EyePyramid und die Gefahren der Angriffszuordnung

Originalartikel von Martin Roesler, Director, Threat Research


Der Information-Stealer EyePyramid wirbelte in den letzten Wochen viel Staub auf, nachdem er für den Diebstahl von 87 GB vertraulicher Daten von Regierungsbüros, privaten Unternehmen und öffentlichen Organisationen genutzt worden war. Mehr als 100 Mail-Domänen und 18.000 Mail-Konten wurden anvisiert, einschließlich solcher hochrangiger Opfer in Italien und weiteren europäischen Ländern, den USA und auch Japan. Für viele lag die Erklärung nahe, EyePyramid sei eine staatlich unterstützte Cyberspionage-Kampagne. Das war sie nicht. Schließlich konnte der Angriff einem Geschwisterpaar zugeordnet werden, das die Malware für eigenen Profit nutzte.

Der Vorfall zeigt, wie schwer eine Zuordnung fällt. Das liegt teilweise an der dem Internet zugrunde liegenden Architektur und auch an den vielen Möglichkeiten, die Angreifer nutzen können, um ihre Spuren zu verwischen. Die meisten Bedrohungsforscher und Sicherheitsprofis sind sehr vorsichtig und vermeiden es häufig, Cyberangriffe einer bestimmten Person, Gruppe oder Staat zuzuschreiben. Zum Beispiel stellen Artefakte, die in bösartigem Code gefunden werden, Sample für forensische Beweise dar, doch leider kann bösartiger Code keine Hinweise auf den Autor geben, da er auch kommerziell im Untergrund erhältlich ist. Auch geben die Artefakte nicht ihren Betreiber preis, denn es gibt viele Toolkits und Techniken für die Anonymisierung und Fälschung. Selbst die Opfer, Ziele oder die Operationen, für die sie eingesetzt werden, lassen sich nur schwer festlegen.

Selbst wenn die Zuordnung von Vorfällen aufgrund der Art der gestohlenen Informationen erfolgt, so ist sie politischen, wirtschaftlichen und soziologischen Einflüssen unterworfen. Soweit wie möglich versuchen Sicherheitsforscher, eine Zuordnung von Angriffen auf der Basis von technischen Beweisen vorzunehmen, so etwa Text aus dem Quellcode, Benutzernamen, Domänenregistrierung und anderen Informationen aus verschiedenen Sites.

Gruppen versus Einzeltäter

Der Fall von EyePyramid war vor allem das Ergebnis eines Fehlers der Hintermänner. Einzeltäter haben bestimmte Angewohnheiten (etwa die Wiederverwendung von Wörtern), Schrullen, Techniken, und daraus lässt sich eine auf eine bestimmte Identität schließen. Gruppen wie Pawn Storm jedoch haben viele Bedrohungsakteure. Der „Fingerabdruck“ der Gruppe ist daher die Folge verschiedener Individuen mit deren jeweiligen Eigenheiten. Diese Vielseitigkeit zusammen mit deren Ressourcen macht es so schwer, einen Fingerabdruck zu erstellen.

Profis und cyberkriminelle Syndikate verfolgen eine Spionagepraxis, die mit anderen geteilt und verfeinert werden kann. Sie haben auch häufiger das Können, um ihre Spuren zu verwischen. In der Gruppe lässt sich zudem einfacher Wissen teilen, die Mitglieder können voneinander lernen. Amateure, Script-Kiddies und viele Einzeltäter besitzen auch nicht die Infrastruktur, um Angriffe wie die von Gruppen auszuführen. Sie verlassen sich zumeist auf vorhandene Schadsoftware und verdienen damit ein schmales Auskommen.

Bedrohungsforscher können anfangs nur schwer die Art des Angriffs feststellen. Sogar Privatpersonen oder kleinere cyberkriminelle Gruppen wie Exploit Kit-Autoren, Ransomware-Entwickler und Clickjacking-Betrüger Rove Digital sind schwer zuzuordnen – umso schwieriger ist es im Fall von Staaten.

Gefahren der Zuordnung

Ob es uns gefällt oder nicht, es gibt immer mehr Verflechtungen zwischen Hacking und Politik. Das Problem dabei ist, dass die möglichen Zuordnungen in hochpolitisierten Umgebungen diskutiert werden, wobei die Ziele und die Motivation der Involvierten verdächtig sind. Leider erfahren diese Zuordnungen hohe Aufmerksamkeit und viele Medien schüren zusätzlich Ängste und Misstrauen.

Ein Beispiel dafür ist der angebliche Cyberangriff auf das US-amerikanische Stromnetz, der Russland zugeschrieben wurde, und vorgeblich einen Stromversorger in Vermont als Angriffspunkt nutzte. Die Nachricht zitierte „nicht näher genannte“ Behörden, berichtete über frühere Vorfälle und entwarf die schlimmsten Szenarien. Problematisch dabei – es war nicht so passiert, und der Vorfall war eigentlich recht simpel. Die Schadsoftware, die auf einem einzigen Laptop gefunden wurde, war gar nicht mit dem Stromnetz verbunden.

Dieses und viele andere Beispiele zeigen den zunehmenden Trend zu Fake-Nachrichten, Cyberpropaganda und nicht verifizierten Geschichten ohne Kontext, die ein breites Publikum beeinflussen sollen. Auch wenn man davon ausgeht, dass sie gut gemeint sind, so erzeugen sie doch Erwartungen an überwältigende Beweise gegen die Angreifer – die jedoch häufig nicht vorhanden sind. Damit aber entsteht bloß Misstrauen unter den Menschen und Organisationen (oder Ländern).

Ist Zuordnung wichtig?

Wenn es um Angriffe gegen hochrangige Ziele geht, so sollte man sich in die Lage des Opfers versetzen. Was ist wichtiger für dessen Organisation? Kann das Unternehmen einen solchen Angriff managen? Für viele Unternehmen und Informationssicherheits-Profis ist es wichtiger zu wissen, was verteidigt werden muss, und welche Art von Angriffen auf das Unternehmen möglich ist. Dazu gehören Fragen wie, wie konnte der Angreifer eindringen, was ist den Systemen und deren Daten passiert, und sind sie noch im Netzwerk.

Die Tools und Techniken hochrangiger oder von Staaten unterstützter Angriffe unterscheiden sich wenig von den sonstigen Angriffen auf Unternehmen. Neue Taktiken bei diesen Angriffen werden schließlich auch von anderen übernommen. Proaktives Incident Response, die Anwendung von Best Practices und tiefgehende Verteidigung (Defense-in-Depth) liefern Unternehmen langfristig den besten Schutz und helfen auch politisch motivierte Spekulationen zu vermeiden.

Natürlich ist eine Zuordnung wertvoll, denn wenn ein Unternehmen seinen Gegner kennt, kann es dessen Motive und Ziele besser verstehen. Abhängig vom Risikoprofil eines Ziels kann es sich dabei um Finanzdaten handeln, die im Untergrund verkauft werden, oder um Betriebsgeheimnisse. Auch der Zugriff auf ein kompromittiertes Netzwerk kann für einen Cyberkriminellen interessant sein. Sorgfältig recherchierte Zuordnung liefert intelligente Mutmaßungen, die beim Incident Response und Remediation genutzt werden können.

Zuordnung widerspiegelt auch die Fortschrittlichkeit eines Angreifers. Sie spiegelt auch die Ressourcen, das Können und die den Forschern zur Verfügung stehende Zeit wider. Zuordnung sollte nicht das Ergebnis von Sensationslust bei hochrangigen Angriffen sein, oder von Panikmache in den Massenmedien.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*