the network causing damage."
Jan. 2015
Der Spiegel veröffentlicht einen Artikel zu neu bekanntgewordenen Snowden-Papieren: The Digital Arms Race: NSA Preps America for Future Battle. Der Artikel beschreibt, dass es seit Jahren Offensive-Planungen bei der NSA gibt, mit dem Ziel sog. D Weapons als Angriffswaffe einzusetzen um durch großflächiges Zerstören der IT-Infrastruktur des Gegners ein Land zu lähmen. Der Artikel verlinkt auch auf die Original-Dokumente.
Die auf dieser Website bereits ausführlich dargestellten Überwachungsmaßnahmen und die Aktivitäten von TAO (Tailored Access Operations) etablieren Hintertüren in die Netze der anderen Ländern und erlauben, dort Zeitbomben zu platzieren. Diese sollen dann genutzt werden, um durch wenn möglich permanentes Zerstören der wichtigsten IT-Geräte das Land des Gegners zu lähmen.
Die Hacker der NSA sind bereits so weit auf dem Weg zu ihrem vorgegebenen Ziel "global network dominance", dass es ihnen angeblich oft gelingt, Angriffe anderer Länder zu beobachten, in die Command-and-Control Center einzudringen und die gestohlenen Daten für ihre eigenen Zwecke zu nutzen. Die Technik wird "Fourth Party Access" genannt.
Die NSA setzt im Rahmen der QUANTUMBOT, DEFIANTWARRIOR und HIDDENSALAMANDER Programme auch Botnets ein, so dass auch Unbeteiligte zu Schaden kommen können. Sie nennen dies "throw-away non-attributable CNA (eds: computer network attack) nodes". Angeblich sind dies meist PCs die bereits infiziert sind und von der NSA für eigene Zwecke übernommen werden, z.B. als Angriffswaffe der nicht zur NSA zurückverfolgt werden kann. Ebenfalls wegen der Nicht-Rückverfolgbarkeit transportiert die NSA wenn sie irgendwo Daten abzieht, z.B. von einem anderen Geheimdienst, die Daten zu einem sog. Scapegoat Target. Das ist irgendein Rechner auf den die NSA Zugriff hat. Um selbst an die Daten zu kommen ist es für die NSA auf unverfänglichsten, wenn sie diese Daten dann auf dem Weg vom anderen Geheimdienst zum Scapegoat Target irgendwo auf einem Internetknoten abgreifen. Sie legen dadurch für den anderen Geheimdienst eine falsche Fährte, wieder ein Problem der "Attributability".
Die Aktivitäten der Cyberkrieger aller Länder sind eine immer stärker werdende Bedrohung für die Sicherheit aller unserer Aktivitäten im Internet, von denen das Funktionieren unserer Gesellschaft immer stärker abhängt.
Noch ein Aspekt: Bruce Schneier schreibt 2015 über die beiden konträren Rollen, die die NSA hat: Sie hat erstens die Aufgabe, die Infrastruktur der USA zu schützen, und zweitens, das Ausspionieren der anderen Staaten. Für das 2. nutzt sie Zero-Day Schwachstellen, die sie für diesen Zweck aufkauft und hortet (die NSA sind der größte Käufer, z.B. von dubiosen Anbietern wie Hacking Team), für die 1. Aufgabe müsste sie die eigenen IT-Betreiber und die Hersteller über die Schwachstellen informieren, so dass die Schwachstellen gepatcht werden können.
Viele Beispiele für Angriffe gegen Infrastruktur finden sich jetzt alle im neuen Artikel zu Cyber-Sabotage.
Die Waffen im Cyber War und Cyberwar-Industrie
Der Artikel The cyber-weapons paradox: 'They're not that dangerous' bringt eine Reihe von interessanten Aspekten zu diesem Thema. Solche aufwendig und professionell gemachten Cyberwaffen sind so spezifisch, dass sie kaum Collateral-Schäden verursachen: Stuxnet hat ganz nebenbei ca. 100 000 Windows-Rechner befallen, ohne dass bei diesen ein Schaden entstand. Außer natürlich, das ist der Sinn der Aktion. Ein gutes Beispiel für erheblichen Colateralschäden ist natürlich Not-Petya, die riesigen Schaden auch weit über das Zielgebiet der Ukraine angerichtet hat.
Der recht gute Artikel in Business Week: Cyber Weapons: The New Arms Race gibt einen ausführlichen Überblick über die neu entstehende Cyberwar-Industrie und was für ein gutes Geschäft das ganze ist.
Forbes nimmt sich des Themas Handel mit Exploits an. Ich habe darüber in meinen Notizen 2012 geschrieben. Dort wird erwähnt, was für eine Industrie (mit scheinbar legitimen Hintergrund) das mittlereweile geworden ist.
Ebenfalls zu den Werkzeugen gehören Training-Ranges, so wie die "richtigen" Soldaten das auch haben. In diesem Fall heißen sie Cyber Ranges. Der oben verlinkte Artikel gibt viele Details dazu, u.a. dass viele bereits seit 2008 betrieben und weiterentwickelt werden.
Wer ist es gewesen? - Das Problem der Attribution
Bei Attribution geht es um die Zuordnung zwischen einem Täter (actor) und einer Tat. Das ist ein Problem, das bei jedem Verbrechen entsteht und das dann durch die Kriminalpolizei recherchiert und durch die Gerichte entschieden wird. Diese Arbeit trägt einen ganzen Zweig der Populärliteratur. Die Zuordnung kann auch in "real-live" Situationen schwierig sein, z.B. beim Abschuss des Flugzeugs über der Ukraine 2014. Es ist aber oft noch schwieriger bei Angriffen im Internet, z.B. Cybercrime, Cyberspionage und Cyberwar. "Plausible Deniability" ermöglicht es den Beschuldigten sehr oft, die Verantwortung z.B durch Verweis auf andere, z.B. Hacktivisten, von sich zu weisen (auch wenn diese vielleicht als Proxy, d.h. im Auftrag aktiv sind - siehe Need Some Espionage Done? Hackers Are for Hire Online).
Attribution kann mit vielen technischen Mitteln erschwert werden. So werden die Angreifer in der Regel 'hop points' oder einen Anonymisierer wie TOR oder andere Mittel verwenden um die Spuren zu verwischen. Compiler speichern zwar beim Übersetzen eines Programmes in Maschinencode (auch bei Schadprogrammen) die Spracheinstellung des PCs im Maschinencode als Kommentar ab. Aber auch diese Einstellung lässt sich vor (oder auch nach) der Compilierung leicht ändern. Kommentare im Programm, Pfadnamen im Dateisystem oder die Bekennerschreiben werden auch auf sprachliche oder kulturelle Eigenheiten untersucht, aber alles dies ist auch fälschbar.
