Orientierung im Security-Babylon

Ob Hacker-Gruppen oder Schad-Software – fast immer gibt es mehr als einen Namen dafür. Das macht vieles unnötig kompliziert.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 5 Beiträge

(Bild: Shutterstock)

Von
  • Jürgen Schmidt

TLDR: "Nenn es dann, wie du willst [...] Name ist Schall und Rauch" – im Zweifelsfall schlag bei Malpedia nach.

Es passiert immer wieder so oder so ähnlich: Microsoft präsentiert Informationen, wie die Hacker-Gruppe "Strontium" versucht, die US-Wahlen zu beeinflussen. Doch nur Eingeweihte bekommen mit, dass das dieselben sind, die bereits die letzten US-Wahlen manipuliert haben und 2015 in den Bundestag eingebrochen sind.

Denn in den Berichten zum Bundestag-Hack war typischerweise von "Sofacy" die Rede. Oder von "Fancy Bear". Andere Berichte über die Aktivitäten der vermutlich russischen Elite-Hacker reden von APT28, Sednit, Pawn Storm oder Tsar Team. Alles Namen für die gleiche Gruppe. In der Security-Szene herrscht ein geradezu babylonisches Sprachwirrwarr, das nicht selten dazu führt, dass Menschen wichtige Zusammenhänge nicht erkennen oder aneinander vorbeireden.

MITRE listet mittlerweile 107 Gruppierungen als aktive Cyber-Bedrohung; viele davon haben einen staatlichen Hintergrund.

Dieses Namenswirrwarr hat Tradition. So konnten sich schon die Hersteller von Antiviren-Software nicht auf gemeinsame Namen für die von ihnen entdeckten Schädlinge einigen. Je nach Hersteller hieß der Virus da LoveSan, MSBlast oder auch Blaster (und war eigentlich gar kein Virus, sondern ein Wurm – aber das ist eine andere Geschichte).

Das Problem war und ist, dass die Schad-Programme beziehungsweise bösartige Aktivitäten zumeist von verschiedenen Malware-Analysten unabhängig voneinander entdeckt werden, die sie dann auch gleich mit einem Namen versehen. Und bei dem bleiben sie dann in aller Regel auch.

Neben dem Stolz, der es nicht zulässt, einfach den Namen der Konkurrenz zu übernehmen, kommt da auch ein weiterer Faktor hinzu: Eigentlich ist es ja ein tolles Alleinstellungsmerkmal, wenn man schreiben kann, dass die eigene Software den neuen "SuperDestroyer" bereits entdeckt und stoppen kann, während die Konkurrenz zu dem Thema nichts vorzuweisen hat. Dass die das Teil unter dem Namen "DataKiller" führen, muss man dem Kunden ja nicht auf die Nase binden.

Ähnlich läuft es bei den Hacking-Aktivitäten und der dabei eingesetzten Malware. Hätten Sie gewusst, dass die Aktivitäten von NSA/CIA sowohl unter dem Label "The Equation Group" (Kaspersky) als auch als "The Lamberts" (ebenfalls Kaspersky) oder "Longhorn" (Symantec) diskutiert werden? Oder dass die Ransomware Dharma (Microsoft, Trend Micro u.a.) auch unter Crysis (u.a. McAfee, Malwarebytes) firmiert?

Wenn es um APT, Cybercrime oder Malware geht, gibt Malpedia einen guten Einstieg in die weitere Recherche.

Erschwerend hinzu kommt, dass die Cybercrime-Szene sehr unübersichtlich geworden ist. Wer mal eben ganz unbefangen meinen Artikel zu Cybercrime: Erpressung auf neuem Niveau liest, wird sehr schnell mit Begriffen wie Trickbot, Ryuk, Maze, Ragnar Locker, REvil und DoppelPaymer konfrontiert. Das sind die Namen von (verschiedenen) Cybercrime-Banden beziehungsweise der von ihnen eingesetzten Schad-Software. Und das sind nur die Bekanntesten; dahinter folgt eine kaum mehr überschaubare Heerschar von Newcomern und Nachahmern. Auch die Zahl der bekannten APT-Akteure wie Sofacy & Co wächst ständig. Allein hier listet etwa die MITRE mittlerweile 107 verschiedene Gruppen.

Wer das alles im Kopf hat, lernt vermutlich auch zum Frühstück Telefonbücher auswendig – könnte man ja mal brauchen. Für alle anderen folgen hier ein paar praktische Tipps, sich einen Überblick zu verschaffen beziehungsweise im Zweifelsfall die richtigen Querverbindungen aufzuspüren.

1) Auf der bereits erwähnten Seite zu MITRE ATT&CK Groups gibt es einen Überblick zu den Namen mit kurzen Beschreibungen der Gruppen. Leider wird man da etwa bei Trickbot oder Emotet nicht fündig. Denn die listet MITRE nur unter Software.

2) Im Rahmen der MISP Threat Sharing Plattform zum Austausch von Security-Informationen sind die MISP Galaxy Cluster entstanden. Im Prinzip ist das eine riesige Datenbank mit allen in diesem Bereich relevanten Begriffen und deren Beziehungen untereinander. Man kann die entweder über eine gigantische HTML-Seite oder die MISP-Software nutzen. Beides ist für "mal eben schnell was nachschauen" nicht wirklich praktisch.

3) Das Fraunhofer FKIE betreibt mit Malpedia eine Web-Site, die einen sehr guten Zugang zu Informationen rund um Malware und deren Profiteure bietet. Ihr Datenbestand beruht auf den MISP Galaxys. Tippt man in das Suchfeld etwa Strontium ein, landet man direkt beim Eintrag für Sofacy, erhält eine Liste aller Aliases der Gruppe und eine Liste von ausgewählten Veröffentlichungen, die sich auf deren Aktivitäten beziehen.

Das alles löst natürlich längst nicht alle Probleme, die sich aus dem babylonischen Sprachwirrwarr ergeben. Die Leute werden auch weiter aneinander vorbeireden oder wichtige Zusammenhänge nicht verstehen. Eigentlich will man eine einheitliche Nomenklatur, die das vermeidet. Aber das ist schon bei den Viren nicht gelungen und ich habe wenig Hoffnung, dass es jetzt klappen wird.

Doch zumindest kann man mit Diensten wie Malpedia das Beste aus dieser Situation machen. Ich jedenfalls habe mir angewöhnt, bei Berichten von Security-Firmen die verwendeten Namen dort abzufragen. Und das ergab schon die eine oder andere Erleuchtung.

(ju)