Abo
  • Services:
Anzeige
Das Logo auf der Zentrale von Ruag
Das Logo auf der Zentrale von Ruag (Bild: Ruben Sprich/Reuters)

Rohrsystem zur Tarnung

Die Angreifer nutzten innerhalb des angegriffenen Netzwerkes eine Art "Rohrsystem", um unauffällig zu operieren. Bereits infizierte Rechner innerhalb des Netzes wurden genutzt, um Befehle an andere Rechner innerhalb des Netzwerkes weiterzugeben (Baumstruktur). Infizierte Rechner gaben außerdem Informationen über den Infektionsweg zurück. Es handelt sich also um ein System, das Command and Control Server (C2C) auf verschiedenen Ebenen besaß, bis jetzt sind möglicherweise nicht alle diese Server bekannt.

Anzeige

Dieses Vorgehen hat für Angreifer mehrere Vorteile: Die Kommunikation nach außen wird möglichst gering gehalten und interne Firewalls werden ausgetrickst, da der ungewollte Netzwerkverkehr sich mit legitimem Verkehr vermischt und über längere Zeit kein Traffic außerhalb des Netzwerks gelangen muss.

Bei den Infektionen von Systemen wurde ein zweistufiges Vorgehen gewählt. Zunächst wurde evaluiert, ob Interesse an dem System bestand. Falls das der Fall war, wurde entsprechende Malware nachgeladen. Aufgabe der Malware war es, durch klassische Rechteausweitung (etwa Ausnutzung von Administratorrechten oder Ausnutzung der automatischen Starts von Programmen oder Services unter Systemrechten) erweiterte Zugriffsrechte zu erlangen. Interessanterweise wurden keine zusätzlichen Tools wie Keylogger installiert und zudem keine externen Konfigurationsdateien, sondern ausschließlich hartkodierte Informationen im Quelltext, genutzt. Vermutlich wurde dieses Vorgehen gewählt, um noch schwerer auffindbar zu operieren.

Später wurden Tools wie mimikatz.exe, pipelist.exe und dsquery.exe verwendet, um noch mehr Informationen zu erlangen und die Rechte innerhalb des Netzwerkes zu erweitern. An dem zweistufigen Vorgehen wurde allerdings festgehalten - insoweit lässt sich davon ausgehen, dass die Angreifer eine genaue Idee davon hatten, was sie suchen und wo sie es vermutlich finden. In dem Bericht des Ministeriums für Verteidigung, Bevölkerungsschutz und Sport wird erwähnt, dass insgesamt über 20 GByte Daten entwendet wurden. Es handelt sich allerdings nicht um private Daten, sondern beispielsweise um "Daten aus dem Admin-Verzeichnis". Das lässt erneut den Schluss zu, dass es sich bei dem Angriff um Wirtschaftsspionage handelt.

Tipps für Unternehmen

In dem technischen Bericht von Melani wird abschließend ausdrücklich erwähnt, dass tatsächlich jede Organisation, egal wie groß ihre Sicherheitsmaßnahmen auch seien, Opfer einer solchen Attacke werden könnte, da das Vorgehen extrem geschickt war. Das Cert sagt aber auch, dass sich mit kostengünstigen Maßnahmen, wie etwa dem Monitoring innerhalb des eigenen Netzwerkes, früher erkennen lässt, dass jemand unerlaubte Aktionen im eigenen Netzwerk tätigt.

Die genannten Maßnahmen könnten für Sicherheitsverantwortliche und Administratoren von anderen Unternehmen von großem Interesse sein. Melani empfiehlt beispielsweise häufige Anfragen an Services wie Active Directories zu protokollieren und bei großer Anzahl von Abfragen einen Alert zu erzeugen. Auch Anfragen, die per DNS gestellt werden, sollten bis zu zwei Jahre gespeichert werden, um im Zweifel später Rückschlüsse auf die Infiltration von Netzwerken zu ziehen. Zudem wird geraten, Bring-Your-Own-Device-Geräte von der klassischen IT-Infrastruktur zu separieren und (V)LANs zu nutzen, um Netzwerksegmente voneinander zu trennen.

Der ausführliche Bericht des Cert zeigt, dass sich durch das Teilen von Informationen ein Sicherheitsgewinn auch für andere Unternehmen ergeben kann - sicherlich etwas, das auch private Unternehmen oder andere Certs praktizieren sollten.

 Hack von Rüstungskonzern: Schweizer Cert gibt Security-Tipps für Unternehmen

eye home zur Startseite
cephei 24. Mai 2016

- hauptsächlich staatlich finanziert - Haupttätigkeit: Entwicklung von Rüstungsgüter



Anzeige

Stellenmarkt
  1. OSRAM GmbH, München
  2. EDAG Engineering GmbH, Fulda
  3. Dirk Rossmann GmbH, Burgwedel
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Hardware-Angebote
  1. (nur in den Bereichen "Mainboards", "Smartphones" und "TV-Geräte")

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Brandgefahr

    Akku mit eingebautem Feuerlöscher

  2. Javascript und Node.js

    NPM ist weltweit größtes Paketarchiv

  3. Verdacht der Bestechung

    Staatsanwalt beantragt Haftbefehl gegen Samsung-Chef

  4. Nintendo Switch im Hands on

    Die Rückkehr der Fuchtel-Ritter

  5. Raspberry Pi

    Compute Module 3 ist verfügbar

  6. Microsoft

    Hyper-V bekommt Schnellassistenten und Speicherfragmente

  7. Airbus-Chef

    Fliegen ohne Piloten rückt näher

  8. Cartapping

    Autos werden seit 15 Jahren digital verwanzt

  9. Auto

    Die Kopfstütze des Fahrersitzes erkennt Sekundenschlaf

  10. World of Warcraft

    Fans der Classic-Version bereuen "Piraten-Server"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
U Ultra und U Play im Hands on: HTCs intelligente Smartphones hören immer zu
U Ultra und U Play im Hands on
HTCs intelligente Smartphones hören immer zu
  1. VR-Headset HTC stellt Kopfhörerband und Tracker für Vive vor
  2. HTC 10 Evo im Kurztest HTCs eigenwillige Evolution
  3. Virtual Reality HTC stellt Drahtlos-Kit für Vive vor

Taps im Test: Aufsatz versagt bei den meisten Fingerabdrucksensoren
Taps im Test
Aufsatz versagt bei den meisten Fingerabdrucksensoren
  1. Glas Der Wunderwerkstoff
  2. Smartphone-Prognosen Das Scheitern der Marktforscher
  3. Studie Smartphones und Tablets können den Körper belasten

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

  1. Was der Beitrag nicht erklärt...

    junichs | 16:05

  2. Re: Nach dem Ablauf des Monats verfällt der...

    cry88 | 16:04

  3. Re: Gute Nachricht für AMD.

    ichbinsmalwieder | 16:04

  4. 9 von 10 jammern nur

    ChevalAlazan | 16:03

  5. Re: Was genau klaut die Ressourcen?

    Tylon | 16:03


  1. 14:17

  2. 13:21

  3. 12:30

  4. 12:08

  5. 12:01

  6. 11:58

  7. 11:48

  8. 11:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel