LuckyCat Redux: Einsichten in eine APT-Kampagne

Originalartikel von Nart Villeneuve, Senior Threat Researcher

Vor einem Monat haben die Experten bei Symantec die LuckyCat-Kampagne zum ersten Mal dokumentiert. Seither konnten die Sicherheitsforscher von Trend Micro durch ihre Nachforschungen ihr Wissen nicht nur zu diesem speziellen Angriff, sondern auch zum Ablauf von gezielten Attacken bedeutend verbessern. Die Experten konnten die folgenden Erkenntnisse daraus gewinnen:

  • Um gezielte Attacken zu verstehen, müssen sie als Kampagnen betrachtet werden: Die Angriffe, die sich über eine sorgfältige Überwachung und Analyse miteinander in Verbindung bringen lassen, sind lediglich Teile der Gesamtkampagne. Dieser Ansatz liefert bedeutend nützlichere Informationen darüber. Das Konzept der Kampagnen und ihrer Nachverfolgung ist essenziell für die Entwicklung handlungsfähiger Bedrohungsintelligenz, die Nutzer und Netzwerke schützt.
  • Diese Kampagne hatte ein vielfältigeres Ziel als anfangs gedacht: Nicht nur militärische Forschungseinrichtungen in Indien (wie Symantec erkannte) waren die Zielscheibe, sondern auch kritische Einheiten in Japan und Indien sowie tibetische Aktivisten. Die Angreifer nutzten sehr unterschiedliche Infrastruktur, angefangen von kostenlosen „Wegwerf“-Hosting Sites bis zu dedizierten virtuellen privaten Servern.
  • LuckyCat hat auch Verbindungen zu anderen Kampagnen: Die Verantwortlichen hinter dieser Kampagne nutzen und lieferten Infrastrukturkomponenten für andere Malware-Kampagnen, die auch mit früheren gezielten Angriffen in Verbindung gebracht wurden. Dazu gehört das noch immer aktive Shadow Network. Sie verwendeten für die Angriffe auch zusätzliche Schadsoftware als nachgelagerte Malware. Trend Micro hat 90 Angriffe als Teil dieser Kampagne nachverfolgt.
  • Die sorgfältige Überwachung erlaubte es den Forschern, einige Fehler der Angreifer auszunutzen, um einen kurzen Blick auf die Identitäten und die Fähigkeiten zu werfen: Die Forscher erhielten einen Einblick in die operationalen Fähigkeiten, unter anderem in den Einsatz von Anonymisierungstechnik, um sich selbst zu verbergen. Auch konnten die Experten einige der Angreifer über deren QQ-Adressen bis zu einem bekannten Hacker-Forum, Xfocus, und einem Informations-Sicherheitsinstitut in China verfolgen.

Einen Vergleich zu anderen bekannten Bedrohungen zeigt die folgende Infografik:

Hochmotivierte Bad Guys können auch in Netzwerke eindringen, die mit umfassenden Sicherheitsmaßnahmen geschützt sind. Deshalb sollten Unternehmen neben den Standard-Tools für die Vorbeugung von Angriffen, sich auch darauf konzentrieren, Angriffe zu erkennen und den Schaden zu begrenzen. Dies lässt sich nur mit Strategien erzielen, die die Daten in den Mittelpunkt stellen. Beispielsweise liefert Trend Micros Deep Discovery die für den Schutz vor gezielten Angriffen notwendige Transparenz, Einsichten und Kontrolle über Netzwerke.

Weitere Einzelheiten sind in dem Whitepaper „LuckyCat Redux“ zusammengefasst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*