E-Mail-Adressen in der Konfigurationsdatei

Bei eigens entwickelter Software können viele Indizien die Herkunft der Malware verraten. "Manchmal findet man Zeitstempel oder Standardeinstellungen des Betriebssystems von den Entwicklungsrechnern in der Schadsoftware", sagt Steffens. Das auf Smartphone-Sicherheit spezialisierte Unternehmen Lookout fand durch ähnliche Fehler Hinweise darauf, dass die Malware Monokle wahrscheinlich aus Russland stammt.

Stellenmarkt
  1. Fachspezialist Informationssicherheit (w/m/d)
    Frankfurter Sparkasse, Frankfurt am Main
  2. Senior-IT-Architekt Mobile-App Entwicklung (m/w/d)
    BARMER, Schwäbisch Gmünd, Wuppertal
Detailsuche

In statischen Pfadangaben im Code tauchte ein Name auf, in einer Konfigurationsdatei sowohl eine E-Mail-Adresse als auch eine Telefonnummer. Das mag leicht fälschbar sein, doch auch andere Hinweise deuteten in die gleiche Richtung. Die Sicherheitsforscher stellten fest, dass die Malware die gleiche Infrastruktur wie eine andere Anwendung des mutmaßlichen, russischen Software-Herstellers nutzte - in diesem Fall eine Antiviren-Anwendung.

"Wenn man Malware bei kommerziellen Anbietern einkauft, fällt die erste Spur erst einmal weg", sagt Steffens. Aber wer Malware einkaufen müsse, weil er nicht genügend eigene Expertise hat, mache häufig an anderen Stellen Fehler. Das passierte im Fall von Dark Caracal: Im Januar 2018 enttarnte die US-amerikanische NGO Electronic Frontier Foundation (EFF) zusammen mit dem IT-Sicherheitsunternehmen Lookout die Gruppe. Sie spionierte weltweit mit manipulierten Smartphone-Apps Personen aus - von der Aktivistin bis hin zum Militärangehörigen.

Malware von der Stange schützt nicht vor Anwendungsfehlern

Dark Caracal operierte auch mit gekaufter Malware, machte aber einige Fehler. "Die Gruppe hat aus ihrem eigenen WLAN heraus Tests mit der Malware gemacht, die WLAN-IDs wurden dann auf einem Server geloggt", erzählt Steffens. Lookout beobachtete die Server und konnte IP-Adressen und WLAN-IDs zurückverfolgen - zum Gebäude einer libanesischen Sicherheits- und Geheimdienstbehörde.

Golem Akademie
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    13.–17. Dezember 2021, virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
Weitere IT-Trainings

Das klingt so unvorsichtig, dass es unwahrscheinlich ist. Doch es gibt noch viel leichtsinnigere Fehler: Vor vier Jahren verortete das IT-Sicherheitsunternehmen Threatconnect eine APT-Gruppe bei der chinesischen Volksbefreiungsarmee. Die Gruppe Naikon spionierte vor allem Ziele in Südostasien aus. Ihre Schadsoftware kommunizierte immer wieder mit Kontrollservern. Diese waren über Domains erreichbar, die die Zeichenkette "Greensky27" enthielten. Dieselben Zeichen fand Threatconnect noch an anderen Stellen. Unter dem Pseudonym Greensky27 existierten mehrere Social-Media-Profile eines Menschen, der sich selbst als Mitglied des chinesischen Militärs bezeichnete und sogar Fotos von sich postete - direkt vom Militärgelände.

Vom Land zur Einzelperson zur Behörde

"Intuitiv würde man denken: Man fängt bei der Attribution mit dem Land an. Wenn man noch besser ist, dann identifiziert man die Behörde. Und wenn man supertoll ist, identifiziert man die Individuen", sagt Steffens dazu. In der Praxis sei die Reihenfolge meist anders: "Eine Ahnung von dem Land zu bekommen, geht schnell. Dann stolpert man ab und zu über einzelne Personen. Wenn die dann einen Fehler gemacht haben, kann man die Behörde identifizieren, für die sie gearbeitet haben."

Manchmal fällt Staaten wie China dabei ihre eigene Zensurinfrastruktur auf die Füße.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Cyberangriffe: Attribution ist wie ein IndizienprozessWem der Angriff nutzt, lässt sich kaum verschleiern 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Aktuell auf der Startseite von Golem.de
Giga Factory Berlin
Warum Tesla auf über eine Milliarde Euro verzichten musste

Tesla kann die Milliarde Euro Förderung für die Akkufabrik Grünheide nicht beantragen - weil es sonst zu Verzögerungen beim Einsatz neuer Technik käme.

Giga Factory Berlin: Warum Tesla auf über eine Milliarde Euro verzichten musste
Artikel
  1. iPhone lädt Airpods: Apple soll an bidirektionalem Laden arbeiten
    iPhone lädt Airpods
    Apple soll an bidirektionalem Laden arbeiten

    Apple soll an Funktionen arbeiten, mit denen sich mobile Geräte gegenseitig laden lassen. Auch aus der Distanz soll das Laden künftig möglich sein.

  2. Doppelbildschirm: Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg
    Doppelbildschirm
    Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg

    Das Kickstarter-Projekt Slidenjoy kann nach 6 Jahren seinen Doppelbildschirm Slide für Notebooks ausliefern.

  3. Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.
     
    Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.

    Nach gut drei Wochen voller Rabatte und Schnäppchen endet heute Abend mit dem Cyber Monday die Black Friday Woche.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • WD Blue SN550 2 TB ab 149€ • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops • Cooler Master V850 Platinum 189,90€ • Astro Gaming Headsets [Werbung]
    •  /