Gezielte Attacken - Oiip

oiip.ac.at

Gezielte Attacken - Oiip

Sonntag, 17. März 2013

v V v v v v v v v

so.digital

Gezielte Attacken

So greifen die Hacker an

Variante 1

Spear Phishing

Schritt 1

Die Kriminellen sammeln Informationen

über potenzielle Opfer. Dafür

sind zum Beispiel die sozialen

Netzwerke eine gute Quelle.

Die Angreifer dachten, es wäre die Wasserpumpenstation einer

Kleinstadt in den USA. Tatsächlich war es ein Honigtopf.

So nennen IT-Sicherheitsexperten eine Falle für Hacker. Sie

war von Mitarbeitern der Firma Trend Micro aufgebaut worden. Dafür

gaben sie einigen Computern eine andere Identität – die der

Steuerungseinheit der Pumpenstation – und verbanden die Rechner

mit dem Internet. Keine 24 Stunden später habe es den ersten

Hackerangriff gegeben, sagt Trend-Micro-Sprecher Udo Schneider.

In den folgenden vier Wochen zählte die IT-Sicherheitsfirma 39

Attacken. Die meisten kamen aus Asien, vor allem aus China (17),

viele aus Europa. Selbst aus den USA griffen Cyberkriminelle an.

Neunmal insgesamt. Ganz so einfach, wie es die US-Sicherheitsfirma

Mandiant behauptet, ist es also nicht. Sie hatte vor allem China

als Ausgangsort massiver Cyberattacken beschuldigt. Tatsächlich

sitzen die Täter offenbar in vielen Ländern.

Spionage? Oder Terrorismus?

Was suchten die Angreifer in der Schaltanlage des Wasserwerks?

Einige wollten sich nur umsehen, andere an Informationen gelangen,

berichtet Schneider. Manche versuchten aber, die Pumpen

schneller oder langsamer arbeiten zu lassen, attackierten also die

«


Sonntag, 17. März 2013

v v V v v v v v v

so.digital

Gezielte Attacken

Schritt 2

Die Kriminellen senden eine geschickt

formulierte E-Mail an ihr Opfer.

Dass es sich um eine Falle handelt,

merkt der Empfänger nicht.

Schritt 3

Denn Absender und Inhalt wirken vertrauensvoll.

Vielleicht hackten die Angreifer

vorher das Postfach eines Bekannten

und schicken darüber die Mail.

Wasserversorgung einer Kleinstadt – ein terroristischer Akt, meint

Schneider. Ihn beunruhigt das. „Dieselben Schaltanlagen stehen in

Atomkraftwerken und anderen Industrieanlagen.“

Zwar hätten es die Angreifer dann deutlich schwerer. Aber Cyberkriminelle

haben schon mehrfach bewiesen, wozu sie in der Lage

sind. Gerade erst wurden mehrere Wirtschaftsauskunfteien in den

USA gehackt. Davor mussten Facebook und Microsoft einräumen,

dass sie attackiert worden sind. Apple ebenfalls. Dabei galten Computer

der Firma bisher als sicher, weil sich Hacker auf Rechner mit

Microsofts Betriebssystem Windows konzentrierten. Aber dieses

Mal war es ein gezielter Angriff auf den Mac.

Die Cyber-Kriminellen hatten in einem beliebten Forum für iPhone-

Entwickler Schadsoftware hinterlassen. Sobald jemand die Internetseite

aufrief, installierte sich das Programm automatisch auf

dem Computer. Deshalb wird von einem Drive-by-Angriff gesprochen:

Die Apple-Mitarbeiter mussten nichts anklicken, um sich die

Malware einzufangen, es reichte, dass sie eine präparierte Seite

aufriefen. Die Trend-Micro-Mitarbeiter nennen die Methode „Waterholing“

(siehe links), weil sich die Täter wie Banditen an einem

Wasserloch auf die Lauer legen, um Reisende auszurauben.

