• IT-Karriere:
  • Services:

E-Mail-Adressen in der Konfigurationsdatei

Bei eigens entwickelter Software können viele Indizien die Herkunft der Malware verraten. "Manchmal findet man Zeitstempel oder Standardeinstellungen des Betriebssystems von den Entwicklungsrechnern in der Schadsoftware", sagt Steffens. Das auf Smartphone-Sicherheit spezialisierte Unternehmen Lookout fand durch ähnliche Fehler Hinweise darauf, dass die Malware Monokle wahrscheinlich aus Russland stammt.

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim
  2. DRÄXLMAIER Group, Vilsbiburg bei Landshut

In statischen Pfadangaben im Code tauchte ein Name auf, in einer Konfigurationsdatei sowohl eine E-Mail-Adresse als auch eine Telefonnummer. Das mag leicht fälschbar sein, doch auch andere Hinweise deuteten in die gleiche Richtung. Die Sicherheitsforscher stellten fest, dass die Malware die gleiche Infrastruktur wie eine andere Anwendung des mutmaßlichen, russischen Software-Herstellers nutzte - in diesem Fall eine Antiviren-Anwendung.

"Wenn man Malware bei kommerziellen Anbietern einkauft, fällt die erste Spur erst einmal weg", sagt Steffens. Aber wer Malware einkaufen müsse, weil er nicht genügend eigene Expertise hat, mache häufig an anderen Stellen Fehler. Das passierte im Fall von Dark Caracal: Im Januar 2018 enttarnte die US-amerikanische NGO Electronic Frontier Foundation (EFF) zusammen mit dem IT-Sicherheitsunternehmen Lookout die Gruppe. Sie spionierte weltweit mit manipulierten Smartphone-Apps Personen aus - von der Aktivistin bis hin zum Militärangehörigen.

Malware von der Stange schützt nicht vor Anwendungsfehlern

Dark Caracal operierte auch mit gekaufter Malware, machte aber einige Fehler. "Die Gruppe hat aus ihrem eigenen WLAN heraus Tests mit der Malware gemacht, die WLAN-IDs wurden dann auf einem Server geloggt", erzählt Steffens. Lookout beobachtete die Server und konnte IP-Adressen und WLAN-IDs zurückverfolgen - zum Gebäude einer libanesischen Sicherheits- und Geheimdienstbehörde.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Das klingt so unvorsichtig, dass es unwahrscheinlich ist. Doch es gibt noch viel leichtsinnigere Fehler: Vor vier Jahren verortete das IT-Sicherheitsunternehmen Threatconnect eine APT-Gruppe bei der chinesischen Volksbefreiungsarmee. Die Gruppe Naikon spionierte vor allem Ziele in Südostasien aus. Ihre Schadsoftware kommunizierte immer wieder mit Kontrollservern. Diese waren über Domains erreichbar, die die Zeichenkette "Greensky27" enthielten. Dieselben Zeichen fand Threatconnect noch an anderen Stellen. Unter dem Pseudonym Greensky27 existierten mehrere Social-Media-Profile eines Menschen, der sich selbst als Mitglied des chinesischen Militärs bezeichnete und sogar Fotos von sich postete - direkt vom Militärgelände.

Vom Land zur Einzelperson zur Behörde

"Intuitiv würde man denken: Man fängt bei der Attribution mit dem Land an. Wenn man noch besser ist, dann identifiziert man die Behörde. Und wenn man supertoll ist, identifiziert man die Individuen", sagt Steffens dazu. In der Praxis sei die Reihenfolge meist anders: "Eine Ahnung von dem Land zu bekommen, geht schnell. Dann stolpert man ab und zu über einzelne Personen. Wenn die dann einen Fehler gemacht haben, kann man die Behörde identifizieren, für die sie gearbeitet haben."

Manchmal fällt Staaten wie China dabei ihre eigene Zensurinfrastruktur auf die Füße.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Cyberangriffe: Attribution ist wie ein IndizienprozessWem der Angriff nutzt, lässt sich kaum verschleiern 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. Ryzen 5 5600X 358,03€)

Butcha 17. Okt 2019

what dafuq did i just read?!

rnarrc 16. Okt 2019

Die Aussage man findet manchmal einen Zeitstempel ist korrekt, allerdings fehlt zur...

Frostwind 15. Okt 2019

Ein IT-Sicherheitsforscher, der bei einer deutschen Behörde in Bonn arbeitet: https...

Qbit42 15. Okt 2019

Ja, wirklich sehr interessant. Danke!


Folgen Sie uns
       


Gocycle GX - Test

Das Gocycle GX hat einen recht speziellen Pedelec-Sound, aber dafür viele Vorteile.

Gocycle GX - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /