Schwierige Spurensuche bei Cyber-Attacken

Sind die US-Wahlen von Russland manipuliert worden – oder doch nicht? Es scheint fast unglaublich, dass die amerikanischen Sicherheitsbehörden nicht in der Lage sind, diese Frage wasserdicht zu beantworten. Doch die Sache ist komplizierter, als manche glauben.

16-12-30-hacker

Wer den Schaden hat ….

Gefahr von Cyberangriffen

Mit der wachsenden Gefahr von Cyberangriffen wird es zugleich immer schwieriger, die Spuren der Angreifer zu verfolgen. Eine eindeutige Zuordnung zu einem Herkunftsland oder einer speziellen Hackergruppe ist nach Überzeugung von Experten in den meisten Fällen mit herkömmlichen Methoden kaum noch möglich. Gab es früher noch klassische Indikatoren für die Herkunft einer Attacke, so sind diese heute kaum mehr gültig.

Schadsoftware wie Trojaner etwa sind heute nur noch ganz kurz aktiv und löschten sich bereits beim Herunterfahren der Rechner selbst. Damit werden wichtige verwertbare Spuren eines Angriffs verwischt, eine Analyse ist kaum noch möglich. Zudem werden die Angriffe oft für jedes Opfer verändert, so dass es keine zuverlässigen Indikatoren für andere potenzielle Opfer gibt.

Die falsche Fährte

Zu klassischen Indizien zählen etwa sprachliche Fragmente in den Codezeilen, die auf eine bestimmte Nationalität schließen lassen. Doch die können auch als „falsche Fährte“ absichtlich gelegt worden sein. Die Lokalisierung der Hauptserver, die für einen Angriff genutzt werden, muss ebenfalls nicht unbedingt zu den Tätern führen, die in einem ganz anderen Land sitzen können. Auch die Zeit des Angriffs, die auf eine bestimmte Zeitzone schließen lässt, kann bewusst zur Verschleierung dienen.

Keine Beweise, aber Indizien

Oft galt es als Indiz dafür, dass ein Angriff mit staatlicher Unterstützung erfolgte, wenn die genutzte Technologie besonders teuer und aufwendig ist. Inzwischen machen Cyber-Kriminelle ihre Malware jedoch bewusst öffentlich und stellen sie für andere ins Netz. Die Angriffstechniken sind gut beschrieben, so dass sie jeder nachstellen kann. Damit kann jeder unter falscher Flagge segeln.

Nicht die IT-mäßigen Randbedingungen lassen Rückschlüsse zu, wohl aber die Frage, in welchem Interesse gehandelt wird. Im aktuellen Fall der Cyber-Attacken während des US-Wahlkampfes hat es eine Interessenslage der Russen gegeben, aber keine Beweise dafür.

Der Schädling Uroburos

Inzwischen gibt es schon legendäre Fälle von Cyber-Kriminalität. So gelangte der berühmt-berüchtigte Schädling „Uroburos“ zu großem Ruhm, nicht nur in der einschlägigen Szene. Heute ist die Herkunft relativ klar. Der Schädling ist damals in der Ukraine eingesetzt worden und hat es mit hohem technologischem Potenzial auf Großunternehmen abgesehen. Drei bis vier Jahre blieb er unentdeckt. Inzwischen wurde er veröffentlicht und könne von jedem genutzt werden.

Infos zu  Uroburos

Technisch gesehen handelt es sich bei Uroburos um ein Rootkit. Das ist eine Art Virus, der sich so tief ins Betriebssystem einnistet, dass er nur schwer entdeckt und entfernt werden kann. Uroburos besteht aus zwei Dateien, einem Treiber, der die Software nahezu unsichtbar macht, und einem verschlüsselten Dateisystem. Damit ist es dem Angreifer möglich, die Kontrolle über einen infizierten PC zu erlangen und anschließend einen beliebigen Programmcode auf dem Computer auszuführen.

Außerdem kann der Trojaner den Netzwerkdatenverkehr mitschneiden und persönliche Daten stehlen. „Durch den modularen Aufbau kann die Schadsoftware einfach um weitere Funktionen erweitert werden“, schreibt der Sicherheitsexperte Ralf Benzmüller, der das Tool fast ein Jahr lang untersucht hat. Seine Analysen hat er online in einem Report zur Verfügung gestellt. Sein Fazit: „Beim Uroburos-Rootkit handelt es sich um das fortschrittlichste Stück Schadsoftware, das wir je in diesem Umfeld analysiert haben.“

 

 

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s