«


Sonntag, 17. März 2013

v v v V v v v v v

so.digital

Gezielte Attacken

Schritt 4

Die Malware steckt im Anhang – und

verbirgt sich zusätzlich hinter einem

Link in der E-Mail, weil Anhänge mittlerweile

gefiltert werden.

Schritt 5

Sobald der Empfänger den Anhang

öffnet oder den Link anklickt, installiert

sich das Spionage-Programm

unbemerkt auf seinem Computer.

Es ist nicht die einzige Möglichkeit für einen gezielten Angriff auf

die Computer einer Firma. „Spear Phishing“ ist eine andere: Zunächst

sammeln Kriminelle Informationen über ihr Opfer, dann senden

sie ihm eine „gezielt entwickelte E-Mail“ mit Schadsoftware,

erklärt Marco Preuß, Mitarbeiter der IT-Sicherheitsfirma Kaspersky.

Sobald der Empfänger die Datei anklickt, installiert sich Schadsoftware

auf seinem Computer und spioniert den Rechner aus.

Wertvolle Informationen

Das funktioniert offenbar sehr gut. Preuß und seine Kollegen sind

in den vergangenen Monaten einem groß angelegten Cyberspionage-Angriff

nach dem Spear-Phishing-Prinzip auf die Schliche

gekommen. Die Kriminellen seien wahrscheinlich in Behörden,

Forschungseinrichtungen, Botschaften und Unternehmen an Informationen

gelangt. „Was sie damit vorhatten, darüber können wir

nur spekulieren.“ Es könne sich um eine Auftragsarbeit handeln.

„Denkbar ist auch, dass die Informationen weiterverkauft wurden.“

Es waren vermutlich sehr wertvolle Informationen: Denn zum einen

fand Kaspersky die Spionage-Software in diplomatischen Einrichtungen,

Regierungsorganisationen und Forschungsinstituten,

aber auch in Energie- und Atomkonzernen sowie Organisationen

«


Sonntag, 17. März 2013

v v v v V v v v v

so.digital

Gezielte Attacken

der Luft- und Raumfahrt. Zum anderen war das Programm in der

Lage, Dateien zu kopieren, die mit einer speziellen Software geschützt

worden waren – einer Software, die von NATO und EU eingesetzt

wird, wie Preuß erklärt.

Schritt 6

Die Malware lädt eventuell aus dem

Internet weitere Programme nach

und schickt die kopierten Daten an

die Angreifer.

Wahrscheinlich waren es auch sehr viele Informationen: Die Attacke

blieb mindestens fünf Jahre lang unentdeckt. Deshalb gaben

die Kaspersky-Mitarbeiter der Operation den Namen „Roter Oktober“

– nach dem lautlosen U-Boot in Tom Clancys Thriller „Jagd auf

Roter Oktober“. Zumal die russischsprachigen Täter aus Russland,

der Ukraine, Kasachstan, Moldawien oder Weißrussland stammen

müssen: Denn die Kaspersky-Experten fanden in der Software russische

Wörter.

Die Opfer sitzen dagegen in Zentralasien, Nordamerika – und in

Europa. Namen nennt Kaspersky zwar nicht. Aber selbst wenn

deutsche Firmen und Behörden nicht Opfer von „Roter Oktober“

wurden – auch sie wurden in den vergangenen Jahren angegriffen.

ThyssenKrupp und EADS zum Beispiel, wie der Spiegel unter Berufung

auf Unternehmenskreise berichtet. Die Firmen selbst reden

nicht so gerne darüber. Schließlich lassen die Kriminellen ihre Sicherheitssysteme

nicht gerade in einem guten Licht erscheinen.

«


Sonntag, 17. März 2013

v v v v v V v v v

so.digital

Gezielte Attacken

So greifen die Hacker an:

Variante 2

Waterholing

Schritt 1

Die Kriminellen hacken eine Internetseite,

von der sie wissen, dass sie von

ihren potenziellen Opfern häufig besucht

wird.

