Advanced Persistent Threat
Cybercrime im staatlichen Auftrag
Fortsetzung des Artikels von Teil 1
Sechs staatliche Akteure im Fokus
Der launige Bär aus Russland
Im Zuge der geopolitischen Spannungen stehen für Russland vor allem die ehemaligen UdSSR-Staaten, Länder in Zentralasien sowie die westlichen Nationen im Visier. Cyberkampagnen werden häufig mit traditionelleren Vorgehensweisen wie menschlicher Spionage oder Desinformation kombiniert, wobei es nicht nur um Schädigungen und Ausforschungen von Schlüsselindustrien geht, sondern zunehmend auch um Wahlmanipulations- und Desinformationskampagnen. Hauptakteur in Russland ist eine äußerst aktive, meist „Fancy Bear“ genannte Gruppe, die lange Zeit dem russischen Militärgeheimdienst zugeordnet wurde und die allein zwölf Prozent der beobachteten APT-Vorfälle verantwortet. Aufgrund der breit gestreuten Angriffstechniken, die von trivialen Phishing-Wellen bis hin zum hoch ent-
wickelten UEFI-Rootkit „LoJax“ reichen, geht man mittlerweile allerdings davon aus, dass das, was die Community „Fancy Bear“ nennt, tatsächlich mehrere APT-Gruppen sowie andere Geheimdienststellen umfasst, die sich unterschiedlichen Zielen widmen. Die Gruppen tauschen Malware, Infrastruktur und sogar Personal untereinander aus, haben meist aber unterschiedliche geografische Zielgebiete. Die bereits im Herbst 2018 entdeckte LoJax-Malware wird von Russland aus auch heute noch hauptsächlich gegen geopolitische Ziele eingesetzt, ebenso die im Toolkit von Fancy Bear enthaltenen älteren Schädlinge X-Agent und Sofacy. In 2019 befasst sich die Gruppe unter anderem mit der Weiterentwicklung von LoJax.
Indien und Pakistan: missliebige Nachbarn
Die APT-Aktivitäten in Indien und Pakistan haben in den letzten sechs Monaten stark zugenommen. Netscout geht davon aus, dass die zunehmenden Spannungen in Südasien dazu beigetragen haben, dass beide Länder ihre Aktivitäten vornehmlich gegeneinander ausrichten – derzeit bekannt sind sechs verschiedene indische und drei pakistanische APT-Gruppen. Für Indien sind Cyberattacken ein Werkzeug beim Ringen um die Vormachtstellung im asiatischen Raum. Indien verfügt über einen der weltweit größten Militärapparate, dem die Aufgabe zugedacht ist, die territorialen Flächen des Landes zu sichern, an die insgesamt sechs Länder angrenzen – wahrscheinlich die Motivation für das APT-Targeting in Indien. Neben den traditionell vorhandenen Spannungen gegenüber dem Nachbar Pakistan attackieren indische APT-Gruppen daher häufig Ziele in China sowie in kleineren Ländern der südasiatischen Region. Das APT-Targeting in Pakistan konzentriert sich stark auf Indien, sammelt aber auch Informationen über andere Nachbarn und überwacht intern kritische Organisation und Personen. Cyberaktivitäten sind also aufgrund der wenig stabilen Lage in der Region meist geopolitisch motiviert, wobei die Schadsoftware durchaus auch von indischen APT-Gruppen stammen kann. In beiden Ländern kommt meist frei verfügbare Malware in Kombination mit benutzerdefiniertem Code zum Einsatz. Auffällig ist der große Anteil an auf Smartphone-Betriebssysteme abzielende Malware, etwa die pakistanischen Eigenentwicklungen „Stealth Mango“ (Android) und „Tangelo“ (iOS).
Irans illegitime Cyberaktivitäten
Auch der staatlich protegierte Cybercrime aus dem Iran ist stark geopolitisch motiviert, wobei der klare Fokus auf die Länder Israel, Saudi-Arabien und USA sowie die eigene Bevölkerung ausgerichtet ist. Im Bereich Industriesabotage und -spionage liegen die Präferenzen auf Unternehmen aus den Branchen Rohstoffe, Chemie und Versorgung. Gruppen aus dem Iran haben in den vergangenen zwei Jahren vermutlich mehr als 200 Unternehmen weltweit angegriffen. Die aus dem Iran stammende Chafer ist auf den Transportsektor, einschließlich Luftfahrt, konzentriert, während die APT-Gruppe OilRig vor allem gegen Ziele im Nahen Osten tätig ist. Charming Kitten wiederum nimmt missliebige Personen wie Dissidenten, Fach- und Führungskräfte sowie Journalisten ins Visier und versucht, den westlichen Einfluss auf das Land zu eliminieren.
Cyberwar made in China
Das Hauptinteresse der zahlreichen, staatlich finanzierten APT-Gruppen aus dem Reich der Mitte gilt dem Sammeln von Informationen und dem Diebstahl von geistigem Eigentum von Unternehmen und Regierungen. Zudem zielen Aktivitäten darauf ab, weltweit Mobilfunknetze auszuspähen. Das Targeting ist aber auch auf das eigene Land ausgerichtet. Attacken richten sich daher auch gegen missliebige Anwälte, Journalisten, Aktivisten und gemeinnützige Organisationen, wobei sich sechs Hauptziele herauskristallisieren: Uiguren, Tibet, Falun Gong, Demokratiebewegungen und Taiwan sowie, aktuell hinzugekommen, Hongkong.
Nordkorea und das Geld der anderen
Hackergruppen aus Nordkorea haben ein umfangreiches Aufgabenspektrum, das von der Informationsgewinnung über die geopolitische Einflussnahme bis hin zum Diebstahl intellektuellen Eigentums reicht. Aktuell im Fokus der APT-Gruppen sind Forschungseinrichtungen und Universitäten, wobei sich als ein Schwerpunkt die Gewinnung von sensitiven Informationen aus dem Bereich Biomedizintechnik abzeichnet. Außergewöhnlich ist auch die umfangreiche digitale Finanzkriminalität, die darauf abzielt, die Regierung mit Geldern zu versorgen.
Kirill Kasavchenko, Principal Security Technologist, CTO Office, Netscout
- Cybercrime im staatlichen Auftrag
- Sechs staatliche Akteure im Fokus
Lesen Sie mehr zum Thema
