Am 28 Februar 2018 wurde bekannt, dass das deutsche Regierungsnetzwerk seit längerer Zeit angegriffen wurde. Die Spuren der Hacker werden von den Forensikern des Bundesamtes für Sicherheit in der Informationstechnik, des Bundesnachrichtendienstes und von Verfassungsschützern ausgewertet. So arbeiten die Fahnder.
Nach einem Bericht der FAZ zufolge wird die Arbeit der Ermittler häufig durch die Spekulationen mancher Sicherheitspolitiker erschwert. Angebliche Indizien, die solche Gedankenspiele zugrunde legen, führen oft auf falsche Ermittlungswege.
Vieles ist noch rätselhaft:
Nach einem Angriff wird intensiv nach einer Zusammensetzung eines größeren Stücks Maschinencode gesucht. Die eingesetzten Programmierwerkzeuge können mitunter aus dem Maschinencode rekonstruiert werden. Daraus ergibt sich eine Art Fingerabdruck. Bisher ist noch keine zusammenhängende Schadsoftware-Probe aus dem Angriff auf den Informationsverbund Berlin-Bonn bekannt. Die Ermittler sammeln derzeit noch mühsam einzelne Datenpäckchen.
Uruburos-Gruppe?
Mal wurde davon gesprochen, die verwendete Schadsoftware wurde auf Computern bearbeitet, auf denen ein kyrillischer Zeichensatz installiert gewesen sei. Das deute auf die Online-Kriminellen der Uruburos-Gruppe hin.
Russland?
Weiter wurde argumentiert, die Zeitstempel würden ausweisen, dass zu üblichen Moskauer Bürozeiten an der Schadsoftware gearbeitet worden sei. Das sei ein Indiz dafür, dass die russische Regierung involviert sein müsse. Was sagt das schon aus? Die Zeitstempel könnten manipuliert sein. Die Internet-Protokolladressen der Server, von denen aus Schadsoftware in die Zielnetze eingeschleust wird, sind nur ein unsicheres Indiz. Diese Adressen können zwar genau nachvollzogen werden, aber Profi-Hacker arbeiten mit gefälschten Adressen.
Server:
Interne Kennzeichen der Server, von denen Schadsoftware abgeschickt wurde, sind da schon aussagekräftiger. Alle möglichen Gerätetreiber, auf dem Server installierte Anwendersoftware und die Nutzung unterschiedlicher interner Speicher- und Netzadressen können recherchiert werden. Allerdings brauchen die Ermittler vergleichbare Datenpäckchen, damit sie sie miteinander vergleichen zu können. Damit man aussagen kann, bei diesem Hack wurde schon mal ein bekannter Server benutzt.
modus operandi
Nachdem die Angreifer ins das Regierungsnetz eingedrungen sind, haben die Systemadministratoren ihre Kollegen aus der digitalen Forensik zu Hilfe gebeten. Sie sollten die Hacker ein paar Tage zu beobachten, um sie so „vielleicht“ dingfest machen zu können. Das nennt man dann den „modus operandi“. Die digitale Forensik spricht vom „Angriffsmuster“. Bestimmte Muster werden bestimmten Hackergruppen gemäß ihren bekannten Angriffen zugeordnet. So konnte rekonstruiert werden, dass der eigentliche Spionageangriff weitgehend über Befehle gesteuert worden ist, die als E-Mail verschickt wurden. Dafür sind mit hoher Wahrscheinlichkeit Sicherheitslücken in Outlook ausgenutzt worden.
Zu Anfang des Hacks haben sich die Angreifer Zugang über die Lernplattform der Bundesakademie für öffentliche Verwaltung verschafft, und zwar über Tabellendateien. Zusätzlich haben die Hacker Schadcode in Eingabeformulare geladen. Dieser wurde dann von der aufrufenden Website an andere Benutzer weitergegeben. Weil diese Benutzer teils sehr umfassende Benutzerrechte hatten, konnte damit weitere Schadsoftware auf Computer im Regierungsnetz geladen werden
Stilometrische Analyse
Geklärt werden muss auch noch, wie die aufgespielte Schadsoftware dann von außen gesteuert wurde, um wichtige Dokumente an einen – inzwischen identifizierten – Zielrechner zu überspielen. Aus den bisher gefundenen Puzzlestücken muss so viel Schadsoftware wie nur eben möglich rekonstruiert werden, um mit einer sogenannten stilometrischen Analyse mehr über die Programmierer des Schadcodes zu erfahren. Ähnlich wie ein Romanautor hat ein Programmierer seinen eigenen Schreibstil. Die amerikanische National Security Agency (NSA) hat deshalb eine Datenbank mit sog. Stilproben von Programmierern angelegt, um die Urheber von Schadsoftware ermitteln zu können.
Die Bundesregierung verweigert hier zwar jede Stellungnahme zum aktuellen Hack.
Sicherheitsexperten gehen davon aus, sobald die Ermittler erst einmal eine entsprechend verwertbare Software–Probe zusammengestellt haben, sollte der Zugang zur NSA-Datenbank mit stilometrischen Analysen offenstehen.