Die meisten Unternehmen würden deshalb nicht einmal die Staatsanwaltschaft

informieren, sagt Raimund Genes, Chief Technology

Officer von Trend Micro. „Aus Angst, dass es früher oder später zu

einer Verhandlung kommt und dass es dann öffentlich wird.“ Wenn

es allerdings nach Bundesinnenminister Hans-Peter Friedrich geht,

werden die Unternehmen die Angriffe bald nicht mehr geheim halten

können. Er will die „Betreiber kritischer Infrastrukturen“ dazu

verpflichten, „einen Mindeststandard an IT-Sicherheit einzuhalten

und dem Bundesamt für Sicherheit in der Informationstechnik

(BSI) erhebliche IT-Sicherheitsvorfälle zu melden“. Das geht aus

dem Entwurf für ein IT-Sicherheitsgesetz hervor, der so. vorliegt.

Lückenhafter Schutz

Darin kritisiert Friedrich: Nicht alle Unternehmen würden sich ausreichend

gegen Cyberattacken schützen. „Dieser Zustand ist nicht

hinnehmbar.“ Zumal einige Firmen „für das Funktionieren unseres

Gemeinwesens von überragender Bedeutung sind“. Der Schutz ihrer

IT-Systeme habe daher „höchste Priorität“. Bis Anfang April haben

die Wirtschaftsverbände aber noch Zeit für Einwände.

Sie werden die Möglichkeit sicherlich nutzen. Zwar äußerte sich

der Verband Bitkom auf Nachfrage nicht zum Gesetzentwurf. Aber

«


Sonntag, 17. März 2013

v v v v v v V v v

so.digital

Gezielte Attacken

Schritt 2

Auf dieser Internetseite installieren

sie – ohne, dass es auffällt –

ihre Schadsoftware und legen sich

dann auf die Lauer.

Schritt 3

Sobald die potenziellen Opfer die

Seite besuchen, installiert sich die

Schadsoftware automatisch auf

ihrem Computer.

Anfang Februar hatte er schon Überlegungen der EU nach einer

Meldepflicht für Hackerangriffe abgelehnt. Es reiche doch völlig

aus, wenn die Unternehmen anonym und freiwillig Hackerangriffe

melden könnten, erklärte ein Sprecher. Durch zu viel Öffentlichkeit

fürchten die Firmen einen Imageschaden.

Dabei könnte ihnen eine Meldepflicht sogar helfen. „Das hängt

davon ab, was gemeldet werden muss und an wen und was mit

den Informationen gemacht wird“, sagt Preuß. „Sinnvoll wäre es,

dass andere Firmen über die Einzelheiten einer Attacke informiert

würden, um daraus zu lernen.“ Und wenn nicht? Dann würde eine

Meldepflicht immerhin „das Bewusstsein dafür schärfen, dass man

sich schützen muss“. Gerade Mittelständler hielten das immer noch

nicht für nötig, berichtet Trend-Micro-Sprecher Schneider.

Aber können Firmen sich überhaupt schützen? „Natürlich gibt es

Technologien, die ein bestimmtes Level an Schutz bieten“, sagt

Preuß. Zum Beispiel Programme, die eingreifen, bevor sich Malware

auf dem Rechner installiert. Aber einen hundertprozentigen

Schutz garantieren die Fachleute nicht. Professor Max Mühlhäuser

fordert deshalb gemeinsame Abwehrmaßnahmen der Wirtschaft.

„Einzelne Firmen sind unterlegen“, meint der Leiter des Fachbe-

«


Sonntag, 17. März 2013

v v v v v v v V v

so.digital

Gezielte Attacken

Schritt 4

Der Unterschied zu Spear Phishing: Die

Opfer müssen nichts anklicken, damit

sich die Malware installiert. Deswegen

wird vom Drive-by-Angriff gesprochen.

Schritt 5

Die Malware prüft, ob sie auf dem

richtigen Computer gelandet ist –

dann lädt sie weitere Programme

nach. Sonst löscht sie sich selbst.

reichs Informatik an der TU Darmstadt. Einige Firmen handeln aber

lieber nach dem Motto: Angriff ist die beste Verteidigung. Sie gehen

selbst gegen die Täter vor. Seit vielen Jahren schon, weil sie

glaubten, „dass die sogenannte passive Verteidigung gegen Cyberangriffe

nicht ausreicht“, sagt Alexander Klimburg, Cyberexperte

am Österreichischen Institut für Internationale Politik (OIIP).

