• IT-Karriere:
  • Services:

E-Mail-Adressen in der Konfigurationsdatei

Bei eigens entwickelter Software können viele Indizien die Herkunft der Malware verraten. "Manchmal findet man Zeitstempel oder Standardeinstellungen des Betriebssystems von den Entwicklungsrechnern in der Schadsoftware", sagt Steffens. Das auf Smartphone-Sicherheit spezialisierte Unternehmen Lookout fand durch ähnliche Fehler Hinweise darauf, dass die Malware Monokle wahrscheinlich aus Russland stammt.

Stellenmarkt
  1. BIDT Bayerisches Forschungsinstitut für Digitale Transformation, München
  2. DPD Deutschland GmbH, Großostheim

In statischen Pfadangaben im Code tauchte ein Name auf, in einer Konfigurationsdatei sowohl eine E-Mail-Adresse als auch eine Telefonnummer. Das mag leicht fälschbar sein, doch auch andere Hinweise deuteten in die gleiche Richtung. Die Sicherheitsforscher stellten fest, dass die Malware die gleiche Infrastruktur wie eine andere Anwendung des mutmaßlichen, russischen Software-Herstellers nutzte - in diesem Fall eine Antiviren-Anwendung.

"Wenn man Malware bei kommerziellen Anbietern einkauft, fällt die erste Spur erst einmal weg", sagt Steffens. Aber wer Malware einkaufen müsse, weil er nicht genügend eigene Expertise hat, mache häufig an anderen Stellen Fehler. Das passierte im Fall von Dark Caracal: Im Januar 2018 enttarnte die US-amerikanische NGO Electronic Frontier Foundation (EFF) zusammen mit dem IT-Sicherheitsunternehmen Lookout die Gruppe. Sie spionierte weltweit mit manipulierten Smartphone-Apps Personen aus - von der Aktivistin bis hin zum Militärangehörigen.

Malware von der Stange schützt nicht vor Anwendungsfehlern

Dark Caracal operierte auch mit gekaufter Malware, machte aber einige Fehler. "Die Gruppe hat aus ihrem eigenen WLAN heraus Tests mit der Malware gemacht, die WLAN-IDs wurden dann auf einem Server geloggt", erzählt Steffens. Lookout beobachtete die Server und konnte IP-Adressen und WLAN-IDs zurückverfolgen - zum Gebäude einer libanesischen Sicherheits- und Geheimdienstbehörde.

Das klingt so unvorsichtig, dass es unwahrscheinlich ist. Doch es gibt noch viel leichtsinnigere Fehler: Vor vier Jahren verortete das IT-Sicherheitsunternehmen Threatconnect eine APT-Gruppe bei der chinesischen Volksbefreiungsarmee. Die Gruppe Naikon spionierte vor allem Ziele in Südostasien aus. Ihre Schadsoftware kommunizierte immer wieder mit Kontrollservern. Diese waren über Domains erreichbar, die die Zeichenkette "Greensky27" enthielten. Dieselben Zeichen fand Threatconnect noch an anderen Stellen. Unter dem Pseudonym Greensky27 existierten mehrere Social-Media-Profile eines Menschen, der sich selbst als Mitglied des chinesischen Militärs bezeichnete und sogar Fotos von sich postete - direkt vom Militärgelände.

Vom Land zur Einzelperson zur Behörde

"Intuitiv würde man denken: Man fängt bei der Attribution mit dem Land an. Wenn man noch besser ist, dann identifiziert man die Behörde. Und wenn man supertoll ist, identifiziert man die Individuen", sagt Steffens dazu. In der Praxis sei die Reihenfolge meist anders: "Eine Ahnung von dem Land zu bekommen, geht schnell. Dann stolpert man ab und zu über einzelne Personen. Wenn die dann einen Fehler gemacht haben, kann man die Behörde identifizieren, für die sie gearbeitet haben."

Manchmal fällt Staaten wie China dabei ihre eigene Zensurinfrastruktur auf die Füße.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Cyberangriffe: Attribution ist wie ein IndizienprozessWem der Angriff nutzt, lässt sich kaum verschleiern 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Butcha 17. Okt 2019

what dafuq did i just read?!

rnarrc 16. Okt 2019

Die Aussage man findet manchmal einen Zeitstempel ist korrekt, allerdings fehlt zur...

Frostwind 15. Okt 2019

Ein IT-Sicherheitsforscher, der bei einer deutschen Behörde in Bonn arbeitet: https...

Qbit42 15. Okt 2019

Ja, wirklich sehr interessant. Danke!


Folgen Sie uns
       


    •  /