Gezielte Attacken - Oiip
Sonntag, 17. März 2013
v V v v v v v v v
so.digital
Gezielte Attacken
So greifen die Hacker an
Variante 1
Spear Phishing
Schritt 1
Die Kriminellen sammeln Informationen
über potenzielle Opfer. Dafür
sind zum Beispiel die sozialen
Netzwerke eine gute Quelle.
Die Angreifer dachten, es wäre die Wasserpumpenstation einer
Kleinstadt in den USA. Tatsächlich war es ein Honigtopf.
So nennen IT-Sicherheitsexperten eine Falle für Hacker. Sie
war von Mitarbeitern der Firma Trend Micro aufgebaut worden. Dafür
gaben sie einigen Computern eine andere Identität – die der
Steuerungseinheit der Pumpenstation – und verbanden die Rechner
mit dem Internet. Keine 24 Stunden später habe es den ersten
Hackerangriff gegeben, sagt Trend-Micro-Sprecher Udo Schneider.
In den folgenden vier Wochen zählte die IT-Sicherheitsfirma 39
Attacken. Die meisten kamen aus Asien, vor allem aus China (17),
viele aus Europa. Selbst aus den USA griffen Cyberkriminelle an.
Neunmal insgesamt. Ganz so einfach, wie es die US-Sicherheitsfirma
Mandiant behauptet, ist es also nicht. Sie hatte vor allem China
als Ausgangsort massiver Cyberattacken beschuldigt. Tatsächlich
sitzen die Täter offenbar in vielen Ländern.
Spionage? Oder Terrorismus?
Was suchten die Angreifer in der Schaltanlage des Wasserwerks?
Einige wollten sich nur umsehen, andere an Informationen gelangen,
berichtet Schneider. Manche versuchten aber, die Pumpen
schneller oder langsamer arbeiten zu lassen, attackierten also die
«
Sonntag, 17. März 2013
v v V v v v v v v
so.digital
Gezielte Attacken
Schritt 2
Die Kriminellen senden eine geschickt
formulierte E-Mail an ihr Opfer.
Dass es sich um eine Falle handelt,
merkt der Empfänger nicht.
Schritt 3
Denn Absender und Inhalt wirken vertrauensvoll.
Vielleicht hackten die Angreifer
vorher das Postfach eines Bekannten
und schicken darüber die Mail.
Wasserversorgung einer Kleinstadt – ein terroristischer Akt, meint
Schneider. Ihn beunruhigt das. „Dieselben Schaltanlagen stehen in
Atomkraftwerken und anderen Industrieanlagen.“
Zwar hätten es die Angreifer dann deutlich schwerer. Aber Cyberkriminelle
haben schon mehrfach bewiesen, wozu sie in der Lage
sind. Gerade erst wurden mehrere Wirtschaftsauskunfteien in den
USA gehackt. Davor mussten Facebook und Microsoft einräumen,
dass sie attackiert worden sind. Apple ebenfalls. Dabei galten Computer
der Firma bisher als sicher, weil sich Hacker auf Rechner mit
Microsofts Betriebssystem Windows konzentrierten. Aber dieses
Mal war es ein gezielter Angriff auf den Mac.
Die Cyber-Kriminellen hatten in einem beliebten Forum für iPhone-
Entwickler Schadsoftware hinterlassen. Sobald jemand die Internetseite
aufrief, installierte sich das Programm automatisch auf
dem Computer. Deshalb wird von einem Drive-by-Angriff gesprochen:
Die Apple-Mitarbeiter mussten nichts anklicken, um sich die
Malware einzufangen, es reichte, dass sie eine präparierte Seite
aufriefen. Die Trend-Micro-Mitarbeiter nennen die Methode „Waterholing“
(siehe links), weil sich die Täter wie Banditen an einem
Wasserloch auf die Lauer legen, um Reisende auszurauben.
«
Sonntag, 17. März 2013
v v v V v v v v v
so.digital
Gezielte Attacken
Schritt 4
Die Malware steckt im Anhang – und
verbirgt sich zusätzlich hinter einem
Link in der E-Mail, weil Anhänge mittlerweile
gefiltert werden.