Eine Methoden der Attribution ist "pattern-of-life" Analyse. Damit ist gemeint, dass bei "beamteten" Angreifern typischerweise feste Arbeitszeiten eingehalten werden. So wurden als ein typisches Zeichen von APT1 ausschließlich Aktivitäten zu regulärer chinesischer Arbeitszeit gefunden, im Gegensatz dazu gibt es Angriffe, bei denen alle Aktivitäten in der Arbeitszeit in russischen Zeitzonen liegen (Petersburg oder Moskau). Erfolgreiche Atribution ist aber sehr oft die Folge von Fehlern der Angreifer, z.B. dass sie ihren Facebook-, Twitter- oder Gmail-Account einmal ohne Nutzung von TOR aufgerufen haben. Oder dass ihr Nickname, den sie bei den Angriffen im Programmcode hinterlassen, in ihrer Zeit vor der Hacking-Karriere bereits von ihnen im Netz genutzt wurde und in den alten Logs mit unverfälschten IP-Adressen verknüpft ist. Bei den "nicht-beamteten" Angreifern ist oft die Geltungssucht ein wichtiger Fehler der zur Aufdeckung führt. An anderer Stelle habe ich erklärt, warum Nicknames eine gefährliche Sache sind, man muss um im Untergrund aktiv zu sein, eine "saubere" neue Online-Identität aufbauen, ohne sentimentale Anklänge an frühere oder offline-Identitäten. Beispiele für Fehler von Hackern finden sich weiter oben.
2018 gibt es einige Angriffe gegen Rechner im Rahmen der Olympischen Spiele in Südkorea. Zuerst werden die Russen verdächtigt, dann Nordkorea. Und dann zeigen weitere und tiefere Analysen, dass es stark danach aussieht, als wären diese Spuren bewusst gelegt worden, indem Code-Teile aus früheren Angriffen in die Tools eingebaut wurden die diesen Gruppen zugeordnet werden. Es ging wohl darum, falsche Fährten zu legen, aber "was Genaues weiß man immer noch nicht" wirklich. Ein wirklich gut gemachter Cyberangriff ist kaum zuzuordnen.
Der sog. Olympic Destroyer ist ein gutes Beispiel für die Schwierigkeiten bei der Attribution. Zuerst eingesetzt bei den olympischen Winterspielen in Süd-Korea fiel da schnell der Verdacht auf Nord-Korea. Aber 2018 kommt die Malware in Russland, Deutschland, Frankreich, den Niederlanden, der Ukraine und der Schweiz zum Einsatz gegen Banken, aber auch Schutzeinrichtungen vor biologischen und chemischen Bedrohungen.
Attribution ist ein wichtiger Faktor gerade beim Thema Cyberwar, wo die Militärs sich ein Recht auf Selbstverteidigung durch Gegenangriff vorbehalten. Dort kann eine falsche Zuordnung (z.B. durch bewusst gelegte falsche Spuren, z.B. Hop Points in anderen Ländern), zu einer Katastrophe führen. Die Behauptung, man kenne die Angreifer, kann wenn sie nicht als Bluff enttarnt wird, sehr wirksam sein, weil alle anderen dann glauben (könnten), dass der Beschuldiger Möglichkeiten hat, Angreifer zu identifizieren, was Teil der Abschreckung sein kann. Dies wird auch im Fall Sony 2014/15 spekuliert.
Diese Form der "Kriegsführung" so asymetrisch geworden ist, dass Angriffe von Amateuren und Hacktivisten von stattlichen Angriffen kaum noch zu unterscheiden sind. Beide setzen die selbe Software gegen die selben Verwundbarkeiten ein. Und Cyber-Angriffe sind extrem kostengünstig, auch kleine Staaten wie Iran und Nordkorea, die sich keine Armeen mit teuren Waffen leisten können sind mit einer geringen Zahl von gut ausgebildeten IT-Leuten in der Lage, große Schäden anzurichten.
Eine umfassende wissenschaftliche Bearbeitung des Themas findet sich in Thomas Rid and Ben Buchanan: Attributing Cyber Attacks. Dort findet sich auch eine lange Liste von Ergebnissen von Veröffentlichungen von Angriffsdetails (mit vielen Referenzen auf die Quellen):
When Kaspersky Lab, for instance, published its Careto report on 10 February 2014, about a Spanish language
intrusion set, the operation was dismantled 'within one hour'. When the Flame report came out in May 2012, it took the intruders
nearly two weeks to shut down the operation. The way an operation is shut down may provide additional attributive clues, for instance whether the shutdown is done professionally, maintaining high levels of operational security, or slowly, possibly indicating that a large bureaucracy had to authorise the decision to shut down the operation.
When Duqu, a savvy operation, was revealed, its operators forgot to shred files that had been deleted but recoverable, thus revealing details about the operation. Several of the intrusions that Kaspersky unveiled disappeared after the initial publicity, some faster than others, and some more smoothly than others: Red October disappeared, so did Miniduke and Icefog, all in 2013. The two latter examples are remarkable, because Kaspersky's reports did not identify a suspected offender or even a suspected country; the intruders nevertheless retreated. The handlers of Flame, most notably, started dismantling a highly elaborate command-and-control infrastructure on 14 May 2012, two weeks before Kaspersky's report became public, indicating an extraordinary degree of sophistication, possibly even advance warning. When Mandiant published its APT1 report on 18 February 2013, the malicious activity revealed in the highly-publicised report first stopped for 41 days, then remained at lower-than normal levels until nearly 160 days after exposure.
Feb. 2017
Bruce Schneier: Attributing the DNC Hacks to Russia. Er schreibt über die Problematik, die Angriffe bei der US-Wahl 2016 dem russischen Geheimdienst zuzuordnen.
Dez. 2017
Die Süddeutsche Zeitung berichtet in einem ausführlichen Artikel welche Spuren typischerweise als Indizien verwendet werden: Na, wer hat hier gehackt?
Abschreckung im Cyberkrieg - Die Hackback Debatte und andere Offensive-Options
Dez. 2012:
In den USA wird eine Diskussion gestartet, ob es legal ist wenn Opfer einer Hack-Attacke sich zu wehren versuchen und z.B. in den Command-and-Control Server das Angreifers und vielleicht sogar in den PC des Hackers eindringen. Ein erfolgreiches Beispiel dafür berichtet das CERT Georgia: Georgia turns the tables on Russian hacker. Ihnen gelingt es, dem Hacker eine infizierte Datei unterzuschieben, die die Kamera seines Rechner aktiviert und ein Foto vom ihm macht. Ein ausführliches Protokoll der Argumente "Pro und Contra Hackback" in den USA finden sich im Internet: The Hackback Debate (2012).
Juni 2013:
Die Cyber-Doktrin der USA scheint aber deutlich über Hackback hinaus zu gehen (Details weiter unten unter Pro-Active Defense). Der britische Guardian berichtet Obama orders US to draw up overseas target list for cyber-attacks. Aber in der Realität sieht die Sache dann wieder ganz anders aus. Die gibt es zwar offiziell die Möglichkeit, auf einen Cyberangriff notfalls auch zurückzuschlagen, sogar mit konventionellen Waffen. Das ist das Konzept der Abschreckung ("Deterrence"), die sich um Fall von Nuklearwaffen sehr wohl bis jetzt bewährt hat.
