Cybersicherheit

Die Grenzen verschwimmen

02.07.2015
Von 

Schwerpunkte von Frank Kölmel, der auf mehr als 20 Jahre Erfahrung in der Netzwerk- und Internetbranche zurückblicken kann, sind Ausbau und Festigung der Position des Unternehmens in der D-A-CH-Region und Osteuropa. 

Cyberkriminelle eignen sich immer häufiger Taktiken an, die von Urhebern von Advanced Persistent Threats (APTs) entwickelt wurden.

Im Verlauf des Jahres 2014 konnte Mandiant mehrere Angriffe zu russischen Cyberkriminellen zurückverfolgen. Bei den Untersuchungen stießen die Mitarbeiter des Unternehmens jedoch auf eine Grauzone, in der die Entscheidung sehr schwierig war, ob es sich um eine kriminelle Organisation oder eine APT-Gruppe handelt, die möglicherweise staatliche Unterstützung erhält. Da die verwendeten Tools und Methoden kaum noch voneinander zu unterscheiden sind, müssen Analysten die Absichten des Angreifers untersuchen, um die potenziellen Auswirkungen eines Angriffs richtig einschätzen zu können.

Die Analyse der Tools, Methoden und der Vorgehensweisen von Cyberkriminellen und APT-Gruppen gewinnt immer mehr an Bedeutung. Nur so können die potenziellen Auswirkungen eines Angriffs richtig eingeschätzt werden.
Die Analyse der Tools, Methoden und der Vorgehensweisen von Cyberkriminellen und APT-Gruppen gewinnt immer mehr an Bedeutung. Nur so können die potenziellen Auswirkungen eines Angriffs richtig eingeschätzt werden.
Foto: alphaspirit - Fotolia.com

Einige der im vergangenen Jahr beobachteten Gruppen greifen gezielt Unternehmen im Finanzwesen an, nutzen dazu aber Methoden, die größere Ähnlichkeiten mit staatlich unterstützten APT-Aktivitäten aufweisen als mit den gewöhnlichen Taktiken finanziell motivierter Cyberkrimineller. Die beiden Bereiche überlappen sich immer häufiger - Social Engineering und speziell zugeschnittene Malware und Tools sind kein Alleinstellungsmerkmal gelenkter Angriffe mehr.

Die Absicht durchschauen - kein leichtes Unterfangen

Aufgrund dieser Überlappungen ist es wichtig, dass Sicherheitsspezialisten bei der Untersuchung unvoreingenommen vorgehen und nicht anhand einer einzelnen erkannten Methode oder eines verwendeten Tools vorschnell Rückschlüsse auf den Angreifer und seine Absichten ziehen. Die Aktivitäten einer von Mandiant beobachteten Gruppierung sind ein gutes Beispiel dafür, warum es so schwierig ist, die Ziele eines Angreifers zu durchschauen und warum dieses Wissen für die Erkenntnisgewinnung wichtig ist.

Im Oktober 2014 veröffentlichte FireEye einen Bericht zu den Aktivitäten von APT28. Die Gruppierung griff mehrere Jahre lang Rüstungsfirmen und militärische Einrichtungen, sowie staatliche und internationale Organisationen an. Das untersuchende Team kam zu der Erkenntnis, dass APT28 im Auftrag der russischen Regierung vertrauliche politische und militärische Daten zu stehlen versuchte.

Andere Sicherheitsexperten entdeckten eine weitere in Russland ansässige Angreifergruppe, die dem Anschein nach ebenfalls im Auftrag der russischen Regierung handelt. Diese wird von der Branche als "Sandworm Team", "Quedagh" oder "BE2 APT" bezeichnet. Die Gruppe schien es auf ähnliche Ziele abgesehen zu haben wie APT28, es gab jedoch einige wichtige Unterschiede. Zum einen nutzte sie Zero-Day-Schwachstellen und Schwarzmarkt-Malware, zum anderen schien sie kritische Infrastruktureinrichtungen im Ausland anzugreifen. Eine Analyse der bei diesen Angriffen genutzten Malware und Infrastruktur zeigte, dass "Sandworm Team" darüber hinaus das Toolkit BlackEnergy nutzte, um Ziele in der Ukraine anzugreifen. Manchen Berichten zufolge soll dieselbe Gruppe das Toolkit auch zu Angriffen auf SCADA-Systeme (Supervisory Control and Data Acquisition) benutzt haben.