Schritt 5
Sobald der Empfänger den Anhang
öffnet oder den Link anklickt, installiert
sich das Spionage-Programm
unbemerkt auf seinem Computer.
Es ist nicht die einzige Möglichkeit für einen gezielten Angriff auf
die Computer einer Firma. „Spear Phishing“ ist eine andere: Zunächst
sammeln Kriminelle Informationen über ihr Opfer, dann senden
sie ihm eine „gezielt entwickelte E-Mail“ mit Schadsoftware,
erklärt Marco Preuß, Mitarbeiter der IT-Sicherheitsfirma Kaspersky.
Sobald der Empfänger die Datei anklickt, installiert sich Schadsoftware
auf seinem Computer und spioniert den Rechner aus.
Wertvolle Informationen
Das funktioniert offenbar sehr gut. Preuß und seine Kollegen sind
in den vergangenen Monaten einem groß angelegten Cyberspionage-Angriff
nach dem Spear-Phishing-Prinzip auf die Schliche
gekommen. Die Kriminellen seien wahrscheinlich in Behörden,
Forschungseinrichtungen, Botschaften und Unternehmen an Informationen
gelangt. „Was sie damit vorhatten, darüber können wir
nur spekulieren.“ Es könne sich um eine Auftragsarbeit handeln.
„Denkbar ist auch, dass die Informationen weiterverkauft wurden.“
Es waren vermutlich sehr wertvolle Informationen: Denn zum einen
fand Kaspersky die Spionage-Software in diplomatischen Einrichtungen,
Regierungsorganisationen und Forschungsinstituten,
aber auch in Energie- und Atomkonzernen sowie Organisationen
«
Sonntag, 17. März 2013
v v v v V v v v v
so.digital
Gezielte Attacken
der Luft- und Raumfahrt. Zum anderen war das Programm in der
Lage, Dateien zu kopieren, die mit einer speziellen Software geschützt
worden waren – einer Software, die von NATO und EU eingesetzt
wird, wie Preuß erklärt.
Schritt 6
Die Malware lädt eventuell aus dem
Internet weitere Programme nach
und schickt die kopierten Daten an
die Angreifer.
Wahrscheinlich waren es auch sehr viele Informationen: Die Attacke
blieb mindestens fünf Jahre lang unentdeckt. Deshalb gaben
die Kaspersky-Mitarbeiter der Operation den Namen „Roter Oktober“
– nach dem lautlosen U-Boot in Tom Clancys Thriller „Jagd auf
Roter Oktober“. Zumal die russischsprachigen Täter aus Russland,
der Ukraine, Kasachstan, Moldawien oder Weißrussland stammen
müssen: Denn die Kaspersky-Experten fanden in der Software russische
Wörter.
Die Opfer sitzen dagegen in Zentralasien, Nordamerika – und in
Europa. Namen nennt Kaspersky zwar nicht. Aber selbst wenn
deutsche Firmen und Behörden nicht Opfer von „Roter Oktober“
wurden – auch sie wurden in den vergangenen Jahren angegriffen.
ThyssenKrupp und EADS zum Beispiel, wie der Spiegel unter Berufung
auf Unternehmenskreise berichtet. Die Firmen selbst reden
nicht so gerne darüber. Schließlich lassen die Kriminellen ihre Sicherheitssysteme
nicht gerade in einem guten Licht erscheinen.
«
Sonntag, 17. März 2013
v v v v v V v v v
so.digital
Gezielte Attacken
So greifen die Hacker an:
Variante 2
Waterholing
Schritt 1
Die Kriminellen hacken eine Internetseite,
von der sie wissen, dass sie von
ihren potenziellen Opfern häufig besucht
wird.
