6 der häufigsten Fälle, in denen Regierungs-Hacker Sicherheitslücken ausnutzen

von Andy Green

Ja, Hacker können auch Spione sein. Das ist aber kein Grund zur Sorge, da weiterhin die gleichen Regeln gelten.

Zusammen mit dem Rest Amerikas habe auch ich letzte Woche die Schlagzeilen über den Hacking-Angriff des chinesischen Militärs auf die Computersysteme des US-Verteidigungsministeriums gelesen. Obwohl der Begriff „Cyber-Angriff“ einen bedrohlicheren Unterton hat, wenn es dabei um Regierungen geht, hat die Mehrheit der Presse die Geschichte dennoch korrekterweise in der Rubrik „Technologie“ veröffentlicht und die Spionage zu einer interessanten Randbemerkung gemacht. In der Tat handelt es sich lediglich um ein weiteres Beispiel für Cyber-Kriminalität, nur dass die Daten in diesem Fall von Corporate-Fileservern der Regierung gestohlen wurden.

Mein erster Instinkt ließ mich die Berichterstattung genau prüfen. Ich wollte wissen, wie diese Bande vorgegangen ist, d. h., welche Bedrohungsmethoden oder Angriffsvektoren verwendet wurden. Leider gab es hierzu nur wenige Informationen. Auch der Jahresbericht des Pentagons an den Kongress, der die Quelle für diese Schlagzeile war, schwieg sich über diesen Aspekt der Geschichte aus. Um etwas Licht ins Dunkel zu bringen, griff ich einmal mehr auf eine der beliebtesten Ressourcen dieses Blogs zurück: den Datensicherheitsreport von Verizon.

Bei der Auswertung der Datenschutzverstöße im Jahr 2012 hebt der Bericht auch die Aktivität von staatsnahen Akteuren – ein Synonym für Spione und Geheimdienste – hervor, die im Vergleich zum Vorjahr deutlich angestiegen war. Die Auswertung zeigt, dass ausländische Regierungen an 121 der 621 im Bericht aufgelisteten und validierten Verstöße beteiligt waren – dabei gilt deren Auswertung in der Regel als ziemlich strikt. Besonders auffällig war in diesem Zusammenhang, dass 22 % aller Verstöße aus dem Bericht auf der Informationsgewinnung von Unternehmens-IP-Adressen und anderen kritischen Daten basierten. Das ist jedoch noch kein Grund zur Panik.

Wie der Bericht deutlich macht, liegt der Unterschied zwischen der durch Regierungen gesponserten Informationsgewinnung und dem herkömmlichen Hacking darin, dass die Ausnutzung von Sicherheitslücken in Software bei Hackern mehrere Gesichter haben kann. Sie vertrauen auf eine Kombination aus E-Mail-Phishing und Malware und betreiben zugleich eine Vielzahl an Hackangriffen auf Zugangsdaten.

Durch meine eigene Zerlegung der Rohdaten, die der Bericht großzügig zur Verfügung stellt, konnte ich mir ein besseres Bild über die von Regierungen ausgeübten Angriffe machen. Die Tabelle oben listet die sechs der wichtigsten Mechanismen, die von „Staatshackern“ verwendet werden. Wie der Datensicherheitsreport von Verizon hervorhebt, basieren 121 der Verstöße auf einer gut organisierten Ausnutzung von Softwaresicherheitslücken, und bestimmte Verfahren wiederholen sich mehrfach.

Die Verstöße laufen überwiegend wie folgt ab: Ein Benutzer sitzt irgendwo an einem Schreibtisch – in einem Fortune 500 Unternehmen, dem Verteidigungsministerium oder in einer Forschungseinrichtung. Dabei fällt er auf einen E-Mail-Phishing-Angriff herein, bei dem eine Hintertür auf den Computer des Benutzers geladen wird. Diese Malware kontaktiert nun den Command-and-Control-Server (C2-Server) der ausländischen Regierung. Dieser C2-Server weist die Hintertür an einige einfache Befehle umzusetzen. Das könnte beispielsweise eine Durchsuchung des Dateisystems und ein anschließender Datenexport von Informationen sein, die interessant wirken. Häufig sucht die ausländische Regierung auch nach der Datei der Passwort-Hashes – Passwort-Dumping – sodass eine Rückwärtssuche durchgeführt und aus der Ferne auf diese Konten zugegriffen werden kann.

Das ist für die Mehrheit der anspruchsvolleren Spezies unter den „außerbehördlichen Hackern“ natürlich nicht ungewöhnlich. Der wesentliche Faktor ist jedoch, dass herkömmliche Schutzmaßnahmen und Plan-B zur Schadensminimierung weiterhin Anwendung finden.

So erinnert auch der aktuelle DBIR-Bericht die Leser (diese Empfehlung besteht bereits seit Jahren) daran, dass eine Authentifizierung mit zwei Stufen 80 % aller Angriffe in Verbindung mit Passwörtern vermeiden würde. Und was für herkömmliche Cyber-Kriminelle funktioniert, funktioniert mindestens ebenso gut für Cyber-Spione, die sich aus China einloggen. Eine Überprüfung und Überwachung der Aktivitäten mit den Dateien würde den Zugriff von militärischen Bediensteten auf Dokumente und Dateisysteme erkennen, auf die diese normalerweise nicht zugreifen.

Ich bin mir fast sicher, dass die betroffenen US-Militärfirmen zum Opfer des oben erläuterten Szenarios geworden sind. Eine detaillierte Beschreibung des tatsächlichen Angriffs durch das chinesische Militär finden Sie hier. Diese stimmt grundsätzlich mit meinem Szenario, das sich auf die Daten des DBIR-Berichts stützt, überein, enthält aber noch einige interessante Variationen.

Was würde ich also Unternehmen raten, die mit dieser Art Angriffen zu kämpfen haben? Bleiben Sie ruhig und arbeiten Sie normal weiter! Konzentrieren Sie sich auf Möglichkeiten um diese Angriffe zu verhindern oder ihre Wirkung abzuschwächen – Vorschläge dazu finden Sie im DBIR-Bericht 2013 – und die Sie schon immer gegen herkömmliche Cyber-Kriminelle einsetzen wollten.

The post 6 der häufigsten Fälle, in denen Regierungs-Hacker Sicherheitslücken ausnutzen appeared first on Varonis Deutsch.