Quelltext:
In einigen Fällen muss dafür der Maschinencode in den Quelltext zurückübersetzt werden. Bei Skripten kann die stilometrische Analyse direkt eingesetzt werden. Das machen Algorithmen maschinellen Lernens und Software für die Mustererkennung. Sie werden mit besonderen Stil-Beispielen von Software trainiert. Ein Urheber kann identifiziert werden, wenn bekannte Programme von ihm vorliegen. Die Art, wie Klammern gesetzt, Variablennamen vergeben, Leerzeichen eingefügt sind und die Struktur, die ein Programm-Quelltext aufweist, geben dabei den einzigartigen Stil eines Programmierers wieder.
Bei kommerziell verwendeter Software kann der Autor eines Programms in 92 von 100 Fällen auf diese Weise ermittelt werden. Bei Schadsoftware wie Computerviren ist das in weniger als zehn von 100 Fällen möglich. Deshalb legen die Ermittlungsexperten der NSA großen Wert darauf, vergleichbare Datenproben zu bekommen. Das funktioniert am besten mit Quelltexten, die im Rahmen von Programmierwettbewerben geschrieben worden sind. Denn da entwickelt jeder Programmierer seine Lösung für dasselbe Problem, an dem auch mehrere Dutzend anderer Entwickler arbeiten. Die Datengrundlage ist extrem gut vergleichbar.
Belohnung und Ankauf von Informationen
Die NSA investiert sehr viel Geld, um Informanten ausfindig zu machen, welche die Identität von bekannten Virenautoren oder Entwicklern anderer Schadsoftware lüften können. Dazu zählen auch Geldzahlungen an Informatik-Professoren und Dozenten, die dafür Arbeitsproben ihrer Studenten abliefern.
Auf Informationsbörsen werden zudem Belohnungen für Hinweise gehandelt.
Erst am 28 Februar 2018 wurde den Medienvertretern bekanntgegeben, dass ein Hack auf das Regierungsnetz stattgefunden hat. Zuvor war in Sicherheitskreisen durchgesickert, dass entsprechende Informationsankäufe im Darknet betrieben wurden. Solche Ermittlungshinweise werden in der Regel nicht direkt von Sicherheitsbehörden angefragt und angekauft, sondern von externen Beratern und Sicherheitsunternehmen, die mit der operativen Absicherung zum Beispiel von Regierungsnetzen beauftragt sind.
In nicht wenigen Fällen sind die genaue Rekonstruktion der Angriffsvektoren und deren Ausnutzung durch eine bestimmte Tätergruppe erst durch solche angekauften Hinweise oder Tipps von „Vertrauenspersonen“ der Nachrichtendienste gelungen.
Quelle; tarnkappe
Nach einem Bericht der FAZ zufolge wird die Arbeit der Ermittler häufig durch die Spekulationen mancher Sicherheitspolitiker erschwert. Angebliche Indizien, die solche Gedankenspiele zugrunde legen, führen oft auf falsche Ermittlungswege.
Vieles ist noch rätselhaft:
Nach einem Angriff wird intensiv nach einer Zusammensetzung eines größeren Stücks Maschinencode gesucht. Die eingesetzten Programmierwerkzeuge können mitunter aus dem Maschinencode rekonstruiert werden. Daraus ergibt sich eine Art Fingerabdruck. Bisher ist noch keine zusammenhängende Schadsoftware-Probe aus dem Angriff auf den Informationsverbund Berlin-Bonn bekannt. Die Ermittler sammeln derzeit noch mühsam einzelne Datenpäckchen.
Uruburos-Gruppe?
Mal wurde davon gesprochen, die verwendete Schadsoftware wurde auf Computern bearbeitet, auf denen ein kyrillischer Zeichensatz installiert gewesen sei. Das deute auf die Online-Kriminellen der Uruburos-Gruppe hin.
Russland?
Weiter wurde argumentiert, die Zeitstempel würden ausweisen, dass zu üblichen Moskauer Bürozeiten an der Schadsoftware gearbeitet worden sei. Das sei ein Indiz dafür, dass die russische Regierung involviert sein müsse. Was sagt das schon aus? Die Zeitstempel könnten manipuliert sein. Die Internet-Protokolladressen der Server, von denen aus Schadsoftware in die Zielnetze eingeschleust wird, sind nur ein unsicheres Indiz. Diese Adressen können zwar genau nachvollzogen werden, aber Profi-Hacker arbeiten mit gefälschten Adressen.
