Menü

Schadprogramme verraten, wo Kriege drohen

Die Kommunikationsmuster von Schadprogrammen könnten künftig dazu dienen vorherzusagen, ob Länder einen Konflikt vorbereiten.

von
vorlesen Drucken Kommentare lesen 23 Beiträge

Großen Konflikten zwischen Ländern und verfeindeten Gruppen gehen mittlerweile intensive Cyberattacken voraus. Das legt eine Studie der US-Sicherheitsfirma FireEye nahe, in der sie über 18 Monate hinweg mehrere Millionen Malware-Nachrichten ausgewertet hat. Diese stammten von infizierten Computern seiner mehr als 5000 Industrie- und Regierungskunden in der ganzen Welt, berichtet Technology Review in seiner neuen Ausgabe (am Kiosk erhältlich oder im Heise Shop bestellbar). FireEye interessierte sich besonders für sogenannte „Callbacks“. Diese senden entweder eine Statusmeldung an den Absender der Malware oder holen neue Befehle ein. Aus den Callbacks bestimmte FireEye per Software den Standort der Computer, die die Malware steuerten.

Auf der diesjährigen Black-Hat-Sicherheitskonferenz ging es auch um die Möglichkeit, aus Malware-Nachrichten drohende geopolitische Krisen herauszulesen.

(Bild: Courtesy of Black Hat 2014)

Dabei fanden die FireEye-Experten heraus, dass der Datenverkehr von und nach Russland sowie der Ukraine genau in dem Zeitraum Spitzenwerte erreichte, in dem die Spannungen zwischen beiden Ländern wuchsen. „Im Vorfeld der Krim-Krise konnte man einen Anstieg von Malware-Callbacks sowohl in Russland als auch der Ukraine beobachten“, sagte Kenneth Geers Anfang August auf der Computersicherheits-Konferenz Black Hat in Las Vegas. Er arbeitete bis vor Kurzem für FireEye, inzwischen als unabhängiger Berater.

Die Spitzenwerte in der Malware-Kommunikation seien sehr wahrscheinlich auf Regierungsbehörden zurückzuführen, die ihre Bemühungen verstärkten, Geheimdienstinformationen zu sammeln oder ihre Gegner anzugreifen, sagt Geers. Viele Länder setzen inzwischen routinemäßig auf Computerattacken, um an Geheimdienst- und militärische Informationen zu gelangen. Möglich ist aber auch, dass die Aktivitäten auf Hacker zurückzuführen sind, die mit den Ländern sympathisieren, aber nicht von ihnen unterstützt werden.

Geers zufolge könnten die Kommunikationsmuster der Schadprogramme künftig dazu dienen vorherzusagen, ob Länder einen Konflikt vorbereiten. „Wenn die USA, Korea oder Japan in den Krieg zögen, würden wir Callback-Spitzenwerte sehen. Es ist heutzutage einfach ein integraler Bestandteil der nationalen Sicherheitsmaßnahmen.“ Geers war früher auch für den US-Geheimdienst NSA und die Nato tätig.

Zwar versuchen Malware-Betreiber manchmal, ihre Position zu verschleiern und lassen die Callback-Nachrichten zwischen Computern verschiedener Ländern hin- und herspringen. In diesen Fällen konnte FireEye jeweils nur die erste Station bestimmen. Da sich die Programmierer aber nicht immer die Mühe gäben, ein solches System aus Umschaltstationen aufzusetzen, ließen sich aus ausreichend großen Datensätzen trotzdem akkurate geografische Muster bestimmen.

Ein ähnliches Muster wie vor der Krim-Krise habe es auch beim Malware-Datenverkehr gegeben, als der aktuelle Konflikt mit der Hamas begann. Während Israel den Militärschlag gegen die Hamas im Gaza-Streifen vorbereitete, sei ein Großteil des Datenverkehrs nach Israel hinein von Schadprogrammen gekommen, die auf Rechnern in Kanada und den USA installiert waren. „Das könnten Hinweise darauf sein, dass die israelischen Sicherheitsorganisationen Infrastrukturen in Kanada und den USA nutzen“, sagt Geers.

Schädlichen Datenverkehr mit weltweiten Ereignissen zu korrelieren, könnte auch dabei helfen, Cyberwaffen von Nationalstaaten aufzudecken. Ein Teil der Daten aus Kanada zum Beispiel schien von bis dato unbekannten Schadprogrammen zu kommen – was FireEye nun weiter untersucht. „Wir sehen digitale Entsprechungen für Truppen an der Grenze“, sagte Kevin Thompson, Sicherheitsanalyst bei FireEye. „Aber wir würden uns gern die Daten eines ganzen Jahres anschauen und versuchen, sie mit allen Ereignissen im selben Zeitraum zu korrelieren.“

Auch Mikko Hyppönen bestätigt, dass Regierungen immer häufiger Malware einsetzen. Der Forschungsvorstand von F-Secure untersucht Schadsoftware, die von Nationalstaaten entwickelt und eingesetzt wird. Kleine wie große Länder setzten gleichermaßen darauf, da es günstig und wirksam ist, sagte Hyp pönen auf der Black-Hat-Konferenz. „Es gibt Parallelen zur nuklearen Aufrüstung. Doch deren Macht bestand in der Abschreckung, was wir bei Cyberwaffen nicht sehen.“

Darüber hinaus sieht FireEye-Experte Geers einen Konflikt zwischen der Begeisterung von Regierungen für diese neuen Waffen und ihrer Verpflichtung, für Sicherheit im Internet zu sorgen. „Das weltweite Malware-Problem ist sehr schwer zu lösen. Aber wollen Regierungen es auch lösen?“, fragt Geers. (Tom Simonite) / (vsz)

Anzeige
Zur Startseite
Anzeige