Bei den angegriffenen Systemen handelte es sich um Produktionssysteme in verschiedenen Branchen, und nicht um herstellerspezifische Prototypen oder Netzwerke, in denen vertrauliche Finanzdaten oder geistiges Eigentum gespeichert werden. Deshalb liegt die Vermutung nahe, dass die Angreifer Schwachstellen auskundschaften wollten, die bei Sabotageversuchen ausgenutzt werden könnten. Durch die Nutzung auch unter nicht politisch motivierten Kriminellen gängigen Schwarzmarkt-Tools wie BlackEnergy wollten die Angreifer vermutlich ihre Anonymität wahren und bei Bedarf glaubhaft abstreiten können, Urheber des Angriffs zu sein.

Welche Rolle spielen diese Unterschiede?

In der Sicherheitsbranche ist umstritten, wie wichtig es ist, die Ziele eines Angreifers zu erkennen oder herauszufinden, wer hinter einem bestimmten Angriff steckt. Manche Experten sind der Meinung, dass die Identität des Angreifers unter dem Gesichtspunkt der Netzwerksicherheit keine Rolle spielt. Entscheidend ist, dass der Angriff abgewehrt, die Schäden beseitigt und Wiederholungen verhindert werden. Doch das Verstehen der Absichten und Beweggründe eines Angreifers kann einen Anhaltspunkt dafür liefern, wie ein Angriff am besten abgewehrt werden kann.

Durch die verschwimmende Grenze zwischen Tools und Taktiken von finanziell motivierten Cyberkriminellen und APT-Gruppen wird es immer schwieriger, die Fragen nach Absichten und potenziellen Auswirkungen zu beantworten. Ein typisches Beispiel ist erneut das "Sandworm Team", das vermutlich im Auftrag der russischen Regierung Spionage betreibt und mithilfe gängiger Schwarzmarkt-Malware versucht, Zugang zu kritischen Infrastruktureinrichtungen in den USA zu erlangen. Obwohl sich die genutzten Tools aus technischer Sicht nicht vom Vorgehen gewöhnlicher Angreifer unterscheiden, wäre es ein großer Fehler, diese Angriffe wie die nahezu alltäglichen Angriffe der "kleinen Fische" unter den Cyberkriminellen zu behandeln.

Wenn Sicherheitsverantwortliche wissen, dass die Malware in ihrem Netzwerk nur die erste Etappe eines staatlich beauftragten Angriffs ist, reagieren sie sicher anders auf eine Sicherheitsverletzung als auf eine Infektion mit Malware, die von Opportunisten in einem breit gestreuten Angriff eingeschleust wurde. Auch bei Diebstahl personenbezogener Daten hängt die Reaktion in der Regel davon ab, ob die Diebe gewöhnliche Cyberkriminelle sind, die sich "nur" auf Kosten des Angegriffenen bereichern wollen, oder ob die Daten aus schwerer durchschaubaren Gründen von APT-Gruppen gestohlen wurden.

Angemessene Reaktionen nur durch Analyse möglich

Weil sich die Tools, Methoden und Vorgehensweisen von Cyberkriminellen und APT-Gruppen immer mehr ähneln, gewinnt die Analyse der Ziele und Beweggründe der Angreifer an Bedeutung. Nur so können die potenziellen Auswirkungen eines Angriffs auf das angegriffene Netzwerk richtig eingeschätzt werden. Und nur so können Sicherheitsverantwortliche angemessen reagieren und eine Sicherheitsstrategie entwickeln, die auf die tatsächlich bestehenden Bedrohungen abgestimmt ist. (bw)