Aber in der Realität hat Russland (ziemlich sicher) im Herbst 2016 tief in die US-Wahlen eingegriffen ohne dass die USA "zurückgeschlagen" haben. Es kam zu verschiedenen Eingriffen von Hackern in den Ablauf (z.B. Datendiebstahl aus diversen internen Systemen inkl. Wahlnetzen und Datenleaks) und zu konkreten Gegendrohungen aus den USA, bei einer Störung am Wahltag zurückzuschlagen und zwar die Infrastruktur in Moskau zu stören oder zu sabotieren, entsprechende Vorbereitungen wären bereits getroffen worden - Russland verlangte ein Dementi der US-Regierung.
Aber die Angriffe waren nicht die einzigen gegen NATO-Länder. Durch die Aktivitäten von politisch motivierten Angreifern ist es bereits zu erheblichen Schäden in Europa und den USA gekommen. Die Angriffe, die primär gegen die ukrainische Energieversorgung gerichtet waren haben unter dem Namen NotPetya auch in Europa und in den USA erhebliche Kollateralschäden angerichtet.
Wie verwundbar die Krankenhäuser sogar gegen nicht-zielgerichtete Angriffe sind, wurde 2017 bereits ausführlich aufgezeigt. In England, Deutschland und USA waren viele Krankenhäusern nach Befall mit Ransomware für einige Zeit lahm gelegt, auch dies waren letztendlich nur Kollateralschäden. Im Vergleich zu den Schäden aus den 2017 und 2018 Angriffen waren die früheren Angriffe gegen Bank of America, JPMorgan Chase und andere Banken in 2012 oder der Nordkorea Angriff gegen Sony in 2014 eher begrenzt.
Hat ein Industriestaat überhaupt die Option der Abschreckung im Cyberkrieg?
2018 gibt es eine ausführliche Diskussion um die Frage, ob sich die USA gegen die Angriffe auf Russland vor der Wahl hätten wehren können oder sollen. Die NY Times schreibt: Why Hackers Aren't Afraid of Us.
Die beiden Bücher berichten, dass in 2016 in der Regierung der USA sehr wohl diskutiert wurde, welche Möglichkeiten es gäbe, sich aktiv gegen die Angriffe aus Russland zu wehren. Aber Berater des Präsidenten meinten:
". . . If we got into a tit-for-tat on cyber with the Russians, it would not be to our advantage, a participant later remarked. They could do more to damage us in a cyber war or have a greater impact. In one of the meetings, Clapper said he was worried that Russia might respond with cyberattacks against America's critical infrastructure -- and possibly shut down the electrical grid."
Und im zweiten Buch:
"Mr. Obama did not impose sanctions on Russia in retaliation for the meddling before the election because he believed it might prompt Moscow into hacking into Election Day vote tabulations. Mr. Obama did impose sanctions after the election."
Das heißt, die USA sind im Vergleich zu anderen Staaten wie Russland, Iran, Nordkorea so verwundbar, dass Gegenschläge gegen die ständigen "kleinen" Angriffe gegen Firmen mittels Malware und die beobachteten Erkundungsmissionen innerhalb der kritischen Infrastruktur (z.B. Stromversorgung) nicht mit Gegenschlägen beantwortet werden können. Die Angst, dass dann Gegenangriffe mehr als nur Nadelstiche bleiben, ist bei den Politikern zu hoch. Die USA sind vermutlich gegen solche Angriffe nicht viel besser geschützt als die Ukraine, auch in Europa hat es erhebliche Schäden gegeben.
Der oben verlinkte Artikel der NYT erläutert, dass bei den Politikern mittlerweile ziemliche Angst herrscht, dass diese Angreifer (von welchem Staat sie auch kommen) irgendwann mal wirklich Ernst machen und z.B. das Bankensystem oder die Energieversorgung der USA gezielt und gewollt angreifen. Immerhin hat es auch zu allen diesen Angriffen keine Vorwarnungen durch die Geheimdienste gegeben.
Dazu kommt das Problem, dass nur in wenigen Fällen 100% Sicherheit darüber besteht, wer der Initiator des Angriffs ist (wie im vorigen Abschnitt zu Attribution beschrieben). D.h. ein Zurückschlagen kann sich sehr schnell gegen einen unbeteiligten Staat richten, der dann seinerseits Grund sehen könnte, anzugreifen. Und je abhängiger eine Gesellschaft von IT-Systemen ist und je vernetzter, desto verwundbarer ist sie gegen solche Angriffe. Und die technische Sicherheit ist durch die vielen kleinen privaten Energieunternehmen, Firmen und Verkehrsbetriebe extrem schwierig abzusichern, die Verantwortung liegt jeweils in den Händen der jeweiligen Firmenleitung, die sich oft zwischen Cybersicherheit und Profiten entscheiden müssen.
Ergebnis aller dieser Probleme ist, dass die NATO (und die USA) letztendlich keine Strategie haben, wie sie gegen die ständigen Nadelstiche gegen ihre Industrie und ihre Infrastruktur eigentlich vorgehen könnten. Ein Gegenschlag wäre sehr riskant weil die Antwort auf einen solchen Gegenschlag eine Katastrophe auslösen könnte.
Die NY Times zeigte vor den Wahlen 2016 die Verwundbarkeit des US-Wahlsystems auf und listet die 5 Haupt-Optionen die ausländische Hacker zum Stören der Wahl hätten. Der direkte Angriff auf Wahlmaschinen ist nur eine davon.
Die Problematik des "Hack-backs" wurde Ende 2014 durch den 2014-Angriff auf Sony sehr aktuell. Der Angriff wird Nordkorea zugerechnet. Der Fall zeigt die "Asymetrie" des Cyberterrors auf: Auch wenn Obama zurückschlagen hätte wollen, so hätte er keine vergleichbaren Schäden in Nordkorea anrichten können, denn die zu verteidigende Angriffsfläche ist in Nordkorea tausendmal kleiner (angeblich gibt es für das ganze Land nur 1024 öffentliche IP-Adressen). Die USA sitzen, was Cyberangriffe betrifft, im Glashaus - Deutschland nicht weniger, wie der erfolgreiche Angriff gegen das Stahlwerk zeigt.
Sept. 2017
Auch das deutsche Militär möchte das Recht bekommen, offensiv im Cyberspace zu operieren und "zurückzuschlagen": Cyberangriffe auf Deutschland : Auge um Auge - Byte um Byte. Der Artikel weist sehr korrekt darauf hin, dass das problematisch ist. Erstens weil man meist nicht feststellen kann, woher der Angriff wirklich kommt, und zweitens, weil z.B. das "Abschießen" eines Servers eines Krankenhauses, den die Angreifer als "Hop-Server" genutzt haben, sehr hohe Kollateralschäden haben könnte. Siehe auch: Von der Leyen verteidigt Cyber-Attacken: "Wir dürfen uns auch wehren".
Die 'Proactive Defense' Diskussion
Das Hauptproblem beim sog. Cyberwar ist Attribution, d.h. die Feststellung wer eigentlich angegriffen hat. Es ist recht leicht, einen Angriff über chinesische IP-Adressen kommen zu lassen und schon haben wir einen schönen internationalen Konflikt. Das ist ideal für Terroristen die Unruhe stiften wollen. Über dieses Problem setzen sich aber alle Cyberwar-Befürworter locker hinweg.