Server:
Interne Kennzeichen der Server, von denen Schadsoftware abgeschickt wurde, sind da schon aussagekräftiger. Alle möglichen Gerätetreiber, auf dem Server installierte Anwendersoftware und die Nutzung unterschiedlicher interner Speicher- und Netzadressen können recherchiert werden. Allerdings brauchen die Ermittler vergleichbare Datenpäckchen, damit sie sie miteinander vergleichen zu können. Damit man aussagen kann, bei diesem Hack wurde schon mal ein bekannter Server benutzt.
modus operandi
Nachdem die Angreifer ins das Regierungsnetz eingedrungen sind, haben die Systemadministratoren ihre Kollegen aus der digitalen Forensik zu Hilfe gebeten. Sie sollten die Hacker ein paar Tage zu beobachten, um sie so „vielleicht“ dingfest machen zu können. Das nennt man dann den „modus operandi“. Die digitale Forensik spricht vom „Angriffsmuster“. Bestimmte Muster werden bestimmten Hackergruppen gemäß ihren bekannten Angriffen zugeordnet. So konnte rekonstruiert werden, dass der eigentliche Spionageangriff weitgehend über Befehle gesteuert worden ist, die als E-Mail verschickt wurden. Dafür sind mit hoher Wahrscheinlichkeit Sicherheitslücken in Outlook ausgenutzt worden.
Zu Anfang des Hacks haben sich die Angreifer Zugang über die Lernplattform der Bundesakademie für öffentliche Verwaltung verschafft, und zwar über Tabellendateien. Zusätzlich haben die Hacker Schadcode in Eingabeformulare geladen. Dieser wurde dann von der aufrufenden Website an andere Benutzer weitergegeben. Weil diese Benutzer teils sehr umfassende Benutzerrechte hatten, konnte damit weitere Schadsoftware auf Computer im Regierungsnetz geladen werden
Stilometrische Analyse
Geklärt werden muss auch noch, wie die aufgespielte Schadsoftware dann von außen gesteuert wurde, um wichtige Dokumente an einen – inzwischen identifizierten – Zielrechner zu überspielen. Aus den bisher gefundenen Puzzlestücken muss so viel Schadsoftware wie nur eben möglich rekonstruiert werden, um mit einer sogenannten stilometrischen Analyse mehr über die Programmierer des Schadcodes zu erfahren. Ähnlich wie ein Romanautor hat ein Programmierer seinen eigenen Schreibstil. Die amerikanische National Security Agency (NSA) hat deshalb eine Datenbank mit sog. Stilproben von Programmierern angelegt, um die Urheber von Schadsoftware ermitteln zu können.
Die Bundesregierung verweigert hier zwar jede Stellungnahme zum aktuellen Hack.
Sicherheitsexperten gehen davon aus, sobald die Ermittler erst einmal eine entsprechend verwertbare Software–Probe zusammengestellt haben, sollte der Zugang zur NSA-Datenbank mit stilometrischen Analysen offenstehen.
Quelltext:
In einigen Fällen muss dafür der Maschinencode in den Quelltext zurückübersetzt werden. Bei Skripten kann die stilometrische Analyse direkt eingesetzt werden. Das machen Algorithmen maschinellen Lernens und Software für die Mustererkennung. Sie werden mit besonderen Stil-Beispielen von Software trainiert. Ein Urheber kann identifiziert werden, wenn bekannte Programme von ihm vorliegen. Die Art, wie Klammern gesetzt, Variablennamen vergeben, Leerzeichen eingefügt sind und die Struktur, die ein Programm-Quelltext aufweist, geben dabei den einzigartigen Stil eines Programmierers wieder.
Bei kommerziell verwendeter Software kann der Autor eines Programms in 92 von 100 Fällen auf diese Weise ermittelt werden. Bei Schadsoftware wie Computerviren ist das in weniger als zehn von 100 Fällen möglich. Deshalb legen die Ermittlungsexperten der NSA großen Wert darauf, vergleichbare Datenproben zu bekommen. Das funktioniert am besten mit Quelltexten, die im Rahmen von Programmierwettbewerben geschrieben worden sind. Denn da entwickelt jeder Programmierer seine Lösung für dasselbe Problem, an dem auch mehrere Dutzend anderer Entwickler arbeiten. Die Datengrundlage ist extrem gut vergleichbar.
Belohnung und Ankauf von Informationen
Die NSA investiert sehr viel Geld, um Informanten ausfindig zu machen, welche die Identität von bekannten Virenautoren oder Entwicklern anderer Schadsoftware lüften können. Dazu zählen auch Geldzahlungen an Informatik-Professoren und Dozenten, die dafür Arbeitsproben ihrer Studenten abliefern.
Auf Informationsbörsen werden zudem Belohnungen für Hinweise gehandelt.
Erst am 28 Februar 2018 wurde den Medienvertretern bekanntgegeben, dass ein Hack auf das Regierungsnetz stattgefunden hat. Zuvor war in Sicherheitskreisen durchgesickert, dass entsprechende Informationsankäufe im Darknet betrieben wurden. Solche Ermittlungshinweise werden in der Regel nicht direkt von Sicherheitsbehörden angefragt und angekauft, sondern von externen Beratern und Sicherheitsunternehmen, die mit der operativen Absicherung zum Beispiel von Regierungsnetzen beauftragt sind.
In nicht wenigen Fällen sind die genaue Rekonstruktion der Angriffsvektoren und deren Ausnutzung durch eine bestimmte Tätergruppe erst durch solche angekauften Hinweise oder Tipps von „Vertrauenspersonen“ der Nachrichtendienste gelungen.
Quelle; tarnkappe