Selbstjustiz am Computer

Sandro Gaycken vom Institut für Computerwissenschaft an der

Freien Universität Berlin sah schon vor Monaten „einen neuen

Hype“, wie der Cyberkrieg-Forscher der Zeitung „Die Welt“ sagte.

„Man greift die Angreifer an.“ Dafür bauten die Firmen eigene Einheiten

auf oder beauftragten Dienstleister damit. Zum Beispiel

Crowdstrike aus Kalifornien. „Wir löschen nicht nur den Brand, wir

sehen uns auch den Brandstifter an“, erklärt Shawn Henry von der

Unternehmensleitung.

Dafür gibt es mehrere Optionen. Zum Beispiel Ablenkungsmanöver:

Der Angreifer kann auf Daten zugreifen, aber es sind wertlose

Daten, die ihn erst einmal beschäftigen. Denkbar seien auch Gegenangriffe,

sagt Klimburg. Dann könnte versucht werden, dem

Angreifer selbst ein Schadprogramm zu schicken. Die Gründer von

«


Sonntag, 17. März 2013

v v v v v v v v V

so.digital

Gezielte Attacken

Schritt 6

Das Spionage-Programm kopiert gezielt

bestimmte (und eben nicht wahllos)

Daten vom Computer und schickt

sie an die Angreifer.

Crowdstrike versichern zwar, dass ihre Methoden legal sind. Es

handle sich lediglich um eine „aktive Verteidigung“. Aber der Jurist

Marco Gercke sieht das anders. „Sie bewegen sich damit auf ganz

dünnem Eis, da es sich im Regelfall um Selbstjustiz handelt“, sagt

der Direktor des Cyber Crime Research Institute in Köln. Wenn es

sich um einen Täter im Ausland handle, gegen den das Unternehmen

vorgehe, „liegt gar ein Fall transnationaler Kriminalität vor,

der neben strafrechtlichen Konsequenzen im Zielland auch diplomatische

Konsequenzen haben kann“.

Schon jetzt ist der Ton zwischen den USA und China rau. Präsident

Barack Obama warf jetzt der Regierung in Peking vor, Cyberattacken

gegen sein Land zu unterstützen. Einige Hackerangriffe

würden zwar „von Kriminellen“ verübt, hinter anderen stehe aber

der Staat. Deshalb wolle er mit der Pekinger Regierung „ziemlich

harte“ Gespräche führen. Vielleicht mit Erfolg: Bislang wies China

alle Vorwürfe zurück. In der vorigen Woche aber zeigte sich die Regierung

bereit, mit anderen Staaten zusammenzuarbeiten. „Was

wir im Cyberspace brauchen, ist nicht Krieg, sondern Regulierung

und Kooperation“, erklärte das chinesische Außenministerium. Im

eigenen Interesse: Hacker-Angriffe aus dem Ausland hätten sich

zu einem Problem entwickelt, klagt nun auch China.

N


Hacker veröffentlichen

private Daten

von Prominenten

Was hat die First Lady der USA mit ihrer Kreditkarte gekauft?

Die Antwort darauf stand in der vergangenen Woche im Internet:

Hacker veröffentlichten persönliche Daten mehrerer prominenter

Menschen aus den USA. Betroffen waren Barack Obamas Ehefrau

Michelle Obama, Justizminister Eric Holder, Los Angeles’ Polizeichef

Charles Beck, Vizepräsident Joe Biden und Ex-Außenministerin Hillary

Clinton, aber auch Sänger und Schauspieler wie Beyoncé, Jay-Z und Britney

Spears, Arnold Schwarzenegger, Mel Gibson und Ashton Kutcher. Die

Daten wurden auf einer russischen Internetseite veröffentlicht. Darunter

Bitte Scrollen

Weitere Magazine dieses Users
Ähnliche Magazine