Deren Lösung des Problems sieht so aus: schlagkräftige Angriffstruppen im Cyberspace, in Verbindung mit Drohungen gegen Hacker und zum Schutz der eigenen Infrastruktur viel teure Security Software mit Sensoren und Monitoren und ähnlichen Tools. Dabei ist die wirkliche Lösung der Einsatz von sicherer Software, aber das wäre kurzfristig teurer (langfristig aber billiger und sicherer). Sensoren die Angriffe aufspüren und dann zurückzuschlagen gegen Angreifer ist deutlich sexier als das systematische Testen und Fixen von Software. Dies ist aber die einzige wirkliche Lösung für das Problem der Informationssicherheit.
Eines der Snowden-Papiere (veröffentlicht in 2013) beschreibt "Offensive Cyber Effect Operations" (OECO):
OECO can offer unique and unconventional capabilities to advance US national objectives around the world with little or no warning to the adversary or target and with potential effects ranging from subtle to severely damaging. The development and sustainment of OCEO capabilities, however, may require considerable time and effort if access and tools for a specific target do not already exist.
The United States Government shall identify potential targets of national importance where OCEO can offer a favorable balance of effectiveness and risk as compared with other instruments of national power, establish and maintain OCEO capabilities integrated as appropriate with other US offensive capabilities, and execute those capabilities in a manner consistent with the provisions of this directive.
Bruce Schneier hält dies in Has U.S. started an Internet war? für sehr gefährlich, denn damit haben die USA klar gesagt, dass sie fremde Rechner und fremde Netze nicht nur infiltrieren wollen, sondern bei Bedarf auch sabotieren, wie auch immer. Das könnte z.B. bedeuten, dass US-Firmen gezwungen werden, in ihre Produkte Backdoors einzubauen. Und dies bedeutet, dass die anderen Länder müssen schauen, dass sie sich dagegen schützen.
According to Defense News' C4ISR Journal and Bloomberg Businessweek, Endgame [eine dabei eingesetzte Software] also offers its intelligence clients -- agencies like Cyber Command, the NSA, the CIA, and British intelligence -- a unique map showing them exactly where their targets are located. Dubbed Bonesaw, the map displays the geolocation and digital address of basically every device connected to the Internet around the world, providing what's called network situational awareness. The client locates a region on the password-protected web-based map, then picks a country and city -- say, Beijing, China. Next the client types in the name of the target organization, such as the Ministry of Public Security's No. 3 Research Institute, which is responsible for computer security -- or simply enters its address, 6 Zhengyi Road. The map will then display what software is running on the computers inside the facility, what types of malware some may contain, and a menu of custom-designed exploits that can be used to secretly gain entry. It can also pinpoint those devices infected with malware, such as the Conficker worm, as well as networks turned into botnets and zombies -- the equivalent of a back door left open . . .
The buying and using of such a subscription by nation-states could be seen as an act of war. 'If you are engaged in reconnaissance on an adversary's systems, you are laying the electronic battlefield and preparing to use it' wrote Mike Jacobs, a former NSA director for information assurance, in a McAfee report on cyberwarfare. 'In my opinion, these activities constitute acts of war, or at least a prelude to future acts of war.' The question is, who else is on the secretive company's client list? Because there is as of yet no oversight or regulation of the cyberweapons trade, companies in the cyber-industrial complex are free to sell to whomever they wish. "It should be illegal," said the former senior intelligence official involved in cyberwarfare. "I knew about Endgame when I was in intelligence. The intelligence community didn't like it, but they're the largest consumer of that business."
Bruce Schneier fragt deswegen, ob die US nicht den Cyberwar durch diese Vorbereitungshandlungen bereits begonnen haben:
". . . Rooting around other countries' networks, analyzing vulnerabilities, creating back doors, and leaving logic bombs could easily be construed as acts of war. And all it takes is one overachieving national leader for this all to tumble into actual war." Und dabei sind die USA eines der verwundbarsten Länder im Cyberspace.
Dann bezieht er sich auf das Konzept der Abschreckung im Kalten Krieg (Mutually Assured Destruction):
"MAD, mutually assured destruction, made sense because there were two superpowers opposing each other. On the Internet there are all sorts of different powers, from nation-states to much less organized groups. An arsenal of cyberweapons begs to be used, and, as we learned from Stuxnet, there's always collateral damage to innocents when they are. We're much safer with a strong defense than with a counterbalancing offense."
Der frühere NSA und CIA director Michael Hayden hat in einem Interview das im Prinzip sogar bestätigt. Zitat aus der Washington Post:
Hayden also conceded that the United States. "could be fairly charged with the militarization of the World Wide Web." The NSA's Tactical Access Operations (TAO) is reportedly charged with hacking foreign targets to steal data and monitor communications. It also reportedly develops programs that could destroy or damage foreign computers and networks using cyberattacks.
Und wenn der Angreifer nicht aus dem Internet kommt: Insider
Dem umfangreichen Thema Angriffe durch Insider habe ich mich bereits 2008 angenommen (aber die Prinzipien bleiben gültig: Insider haben mehr Wissen, haben Zugriff zu den Netzen (oft zu viel Zugriff!) und sind mindestens so gefährlich wie außenstehende). Und ein noch etwas älterer Artikel behandelt ebenfalls das Thema Angriffe von Innen (mit vielen Links zu Studien). Ebenfalls relevant sind die Ausführungen zu Verizon.
Advanced Persistent Threats (APT) - die staatlichen Angreifer
Dieser Abschnitt behandelt die Gruppen von Angreifern, die als staatliche oder staats-nahe Gruppen eingestuft werden. Sie haben erhebliche Resourcen zur Verfügung und arbeiten systematisch und nicht mit dem Ziel, schnelles Geld zu machen. Das große Schlagwort in diesem Bereich ist Advanced Persistent Threat. Das Schlagwort wurde von Sicherheitsfirmen geprägt um damit darzustellen, dass die bisherigen Produkte der Sicherheitsfirmen wie Malware-Scan nicht ausreichend sind wenn Angreifer es gezielt auf ein Unternehmen (oder eine Person) abgesehen haben. D.h. da steckt auch viel "Marketing" in diesem Begriff drin. Microsoft wehrt sich im Microsoft Security Intelligence Report Vol. 12 gegen den Begriff Advanced Persistent Threat (APT). Sie haben eigentlich Recht damit, denn:
Manche der Angriffe sind sehr "advanced", wie z.B. Stuxnet oder Flame, aber nur dann, wenn dies wirkich notwendig ist. Meistens reicht die ganz normale Suche nach nicht aktuellen Versionen vom Adobe PDF-Reader oder vom Flash-Player. Jemand der auf einen Link klickt findet sich fast immer. Oft ist ein Angriff über Social Engineering extrem hilfreich, speziell wenn der Angreifer das soziale Umfeld des Opfers kennt oder über eie Social Network ausspähen kann. Ein gutes Beispiel für Social Engineering nach dem Lehrbuch ist hier dokumentiert: HBGary gegen Anonymous.
