c't 14/2017
S. 122
Know-how
Attribution
Aufmacherbild

Hacker-Jagd im Cyberspace

Grundlagen und Grenzen der Suche nach den Tätern

Das Zeigen auf angeblich Schuldige ist mittlerweile bei jedem größeren Hack gängige Praxis in Medien und Politik. Um die Glaubwürdigkeit solcher Aussagen zu bewerten, muss man die zugrundeliegenden Konzepte und Techniken der sogenannten Attribution kennen.

Über die Frage, wer hinter den Hacker-Angriffen auf die demokratische Partei steckte, diskutieren die Politiker der USA. Auch in Deutschland äußerten sich Regierungsstellen zu Gruppen wie APT28 (Sofacy) und deren mögliche Verwicklung in den Einbruch in die IT des Bundestags. Das wirft die Frage auf: Woher kommen solche Aussagen und wie verlässlich sind sie?

Um das zu beantworten, muss man wissen, wie Cyber-Spionage-Angriffe ablaufen. Man kann sie typischerweise anhand der idealisierten Cyber-Killchain beschreiben: Die Täter betreiben zunächst Aufklärung, indem sie etwa relevante Personen, deren Arbeitsgebiete und Gewohnheiten auskundschaften. Oftmals geht es beim ersten Angriff lediglich darum, Zugang zu PCs oder einem Netz im Umfeld des eigentlichen Ziels zu erlangen.

Zum Kasten: Dr. Timo Steffens, BSI CERT-Bund

Dazu wählen die Angreifer ein Schadprogramm, das sie auf dem PC des Opfers platzieren wollen, um diesen zu kontrollieren. Das erreichen sie etwa mit einem maßgeschneiderten Exploit, der eine Sicherheitslücke ausnutzt. Oft wird das Opfer auch durch Tricks verleitet, Schadcode auszuführen. Die Zielpersonen erhalten dann etwa eine genau auf sie zugeschnittene Mail (Spear Phishing). Andere Infektionsvektoren sind vom Opfer oft besuchte Webseiten (Waterhole Attack) oder scheinbar verlorene USB-Sticks, die die Zielperson findet und ausprobiert.

Nach der Installation des Schadprogramms beginnt das Ausbreiten im internen Netz, das sogenannte Lateral Movement. Das erfolgt oft in mehreren Stufen, bis man das eigentliche Operationsziel erreicht hat. Hat der Angreifer die gesuchten Daten gefunden, werden diese schließlich an einen externen Server unter seiner Kontrolle exfiltriert – Mission erfüllt!

Die Spuren

Kommentare lesen (3 Beiträge)