Die meisten Unternehmen würden deshalb nicht einmal die Staatsanwaltschaft
informieren, sagt Raimund Genes, Chief Technology
Officer von Trend Micro. „Aus Angst, dass es früher oder später zu
einer Verhandlung kommt und dass es dann öffentlich wird.“ Wenn
es allerdings nach Bundesinnenminister Hans-Peter Friedrich geht,
werden die Unternehmen die Angriffe bald nicht mehr geheim halten
können. Er will die „Betreiber kritischer Infrastrukturen“ dazu
verpflichten, „einen Mindeststandard an IT-Sicherheit einzuhalten
und dem Bundesamt für Sicherheit in der Informationstechnik
(BSI) erhebliche IT-Sicherheitsvorfälle zu melden“. Das geht aus
dem Entwurf für ein IT-Sicherheitsgesetz hervor, der so. vorliegt.
Lückenhafter Schutz
Darin kritisiert Friedrich: Nicht alle Unternehmen würden sich ausreichend
gegen Cyberattacken schützen. „Dieser Zustand ist nicht
hinnehmbar.“ Zumal einige Firmen „für das Funktionieren unseres
Gemeinwesens von überragender Bedeutung sind“. Der Schutz ihrer
IT-Systeme habe daher „höchste Priorität“. Bis Anfang April haben
die Wirtschaftsverbände aber noch Zeit für Einwände.
Sie werden die Möglichkeit sicherlich nutzen. Zwar äußerte sich
der Verband Bitkom auf Nachfrage nicht zum Gesetzentwurf. Aber
«
Sonntag, 17. März 2013
v v v v v v V v v
so.digital
Gezielte Attacken
Schritt 2
Auf dieser Internetseite installieren
sie – ohne, dass es auffällt –
ihre Schadsoftware und legen sich
dann auf die Lauer.
Schritt 3
Sobald die potenziellen Opfer die
Seite besuchen, installiert sich die
Schadsoftware automatisch auf
ihrem Computer.
Anfang Februar hatte er schon Überlegungen der EU nach einer
Meldepflicht für Hackerangriffe abgelehnt. Es reiche doch völlig
aus, wenn die Unternehmen anonym und freiwillig Hackerangriffe
melden könnten, erklärte ein Sprecher. Durch zu viel Öffentlichkeit
fürchten die Firmen einen Imageschaden.
Dabei könnte ihnen eine Meldepflicht sogar helfen. „Das hängt
davon ab, was gemeldet werden muss und an wen und was mit
den Informationen gemacht wird“, sagt Preuß. „Sinnvoll wäre es,
dass andere Firmen über die Einzelheiten einer Attacke informiert
würden, um daraus zu lernen.“ Und wenn nicht? Dann würde eine
Meldepflicht immerhin „das Bewusstsein dafür schärfen, dass man
sich schützen muss“. Gerade Mittelständler hielten das immer noch
nicht für nötig, berichtet Trend-Micro-Sprecher Schneider.
Aber können Firmen sich überhaupt schützen? „Natürlich gibt es
Technologien, die ein bestimmtes Level an Schutz bieten“, sagt
Preuß. Zum Beispiel Programme, die eingreifen, bevor sich Malware
auf dem Rechner installiert. Aber einen hundertprozentigen
Schutz garantieren die Fachleute nicht. Professor Max Mühlhäuser
fordert deshalb gemeinsame Abwehrmaßnahmen der Wirtschaft.
„Einzelne Firmen sind unterlegen“, meint der Leiter des Fachbe-
«
Sonntag, 17. März 2013
v v v v v v v V v
so.digital
Gezielte Attacken
Schritt 4
Der Unterschied zu Spear Phishing: Die
Opfer müssen nichts anklicken, damit
sich die Malware installiert. Deswegen
wird vom Drive-by-Angriff gesprochen.
Schritt 5
Die Malware prüft, ob sie auf dem
richtigen Computer gelandet ist –
dann lädt sie weitere Programme
nach. Sonst löscht sie sich selbst.
reichs Informatik an der TU Darmstadt. Einige Firmen handeln aber
lieber nach dem Motto: Angriff ist die beste Verteidigung. Sie gehen
selbst gegen die Täter vor. Seit vielen Jahren schon, weil sie
glaubten, „dass die sogenannte passive Verteidigung gegen Cyberangriffe
nicht ausreicht“, sagt Alexander Klimburg, Cyberexperte
am Österreichischen Institut für Internationale Politik (OIIP).
