Im Verlauf des Jahres 2014 konnte Mandiant mehrere Angriffe zu russischen Cyberkriminellen zurückverfolgen. Bei den Untersuchungen stießen die Mitarbeiter des Unternehmens jedoch auf eine Grauzone, in der die Entscheidung sehr schwierig war, ob es sich um eine kriminelle Organisation oder eine APT-Gruppe handelt, die möglicherweise staatliche Unterstützung erhält. Da die verwendeten Tools und Methoden kaum noch voneinander zu unterscheiden sind, müssen Analysten die Absichten des Angreifers untersuchen, um die potenziellen Auswirkungen eines Angriffs richtig einschätzen zu können.
Einige der im vergangenen Jahr beobachteten Gruppen greifen gezielt Unternehmen im Finanzwesen an, nutzen dazu aber Methoden, die größere Ähnlichkeiten mit staatlich unterstützten APT-Aktivitäten aufweisen als mit den gewöhnlichen Taktiken finanziell motivierter Cyberkrimineller. Die beiden Bereiche überlappen sich immer häufiger - Social Engineering und speziell zugeschnittene Malware und Tools sind kein Alleinstellungsmerkmal gelenkter Angriffe mehr.
Die Absicht durchschauen - kein leichtes Unterfangen
Aufgrund dieser Überlappungen ist es wichtig, dass Sicherheitsspezialisten bei der Untersuchung unvoreingenommen vorgehen und nicht anhand einer einzelnen erkannten Methode oder eines verwendeten Tools vorschnell Rückschlüsse auf den Angreifer und seine Absichten ziehen. Die Aktivitäten einer von Mandiant beobachteten Gruppierung sind ein gutes Beispiel dafür, warum es so schwierig ist, die Ziele eines Angreifers zu durchschauen und warum dieses Wissen für die Erkenntnisgewinnung wichtig ist.
Im Oktober 2014 veröffentlichte FireEye einen Bericht zu den Aktivitäten von APT28. Die Gruppierung griff mehrere Jahre lang Rüstungsfirmen und militärische Einrichtungen, sowie staatliche und internationale Organisationen an. Das untersuchende Team kam zu der Erkenntnis, dass APT28 im Auftrag der russischen Regierung vertrauliche politische und militärische Daten zu stehlen versuchte.
- Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor. - Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln. - Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet. - Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren. - Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin. - Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind. - Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren. - Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin. - Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.
Andere Sicherheitsexperten entdeckten eine weitere in Russland ansässige Angreifergruppe, die dem Anschein nach ebenfalls im Auftrag der russischen Regierung handelt. Diese wird von der Branche als "Sandworm Team", "Quedagh" oder "BE2 APT" bezeichnet. Die Gruppe schien es auf ähnliche Ziele abgesehen zu haben wie APT28, es gab jedoch einige wichtige Unterschiede. Zum einen nutzte sie Zero-Day-Schwachstellen und Schwarzmarkt-Malware, zum anderen schien sie kritische Infrastruktureinrichtungen im Ausland anzugreifen. Eine Analyse der bei diesen Angriffen genutzten Malware und Infrastruktur zeigte, dass "Sandworm Team" darüber hinaus das Toolkit BlackEnergy nutzte, um Ziele in der Ukraine anzugreifen. Manchen Berichten zufolge soll dieselbe Gruppe das Toolkit auch zu Angriffen auf SCADA-Systeme (Supervisory Control and Data Acquisition) benutzt haben.
Bei den angegriffenen Systemen handelte es sich um Produktionssysteme in verschiedenen Branchen, und nicht um herstellerspezifische Prototypen oder Netzwerke, in denen vertrauliche Finanzdaten oder geistiges Eigentum gespeichert werden. Deshalb liegt die Vermutung nahe, dass die Angreifer Schwachstellen auskundschaften wollten, die bei Sabotageversuchen ausgenutzt werden könnten. Durch die Nutzung auch unter nicht politisch motivierten Kriminellen gängigen Schwarzmarkt-Tools wie BlackEnergy wollten die Angreifer vermutlich ihre Anonymität wahren und bei Bedarf glaubhaft abstreiten können, Urheber des Angriffs zu sein.
Welche Rolle spielen diese Unterschiede?
In der Sicherheitsbranche ist umstritten, wie wichtig es ist, die Ziele eines Angreifers zu erkennen oder herauszufinden, wer hinter einem bestimmten Angriff steckt. Manche Experten sind der Meinung, dass die Identität des Angreifers unter dem Gesichtspunkt der Netzwerksicherheit keine Rolle spielt. Entscheidend ist, dass der Angriff abgewehrt, die Schäden beseitigt und Wiederholungen verhindert werden. Doch das Verstehen der Absichten und Beweggründe eines Angreifers kann einen Anhaltspunkt dafür liefern, wie ein Angriff am besten abgewehrt werden kann.
Durch die verschwimmende Grenze zwischen Tools und Taktiken von finanziell motivierten Cyberkriminellen und APT-Gruppen wird es immer schwieriger, die Fragen nach Absichten und potenziellen Auswirkungen zu beantworten. Ein typisches Beispiel ist erneut das "Sandworm Team", das vermutlich im Auftrag der russischen Regierung Spionage betreibt und mithilfe gängiger Schwarzmarkt-Malware versucht, Zugang zu kritischen Infrastruktureinrichtungen in den USA zu erlangen. Obwohl sich die genutzten Tools aus technischer Sicht nicht vom Vorgehen gewöhnlicher Angreifer unterscheiden, wäre es ein großer Fehler, diese Angriffe wie die nahezu alltäglichen Angriffe der "kleinen Fische" unter den Cyberkriminellen zu behandeln.
Eine große Mehrheit der Befragten setzt ein MDM-System ein oder plant dies.
Weniger als ein Drittel der Unternehmen glaubt an einen ausreichenden Schutz durch einschlägige Sicherheitsmaßnahmen.
Neben der Sensibilisierung der Mitarbeiter sehen Unternehmen vor allem die IT-Anbieter in der Pflicht, für mehr Sicherheit zu sorgen.
Wenn Sicherheitsverantwortliche wissen, dass die Malware in ihrem Netzwerk nur die erste Etappe eines staatlich beauftragten Angriffs ist, reagieren sie sicher anders auf eine Sicherheitsverletzung als auf eine Infektion mit Malware, die von Opportunisten in einem breit gestreuten Angriff eingeschleust wurde. Auch bei Diebstahl personenbezogener Daten hängt die Reaktion in der Regel davon ab, ob die Diebe gewöhnliche Cyberkriminelle sind, die sich "nur" auf Kosten des Angegriffenen bereichern wollen, oder ob die Daten aus schwerer durchschaubaren Gründen von APT-Gruppen gestohlen wurden.
Angemessene Reaktionen nur durch Analyse möglich
Weil sich die Tools, Methoden und Vorgehensweisen von Cyberkriminellen und APT-Gruppen immer mehr ähneln, gewinnt die Analyse der Ziele und Beweggründe der Angreifer an Bedeutung. Nur so können die potenziellen Auswirkungen eines Angriffs auf das angegriffene Netzwerk richtig eingeschätzt werden. Und nur so können Sicherheitsverantwortliche angemessen reagieren und eine Sicherheitsstrategie entwickeln, die auf die tatsächlich bestehenden Bedrohungen abgestimmt ist. (bw)