Microsoft sagt, die beiden Schlüsselfaktoren sind targeted Attack und determined Adversaries. Über targeted habe ich weiter oben schon einiges gesagt, es geht um die Abgrenzung gegenüber Angriffen bei denen das Opfer gesucht wird, bei dem der Angriff am einfachsten geht (opportunistic). Bei determined Adversaries geht es darum, dass solche Angreifer einen "Sponsor" haben, dem es um genau ein Ziel bei genau einem Opfer geht. Dieser Sponsor kann ein Staat sein oder eine andere große Organisation, z.B. die organisierte Kriminalität. Das Ziel ist dem Sponsor so wichtig, dass ausreichend Resourcen zur Verfügung stehen, um so lange dran zu bleiben, bis das Ziel erreicht ist, egal was es kostet, egal wie lange es dauert. Daraus kann sich "persistent" ergeben, wenn dies dem Ziel dient, es muss aber nicht.
Solche Angreifer sind für Firmen (oder auch Staaten) extrem gefährlich, da sie ganz gezielt vorgehen und bei dem einen Unternehmen so lange neue Tricks versuchen (Anrufe beim Helpdesk, Emails mit vorgeblichen Gewinnspielen, infizierte USB-Sticks auf dem Parkplatz, Ausspähen durch fingierte Bewerbungsgespräche, Bestechung, gezielter Diebstahl von Firmen-Laptops oder Smartphones, etc.) bis sie eine schwache Stelle in genau diesen Unternehmen gefunden haben. Um sich dagegen zu schützen müssen Firmen eine sehr breit gefächerte Schutzpalette implementieren und vor allem auch in die Entdeckung erfolgreicher Angriffe investieren.
Weiter oben gibt es Infos über Flame / sKYWIper, ein sehr aufwendiges Werkzeug zur staatlichen Spionage. Weiter unten Informationen zu solchen Werkzeugen, die bei ganz wichtigen Zielen auch für Spionage und Cyber-Sabotage eingesetzt werden können.
Symantec weist im Herbst 2012 auf ein größere Sache hin, sie nennen es Elderwood Project. Hier ist die detaillierte Studie als PDF. Es geht um gezielte Angriffe auf verschiedene Firmen seit 2009 (z.B. "Aurora" gegen Google-Mail, bei denen Symantec jetzt auffallend viele Gemeinsamkeiten entdeckt hat. Es werden gleiche Code-Teile wieder verwendet, gleiche Zero-Day Exploits tauchen in verschiedenen Angriffen auf und ähnliches. Gemeinsam ist bei diesen Angriffen dass die Firmen aus den Bereichen Militärtechnik und Zulieferer sind, aber auch IT-Dienstleister und eigenartigerweise auch einige Nicht-Regierungsorgansiationen aus China, Taiwan und Hongkong. Auffallend ist, dass insgesamt 8 Zero-Days "verbraucht" wurden, aber dabei auch sehr geschickt und effektiv eingesetzt. Zero-Days sind teuer, d.h. diese Organisation ist nach Meinung von Symantec sehr gut organisiert und hat sehr viele Ressourcen zur Verfügung. Das spricht für eine sehr große kriminelle Organisation, oder aber für Arbeiten im Auftrag einer Regierung. Der folgende Link gibt viele Hintergründe zu Aurora, aber auch zur intensiven Zusammenarbeit der US-Firmen mit den US-Behörden.
Ein sehr schönes Beispiel für Industriespionage ist auch der Angriff auf Coca Cola in 2009. Coca Cola war in Verhandlungen zwecks einer sehr großen Firmenübernahme in China wenn mittels Spear-Phishing Angriffe Rechner in ihrem Netz infiziert wurden und große Mengen Daten abgezogen wurden. Die Details finden sich in dieser Studie. Ergebnis war letztendlich, dass die Acquisition nicht stattgefunden hat.
Der Mandiant-Report zu APT1
März 2013:
Einen sehr detaillierten Überblick über die Aktivitäten einer speziellen militärischen Einheit in Shanghai mit der Ziele der systematischen Industriespionage. Die US-Firma Mandiant legt einen umfangreichen Bericht vor, in dem sie eine Unit 61398 der chinesischen Volksbefreiungsarmee für die meisten Angriffe auf US-Firmen verantwortlich macht (hier die Studie: APT1: Exposing One of China's Cyber Espionage Units (PDF). 76 Seiten, viele Details und Unterlagen, so viele Details liegen vermutlich über keine "Cyberwar"-Truppe irgendwo anders vor. Die Hinweise sind mehr als nur IP-Adressen,die Details sind im Report. Ich kenne keinen Bericht, der die Details der Struktur einer solchen Cyberwar/Spionageeinheit so detailliert beschreibt.
April 2013:
Eine ziemlich technische Ergänzung dazu gibt es in APT1: technical backstage. IT-Sicherheitsforscher aus Luxemburg haben es geschafft, in Server der APT1-Angreifger einzudringen und haben dabei interessante Details gefunden:
More than 300 servers
Use of proxy servers to hide their activities;
one server per target;
custom made malware
working hours, like office employees (5-Tagewoche)
really good organization
Es gibt im Internet auch Kritik an dem Bericht. Dabei wird aufgezeigt, dass die Hinweise zwar sehr für China sprechen, es anderseits (zumindest theoretisch) bei einer stringenten Geheimdienstanalyse dazu gehören würde, auch alternative Erklärungsszenarien nach ihrer Wahrscheinlichkeit zu untersuchen. Die Firma Mandiant sagt, dass sie dafür die Resourcen nicht hat. In einer weiteren Kritik werden einige geographische Fehler aufgezeigt und darauf hingewiesen, dass der Bereich von Shanghai aus dem die Angriffe kommen immerhin 5 Mio Einwohner und auch viele ausländische Firmen, z.B. NEC und Intel (die alle diese IP-Netzen nutzen aus denen die Angriffe kamen.
Letztendlich spricht sehr viel dafür, dass diese Analyse trotzdem korrekt ist, immer hin haben die Täter auch eine Reihe von schweren Fehlern gemacht, wie z.B. ihre Nicknames aus der Pre-Armee-Zeit bis heute weiter zu verwenden oder von den gleichen Rechnern auch auf Facebook zuzugreifen.
Bruce Schneier weißt darauf hin, dass dieses Beispiel zumindest zeigt, wie schwierig "Attribution", d.h. die Zuordnung eines Hackerangriffs zu den Tätern ist. In diesem Fall war es möglich weil sich die Angriffe über viele Jahre hingezogen haben. Wenn es aber um wirklichen Cyberwar ginge, so wären wohl nur wenige Stunden Zeit bis das Militär wissen will, wo sie mit konventionellen Waffen zurückschlagen können. Und in wenigen Stunden, Tagen oder auch Wochen kann eine sichere Zuordnung nie gelingen.
