Cyberkriminelle und APT-Gruppen imitieren einander
Die Grenzen verschwimmen
Untersuchungen von Mandiant im Jahr 2014 haben gezeigt, dass sich ein neuer Trend abzeichnet: Cyberkriminelle eignen sich immer häufiger Taktiken an, die von Urhebern von Advanced-Persistent-Threats (APTs) entwickelt wurden, während APT-Gruppen oft dieselben Tools für ihre Angriffe nutzen wie gewöhnliche Cyberkriminelle. Ein moderner Ansatz ist gefragt, der Ziele und Beweggründe der Angreifer untersucht.
Im Verlauf des Jahres 2014 konnte Mandiant mehrere Angriffe zu russischen Cyberkriminellen zurückverfolgen. Bei den Untersuchungen stießen die Mitarbeiter des Unternehmens jedoch auf eine Grauzone, in der die Entscheidung sehr schwierig war, ob es sich um eine kriminelle Organisation oder eine APT-Gruppe handelt, die möglicherweise staatliche Unterstützung erhält. Da die verwendeten Tools und Methoden kaum noch voneinander zu unterscheiden sind, müssen Analysten die Absichten des Angreifers untersuchen, um die potenziellen Auswirkungen eines Angriffs richtig einschätzen zu können.
Einige der im vergangenen Jahr beobachteten Gruppen greifen gezielt Unternehmen im Finanzwesen an, nutzen dazu aber Methoden, die größere Ähnlichkeiten mit staatlich unterstützten APT-Aktivitäten aufweisen als mit den gewöhnlichen Taktiken finanziell motivierter Cyberkrimineller. Die beiden Bereiche überlappen sich immer häufiger – Social-Engineering und speziell zugeschnittene Malware und Tools sind kein Alleinstellungsmerkmal gelenkter Angriffe mehr.
Die Absicht durchschauen – kein leichtes Unterfangen
Aufgrund dieser Überlappungen ist es wichtig, dass Sicherheitsspezialisten bei der Untersuchung unvoreingenommen vorgehen und nicht anhand einer einzelnen erkannten Methode oder eines verwendeten Tools vorschnell Rückschlüsse auf den Angreifer und seine Absichten ziehen. Die Aktivitäten einer von Mandiant beobachteten Gruppierung sind ein gutes Beispiel dafür, warum es so schwierig ist, die Ziele eines Angreifers zu durchschauen und warum dieses Wissen für die Erkenntnisgewinnung wichtig ist.
Im Oktober 2014 veröffentlichte Fireeye einen Bericht zu den Aktivitäten von APT28. Die Gruppierung griff mehrere Jahre lang Rüstungsfirmen und militärische Einrichtungen, sowie staatliche und internationale Organisationen an. Das untersuchende Team kam zu der Erkenntnis, dass APT28 im Auftrag der russischen Regierung vertrauliche politische und militärische Daten zu stehlen versuchte.
Andere Sicherheitsexperten entdeckten eine weitere in Russland ansässige Angreifergruppe, die dem Anschein nach ebenfalls im Auftrag der russischen Regierung handelt. Diese wird von der Branche als „Sandworm Team“, „Quedagh“ oder „BE2 APT“ bezeichnet. Die Gruppe schien es auf ähnliche Ziele abgesehen zu haben wie APT28, es gab jedoch einige wichtige Unterschiede. Zum einen nutzte sie Zero-Day-Schwachstellen und Schwarzmarkt-Malware, zum anderen schien sie kritische Infrastruktureinrichtungen im Ausland anzugreifen. Eine Analyse der bei diesen Angriffen genutzten Malware und Infrastruktur zeigte, dass „Sandworm Team“ darüber hinaus das Toolkit Black-Energy nutzte, um Ziele in der Ukraine anzugreifen. Manchen Berichten zufolge soll dieselbe Gruppe das Toolkit auch zu Angriffen auf SCADA-Systeme (Supervisory-Control-and-Data-Acquisition) benutzt haben.
Bei den angegriffenen Systemen handelte es sich um Produktionssysteme in verschiedenen Branchen, und nicht um herstellerspezifische Prototypen oder Netzwerke, in denen vertrauliche Finanzdaten oder geistiges Eigentum gespeichert werden. Deshalb liegt die Vermutung nahe, dass die Angreifer Schwachstellen auskundschaften wollten, die bei Sabotageversuchen ausgenutzt werden könnten. Durch die Nutzung auch unter nicht politisch motivierten Kriminellen gängigen Schwarzmarkt-Tools wie Black-Energy wollten die Angreifer vermutlich ihre Anonymität wahren und bei Bedarf glaubhaft abstreiten können, Urheber des Angriffs zu sein.
- Die Grenzen verschwimmen
- Welche Rolle spielen diese Unterschiede?
Lesen Sie mehr zum Thema
