Cyber-Security - Adlas - Magazin für Sicherheitspolitik
Cyber-Security - Adlas - Magazin für Sicherheitspolitik
Cyber-Security - Adlas - Magazin für Sicherheitspolitik
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
AUFRÜSTUNG<br />
deckt wurde. Gauss verfügt im Gegensatz zu Duqu über keine Replikationsmechanismen<br />
und ist im direkten Vergleich ein modernisiertes und sehr gezielt<br />
eingesetztes Aufklärungswerkzeug, welches vor allem auf das Ausforschen<br />
einzelner Personen abzielt. Gauss sammelt zu diesem Zweck insbesondere<br />
Informationen über Social-Media, Email- und Online-Zugangsdaten, die<br />
Historie der besuchten Webseiten sowie Cookies, und sendet diese Informationen<br />
verschlüsselt an die Command & Control-Server zurück.<br />
Neben Stuxnet hat in den letzten Jahren zudem vor allem das im März<br />
2012 entdeckte »Flame« für Aufsehen gesorgt, das auf Computersystemen im<br />
Iran, Israel/Palästina, Libanon und Saudi-Arabien entdeckt wurde und in<br />
Teilen möglicherweise bereits seit 2007 aktiv war. Flame wurde wie Stuxnet<br />
auf Basis einer eigens entwickelten Programmierplattform realisiert, auf der<br />
vermutlich auch weitere Projekte entstanden, und zweifelsohne für Spionage<br />
und zum Sammeln von Informationen eingesetzt.<br />
Im Gegensatz zu den bisherigen Typen ist Flame aber sehr viel umfangreicher<br />
und größer, da es auf eine breite Streuung und eine tiefe und detaillierte<br />
Infiltration ausgelegt ist. Flame verfügt über Programmbestandteile die es erlauben,<br />
Daten intensiv zu analysieren, komprimierte Dateien sowie lokale Datenbanken<br />
zu durchsuchen und die Verschlüsselung von Daten anzugreifen.<br />
Darüber hinaus war Flame in der Lage, neben dem Aufzeichnen von Bildschirminhalten,<br />
Tastatureingaben und Audioübertragungen, weitere Programmbestandteile<br />
von den Command & Control-Servern nachzuladen. Mit<br />
COMMAND & CONTROL SERVER<br />
Um infizierte Computer aus der Ferne zu kontrollieren, Daten zu entnehmen<br />
oder gewünschte Schadfunktionen gezielt auszuführen, verwenden Angreifer<br />
oft sogenannte Command & Control-Server (C&C) die als Zwischenschritt zwischen<br />
Angreifer und Ziel stehen. Diese Server sind öffentlich im Internet verfügbare<br />
Computer, deren Internet-Adressen in die Malware eingebaut werden, die<br />
dann ihre Daten an diese Server senden oder in regelmäßigen Abständen anfragen,<br />
ob neue, vom Angreifer hinterlegte Befehle vorliegen, um diese auf dem<br />
infizierten System auszuführen. Ein Angreifer kann mit einem C&C-Server unzählige<br />
infiltrierte Systeme kontrollieren und indirekt steuern.<br />
Hilfe dieser nachträglichen Erweiterbarkeit wäre auch ein breite Schadwirkung<br />
durch das simultane Löschen von Computerdaten oder der erzwungene<br />
Ausfall von Computern durch bewusstes Zerstören der Betriebssysteme realisierbar<br />
gewesen.<br />
Von den Command & Control-Servern, die bei Flame zum Einsatz kamen,<br />
sind einige aktuell noch online und in der Lage, mit vier verschiedenen<br />
Schadprogrammen zu kommunizieren und Daten auszutauschen. Mit<br />
Flame selbst und einer unlängst entdeckten, reduzierten Version von Flame,<br />
»SPE« oder auch »Mini-Flame« getauft, sind bisher nur zwei dieser<br />
vier Programme bekannt. Es ist daher zu vermuten, dass die Flame-<br />
Plattform weiterhin verwendet wird.<br />
Lohnt sich das alles? Im Fall<br />
von Stuxnet vermutlich eher nicht.<br />
Zwischen den vier bisher entdeckten Schadprogrammen bestehen auffällige<br />
Ähnlichkeiten. Zum einen entstammen Duqu und Stuxnet beide der<br />
Plattform Tilded. Zum anderen legen Analysen der Quellcode-<br />
Bestandteile, der Programmierstruktur sowie identische Programmcode-<br />
Passagen den Schluss nahe, dass die Flame-Plattform und Tilded zwar<br />
von zwei getrennten Entwicklerteams realisiert wurden, dass diese aber<br />
einen gemeinsamen Ressourcenpool verwendeten und eine enge Kooperation<br />
bestand. Dieser Schluss wird zum einen dadurch bestärkt, dass Flame<br />
und Duqu jeweils einige der Zero-Day-Exploits verwenden die bereits<br />
bei Stuxnet eingesetzt wurden. Zum anderen wurde die Infektionsmethodik<br />
des infiziertem USB-Sticks bei Flame, Stuxnet und Gauss nahezu identisch<br />
implementiert und für das Eindringen in die Zielsysteme angewendet.<br />
Die Verwendung und Kombination vieler unterschiedlicher Technologien<br />
und der enorme Entwicklungsaufwand stellen, neben der dafür notwendigen<br />
Informationsbeschaffung auf Basis geheimdienstlicher Tätigkeiten, die Beson-<br />
>><br />
ADLAS 1/2013 ISSN 1869-1684 10