An anderer Stelle berichte ich über die Entwicklungen bei kommerzieller Überwachungssoftware wie sie z.B. von der deutsch-britischen Firma Gamma Software angeboten wird: FinSpy oder FinFisher. Das ist offensichtlich ein gutes Geschäft, wird offiziell als "Lawful Interception" angeboten, d.h. für Überwachung im Rahmen von Gesetzen, aber die große Markt sind alle Diktaturen, die ihre Oppositionellen überwachen wollen. Hier ein Link zur globalen FinFisher Präsenz in 2013. Update 2023: Finfisher: Anklage gegen Manager von Spähsoftware-Hersteller erhoben.
Mai 2013:
Noch mal zu APT1, auch als "Comment Group" bekannt. heise.de berichtet darüber, dass "bisher jede Firma, die Maschinen und Systeme für die Verteidigung der USA herstelle, Opfer von chinesischen Hackern geworden [sei]. Damit seien den Angreifern auch streng vertrauliche militärische Pläne der US-Regierung bekannt." Der heise-Artikel verlinkt auf den Orginalartikeln mit sehr vielen Details.
Noch mehr Details finden sich in diesem Artikel der Washington Post: Confidential report lists U.S. weapons system designs compromised by Chinese cyberspies. Hier werden die einzelnen Rüstungsprojekte aufgezählt. Der Artikel zeigt, wie flächendeckend die Cyberspionage mittlerweile geworden ist. Es scheint nicht ein einziges Projekt zu geben, dessen Details nicht gestohlen wurden.
Juni 2016: Eine neue Studie von FireEye berichtet von einem deutlichen Rückgang der chinesischen Spionageaktivitäten gegen US-Firmen. Und zwar begann dieser Rückgang interessanterweise bereits vor dem ernsten Gespräch zwischen President Obama und President Xi Jinping. Die Unit 61398 scheint aufgelöst und die Mitarbeiter setzen ihre Tricks jetzt an anderer Stelle ein. Wichtig ist, dass diese Einigung der Präsidenten sich nicht auf einen Stop der gegenseitigen Spionage bezogen hat, sondern nur auf einen Stop des Diebstahls von intellectual property bei Firmen. Daher ist der Angriff gegen das US Office of Personnel Management (OPM, das Personalbüro der Regierungsbehörden) auch nicht unter dieses Verbot gefallen. Hier der Link zur Gesamtstudie.
Noch mal China: APT 10 und "Volt Typhoon"
2017 wird eine andere chinesiche Gruppierung APT10 unter dem Schlagwort Operation Cloud Hopper ausführlich dokumentiert.
2023 wird eine neue chinesische Gruppe u.a. in den US-Militärbasen auf der Pazifikinsel Guam gefunden. Die dem chinesischen Staat zugerechneten Hacker der Gruppe "Volt Typhoon" sollen kritische Infrastrukturen der USA infiltriert haben. Das vermeldet Microsoft in einem aktuellen Blogeintrag, in dem Hintergründe der Attacke erläutert werden.
Hidden Lynx und Icefog
Sept. 2013:
Sicherheitsfirmen profilieren sich, in dem sie die Methoden von Industrie-Spionage-Teams analysieren und aufzeigen. Da ist z.B. Hidden Lynx oder Icefog.
Beide Teams sind bereits jahrelang aktiv, Hidden Lynx werden die Angriffe auf Lockheed Martin und RSA, sowie die sog. Aurora-Angriffe gegen Google, Adobe und 30 andere US-Firmen nachgesagt, Icefog ist wohl hauptsächlich auf Südkorea und Japan spezialisiert, greift aber dadurch die Partner auch von westlichen Firmen an und macht mehr MacOS Infektionen als Windows-PCs.
Auch Nordkorea spielt aktiv mit: Lazarus Gruppe aktiv und erfolgreich ua. gegen Banken
Beim Cyberwar findet eine Nivellierung der Möglichkeiten der Nationen statt. Auch Nationen wie Iran und Nordkorea, die mit ihren Armeen nicht gegen die Waffentechnologien der hochentwickelten Nationen auftreten können, sind beim Cyberwar ernsthafte Player und können Schäden für Volkswirtschaften und bei Firmen anderer Länder anrichten, die richtig weh tun. Und andere Schwellenländer werden dies nachmachen wollen. Ein Ergebnis davon ist, dass die Diskussionen im Hackback oder Selbstverteidigung immer stärker werden.
Ganz detailliert wird die Geschichte des sog. Lazarus-Angriffs in 2021 von der BBC erzählt. Sie sagen, dieser Angriff wäre noch viel größer angelegt gewesen. Das Ziel der Staats-Hacker in Nordkorea war wohl der Diebstahl von 1 Millarde US$, durch "unglückliche" Fehler und aufmerksame Menschen blieb es aber bei 81 Mio US$. Der 20-Minuten Artikel The Lazarus heist: How North Korea almost pulled off a billion-dollar hack verlinkt auf 10 Podcast-Folgen zu diesem Hack. (die Folgen 2 und 3 bearbeiten den Sony-Hack durch die selben Angreifer in 2014.
Beginn 2018 veröffentlicht das IT-Sicherheitsunternehmens Recorded Future einen Bericht die Aktivitäten der Staatshacker von Nordkorea. Neben den bereits oben erwähnten Aktivitäten haben sie es wohl auch verstärkt auf Bitcoin-Börsen abgesehen. Die südkoreanische Bitcoin-Börse YouBit wurde 2017 gleich zwei Mal erfolgreich angegriffen, beide Attacken werden Larazus zugeschrieben. Beim ersten Mal wurden fast 4.000 Bitoins gestohlen. Beim zweiten Mal im Dezember wurden 17 Prozent der gesamten Bitcoin-Einlagen geklaut. YouBit verkündete danach ihren Bankrott.
Update 2022: Cyberkriminelle aus Nordkorea haben in den vergangenen fünf Jahren insgesamt etwa 1,1 Milliarden Euro (1,5 Billionen Won) in Kryptogeld und anderen virtuellen Gütern erbeutet. Das hat jedenfalls Südkoreas Geheimdienst NIS errechnet, berichtet die Korea Times. Allein 590 Millionen Euro seien in diesem Jahr dazu gekommen. Die Fähigkeit des Regimes in Nordkorea zu solchen Diebstählen seien weltweit fast unerreicht und eine Reaktion auf die Wirtschaftssanktionen gegen das Atomprogramm des Landes. Und für das Kernwaffenprogramm scheint die Cyberkriminalität eine der Haupt-Finanzierungsquellen zu sein. Da wird wohl hauptsächlich über Angriffe auf Banken und Krytowährungsfirmen gearbeitet.
Wilde Geschichte: Für Einstellungs-Interviews für ein Kryptounternehmen melden sich viele angebliche Experten aus San Francisco, die sich zwar mit Krypto auskennen, aber nicht im Silicon Valley. Sie scheinen aus Nordkorea zu sein, einem Krypto-Superpower: North Korea's Crypto Hackers Are Paving the Road to Nuclear Armageddon.