Selbstjustiz am Computer
Sandro Gaycken vom Institut für Computerwissenschaft an der
Freien Universität Berlin sah schon vor Monaten „einen neuen
Hype“, wie der Cyberkrieg-Forscher der Zeitung „Die Welt“ sagte.
„Man greift die Angreifer an.“ Dafür bauten die Firmen eigene Einheiten
auf oder beauftragten Dienstleister damit. Zum Beispiel
Crowdstrike aus Kalifornien. „Wir löschen nicht nur den Brand, wir
sehen uns auch den Brandstifter an“, erklärt Shawn Henry von der
Unternehmensleitung.
Dafür gibt es mehrere Optionen. Zum Beispiel Ablenkungsmanöver:
Der Angreifer kann auf Daten zugreifen, aber es sind wertlose
Daten, die ihn erst einmal beschäftigen. Denkbar seien auch Gegenangriffe,
sagt Klimburg. Dann könnte versucht werden, dem
Angreifer selbst ein Schadprogramm zu schicken. Die Gründer von
«
Sonntag, 17. März 2013
v v v v v v v v V
so.digital
Gezielte Attacken
Schritt 6
Das Spionage-Programm kopiert gezielt
bestimmte (und eben nicht wahllos)
Daten vom Computer und schickt
sie an die Angreifer.
Crowdstrike versichern zwar, dass ihre Methoden legal sind. Es
handle sich lediglich um eine „aktive Verteidigung“. Aber der Jurist
Marco Gercke sieht das anders. „Sie bewegen sich damit auf ganz
dünnem Eis, da es sich im Regelfall um Selbstjustiz handelt“, sagt
der Direktor des Cyber Crime Research Institute in Köln. Wenn es
sich um einen Täter im Ausland handle, gegen den das Unternehmen
vorgehe, „liegt gar ein Fall transnationaler Kriminalität vor,
der neben strafrechtlichen Konsequenzen im Zielland auch diplomatische
Konsequenzen haben kann“.
Schon jetzt ist der Ton zwischen den USA und China rau. Präsident
Barack Obama warf jetzt der Regierung in Peking vor, Cyberattacken
gegen sein Land zu unterstützen. Einige Hackerangriffe
würden zwar „von Kriminellen“ verübt, hinter anderen stehe aber
der Staat. Deshalb wolle er mit der Pekinger Regierung „ziemlich
harte“ Gespräche führen. Vielleicht mit Erfolg: Bislang wies China
alle Vorwürfe zurück. In der vorigen Woche aber zeigte sich die Regierung
bereit, mit anderen Staaten zusammenzuarbeiten. „Was
wir im Cyberspace brauchen, ist nicht Krieg, sondern Regulierung
und Kooperation“, erklärte das chinesische Außenministerium. Im
eigenen Interesse: Hacker-Angriffe aus dem Ausland hätten sich
zu einem Problem entwickelt, klagt nun auch China.
N
Hacker veröffentlichen
private Daten
von Prominenten
Was hat die First Lady der USA mit ihrer Kreditkarte gekauft?
Die Antwort darauf stand in der vergangenen Woche im Internet:
Hacker veröffentlichten persönliche Daten mehrerer prominenter
Menschen aus den USA. Betroffen waren Barack Obamas Ehefrau
Michelle Obama, Justizminister Eric Holder, Los Angeles’ Polizeichef
Charles Beck, Vizepräsident Joe Biden und Ex-Außenministerin Hillary
Clinton, aber auch Sänger und Schauspieler wie Beyoncé, Jay-Z und Britney
Spears, Arnold Schwarzenegger, Mel Gibson und Ashton Kutcher. Die
Daten wurden auf einer russischen Internetseite veröffentlicht. Darunter
Bitte Scrollen
Change language