". . . virtual or physical access to create and sustain a presence inside targeted systems or facilities."Â The document adds: "System logs and processes are modified to cloak the intrusion, facilitate future access, and accomplish other operational goals"Â. . . . "The United States is moving toward the use of tools short of traditional weapons that are unattributable ("that cannot be easily tied to the attacker") to convince an adversary to change their behavior at a strategic level.
Even the most sophisticated Chinese cyber spies do not appear to be well funded. They use shelf ware and their teams work regular hours. The NSA on the other hand is shockingly replete with funds. The US Intelligence Community budget of $70 billion is twice the size of the Australian military budget.
Er stellt diesen Betrag den $60 Milliarden (=billion) gegenüber, die in der gesamten IT-Security Industrie umgesetzt werden.
Snowden also revealed that the NSA hacked into at least 63 servers at Tsinghua University, China's leading technical school and home of one of six backbone networks in the nation. Snowden claimed that the NSA compromised Chinese telecommunications networks and had access to millions of text messages. This type of spying, and the NSA's capabilities to exploit it, surely isn't a surprise: the NSA has conducted network exploitation efforts since the 1990s.
APT28 (Fancy Bear), APT29 (Cozy Bear): A Window Into Russia's Cyber Espionage Operations
Nov. 2014:
Es gibt wieder einen umfangreichen Bericht über Cyberspionage. Die Firma FireEye publiziert 45 Seiten Details über eine Gruppe, die FireEye "APT28" nennt. Die Daten wurden über längere Zeit über diese Gruppe gesammelt, die offenbar russisch spricht und ihre Angriffssoftware zwischen 8 und 18 Uhr Moskau-Zeit compiliert. Die Gruppe ist offenbar nur ein Politik interessiert, macht keine Wirtschaftsspionage und auch keine Angriffe auf Banken. Mehr Details hier nachdem ich den Bericht gelesen habe.
Dez. 2015:
Kaspersky berichtet, dass die Angreifer, die auch im Netz des deutschen Bundestags waren, wieder aktiv sind. Kaspersky sieht Angriffe auf mehrere Nato-Staaten sowie Rüstungsunternehmen insbesondere aus der Luft- und Raumfahrtbranche.
Okt. 2016:
Überraschende Meldung zu einem Angriff gegen TV5 aus dem Jahr 2015. Jetzt wird der Angriff der russischen APT28. Es gab ursprünglich ein Bekennerschreiben von Islamisten.
APT28 wird auch an anderen Stellen im Zusammenhang mit Disinformation erwähnt. Siehe die Wada Leaks zu Doping im Sport.
Dez. 2016:
CozyBear (auch "APT 29" oder "Dukes") und der russische Geheimdienst GRU mit FancyBear (aka "APT 28" oder "Pawn Storm") waren beide, anscheinend unabhängig voneinander in den Servern der demokratischen Partei aktiv und haben Mails abgezogen (mit einem Link zur NY Times wo sich die Details finden, z.B. dass die Angreifer es sich gute 7 Monate in den Servern bequem gemacht und dann auch noch die privaten Gmail-Accounts der Beteiligten übernommen hatte).
Ende 2016:
Obama schlägt wegen der Wahlbeeinflussung zurück und veröffentlicht Details über die Aktivitäten von APT28 und APT29. Und es wird schon wieder ein neues Schlagwort eingeführt: Grizzly Steppe. Die technischen Details sollen es Technikern besser erlauben, die russischen Aktivitäten in ihren Netzen, auch in Deutschland zu erkennen. Auch wenn die Aktivitäten gegen die USA gerichtet waren, so haben die Angreifer aber trotzdem Systeme in anderen Ländern als "Proxy" oder "Hopserver" genutzt. Diese können mit Hilfe dieser Informationen und entsprechender IPS-Software (untrusion prevention system) innerhalb der Firmennetze gefunden und bereinigt werden.
Ende 2016 sind die russischen Aktivitäten ein großes Thema: Das "Handbook of Russian Information Warfare" ist eine Veröffentlichung des NATO Defense College's Research Division. Das eigentliche Dokument ist 76 Seiten lang, plus viele Quellenhinweise. Hier die Einleitung:
The "Handbook of Russian Information Warfare" is an introductory guide to Russia's doctrine and activities in this field, including elements of cyber warfare. The handbook's target audience is NATO servicemen and officials who are unfamiliar with Russian principles of warfighting, but require an introduction to this essential element of how Russia projects state power."
August 2017:
Die russischen Angreifer schaffen es mal wieder in die Presse: Wired: A Guide to Russia's High Tech Tool Box for Subverting US Democracy. Der Artikel gibt viele interessante Details zur russischen Cyberwar-Strategie und warum der Hack der demokratischen Partei nur eine von vielen Aktionen war.
Jan. 2018:
Aus den Niederlanden wird jetzt bestätigt, dass das Beobachten der Angreifer rund um die US-Wahlen durch den niederländischen Geheimdienst geschah. Wie bereits vorher durch die US-Dienste berichtet wurde war es einem westlichen Geheimdienst ab 2014 möglich, in die Netze von APT29 einzudringen und die Angreifer sogar über die Webcams in ihrem Büro an der Moskauer Uni bei ihren Angriffen zu beobachten. Jetzt wurde bestätigt, dass dies niederländische Dienste waren. Die Details sind im verlinkten Artikel.
Equation Group (= REGIN): die NSA Angriffssoftware
Nov. 2014:
Symantec berichtet über eine Software, die sie Regin nennen und die offenbar von staatlichen Hackern entwickelt wurde: Hochentwickelte Malware spionierte jahrelang Computer aus. Mehr Details finden sich in den Links.
Feb. 2015:
Kaspersky berichted von einer Spionagetruppe, die sie Equation genannt hat und recht reiserisch "vermarktet". Die Punkte das sich dahinter die NSA verbirgt kommen im Arstechnica Bericht noch ein wenig deutlicher raus: How 'omnipotent'Â hackers tied to NSA hid for 14 years"and were found at last. Der Punkt ist, dass der Bericht von Kaspersky jede Menge Hinweise darauf enthält, dass die Equation Group in Wirklichkeit die TAO-Gruppe der NSA. Die Hinweise sind z.B.
die Kontrollinfrastruktur für die infizierten Systeme (C&C server) sind zum Teil bereits seit 1996 in Betrieb, die meisten wurden 2002 oder 2002 angemeldet; so lange sind die anderen Nationen noch nicht als Angreifer im Internet unterwegs. Insgesamt handelt es sich um 300 Domains und 100 Server
die Angriffssoftware ähnelt von der Technologie sehr stark Regin, die Software die u.a. gegen Belgacom eingesetzt wurde
Teile des Programmcodes der Angriffssoftware ist identisch zu der in Stuxnet und Flame, aber die Versionen in Equation sind älter. Auch Teile von Gauss wurden gefunden.
Es wurden reichlich und großzügig Zero-Days eingesetzt, das können sich in diesem Umfang nur Staaten leisten, zum gleich die selben, die später in Stuxnet auftauchten.
Der letzte Hinweis auf die NSA ist die Tatsache, dass die Software der Equation Group extrem komplex ist, auch wenn immer wieder mal kleine Fehler gemacht werden, sie z.B. den Benutzername im kompilierten Code zu belassen. Besonders wird eine Software-Komponente hervorgehoben, die wohl die komplexeste Angriffssoftware darstellt: für die Platten von 12 wichtigen Herstellern kann die Software die originäre Firmware überschreiben und durch eine Version ersetzen, bei der es einen verborgenen Speicherbereich gibt, auf den nur die eigene Angriffssoftware zugreifen kann, kein Virenscanner, nicht das eigentliche Betriebssystem und nicht mal eine Neu-Formatierung der Platten kann diese Speicher zerstören, es braucht wohl einen schweren Hammer dafür.
Wenig später die Erkenntnis, dass es sich wohl um dieselbe Software handelt, mit der NSA und GCHQ die Belgacom angegriffen haben. Hier mehr zu Belgacom an anderer Stelle dieser Website.
Angriffe verwenden teilweise Tools die von der NSA entwickelt wurden
August 2016:
Ein leichter bizarrer Aspekt ist, dass viele der Tools die bei vielen dieser Angriffe gegen die Industrie-Infrastruktur, Krankenhäuser und Verwaltungen eingesetzt werden, eigentlich von der NSA entwickelt wurden.
Eine Gruppe die sich Shadow Brokers nennt veröffentlichte seit 2016 Angriffstools die von der NSA entwickelt wurden und sehr effektiv Computer eindringen kann (die Wikipedia erkärt die Geschichte im Detail). Es gibt zwar Sicherheits-Patches, aber die sind in vielen Systemen (aus unterschiedlichen Gründen) oft nicht installiert.
Wer dahinter steckt ist unklar, auf jeden Fall werden die Tools jetzt heftig gegen westliche Computer eingesetzt. Angeblich sind die Tools auf einem Stand 2013. Snowden äußert den Verdacht, dass Russland hinter der Veröffentlichung steckt, andere Quellen stimmen weitgehend zu, Shadow Brokers als Botschaft an die USA, aber bewiesen ist nichts.
Aber es kommt immer noch etwas wilder: Berichte sagen nun in 2019, dass chinesische Angreifer diese Tools bereits 14 Monate vorher genutzt hätten. Dies wirft viele Fragen auf, wer die Tools wirklich von wem gestohlen hat und wie sie dann weitergewandert sind. Und es zeigt, dass solche "digitalen Angriffswaffen" (wie alle digitalen Güter) leicht kopierbar sind und nur schwer zu schützen. Sie können leicht gegen den Hersteller gerichtet werden.
Hier ein ausführlicher Artikel der NYT aus 2019 über die Schäden, der jetzt in den USA damit angerichtet werden: In Baltimore and Beyond, a Stolen N.S.A. Tool Wreaks Havoc. Der Artikel diskutiert auch die Frage, ob die NSA mitschuldig an den Schäden sei. Die NSA verneint, sie erklärt, dass ein Automobilhersteller ja auch nicht schuld sei, wenn eines seiner Produkte als Autobombe eingesetzt wird. Andere sagen, der Vergleich hinke: die NSA hatte ein Lagerhaus mit Waffen und hat die Tür nicht verschlossen. Da gäbe es sehr wohl eine Mitschuld.
Operation Cleaver und die Darkhotel Gruppe - auch der Iran ist überraschend effektiv unterwegs
Nov. 2014:
Alle Hackergruppen bekommen jetzt von den Security-Forschern kreative Namen umgehängt, Branding ist alles. Kaspersky berichtet über eine Gruppe, die sie Darkhotel-Gruppe nennen. Sie ist angeblich auf Angriffe auf Hotel-Netze spezialisiert, ein Ort, an dem die PCs der Reisenden deutlich ungeschützter sind als im Firmen-Netz und in den meisten Fällen auch deutlich angeschützter als hinter einem häußlichen Kabelanschluss. An anderer Stelle hatte ich bereits vor ca. einem Jahrzehnt darüber geschrieben.
Operation Cleaver ist eine angeblich aus dem Iran initierte Kampagne. Das ist das "Schöne" an Cybersabotage und Cyberspionage: Jeder kann mitspielen, die Kosten für so etwas sind, im Gegensatz zu einer konventionellen Aufrüstung, auch für kleine Länder erschwinglich. Und die eigene Angriffsfläche ist bei den Industriestaaten deutlich größer als bei weniger entwickelten Nationen - siehe der nächste Abschnitt hier.
Feb. 2015:
Kaspersky veröffentlicht einen Report zu dem was sie Carbanak nennen. Dabei geht es um eine Gruppe, die sich nicht auf herkömmliche Industriespionage von Firmengeheimnissen spezialisiert hat, sondern die gleichen APT-Techniken verwendet um sich in Banken festzusetzen. Ziel ist aber in diesem Fall die "große Kohle". Sie arbeiten monatelang bis sie Zugriff auf die Buchungssysteme und/oder die Bankomaten bekommen. In den Buchungssystemen überweisen sie typischerweise Millionenbeträge auf andere Konten, bei dem Bankomaten sorgen sie durch "leichte Umprogrammierung" dafür, dass diese zu einem festen Zeitpunkt große Mengen Scheine ausspucken. Kaspersky berichtet von nachgewiesenen Schäden in Höhe von 300 Mio USD in insgesamt 100 Banken, sie schätzen die Schäden aber viel höher. Kasperky berichtet von "hauptsächlich russichen Banken", aber es seien auch andere betroffen. Hier ein ausführlicher Bericht in der NYTimes: Bank Hackers Steal Millions via Malware.
Da hakt die niederländische Firma Fox-IT ein, die bereits im Dezember über eine Gruppe berichtet hat, die sie Anunak genannt hatten und nach der gleichen Methode vorgeht, aber nach dem Fox-IT bericht nur in Russland. Wie auch immer, dies ist nicht nur ein Marketingstreit zwischen 2 Sicherheitsunternehmen, sondern auch eine ganz erhebliche Bedrohung für die Banken weltweit. Es ist nämlich extrem schwer, sich gegen zielgerichtete Angriffe zu verteigen, wenn diese ausreichend systematisch und intensiv betrieben werden - es findet sich leider immer irgendein Mitarbeiter, der auf ein geschicktes Phishing-Mail hereinfällt.
Duqu 2.0 und Angriff auf Kaspersky (vermutlich aus Israel)
Juni 2015:
Kaspersky veröffentlicht, dass sie selbst (und viele weitere Anti-Malware Firmen) Opfer eines Angriffs geworden sind. Sie nennen die Software Duqu 2.0 und schreiben sie Israel zu. Bruce Schneier schreibt einen detaillierten Bericht dazu: Duqu 2.0. Es geht wohl um das Ausspionieren der Verhandlungen um das iranische Anreicherungsprogramm. Die Software wird es extrem trickreich beschrieben, bis hin zum Infizieren der Hotel-Systeme in denen die Verhandlungen stattfinden, so dass die Gespräche in den Räumen auch direkt abgehört werden können, nicht nur der elektronische Datenverkehr.
Doxing, Disinformation Kampagnen und Troll-Fabriken
