• IT-Karriere:
  • Services:

Darkhotel gehackt

In einem anderen Fall soll ein Akteur Angriffswerkzeuge einer bekannten Gruppe genutzt haben, um Angriffe zu starten. Eine Darkhotel genannte Gruppe - üblicherweise Südkorea zugeschrieben - nutzt seit Jahren unter anderem Exploits für Adobes Flashplayer, um Watering-Hole-Angriffe durchzuführen, bei denen bestimmte Webseiten im Umfeld der Opfer mit Malware infiziert werden. Damit soll eine indirekte Infektion mit Malware ohne den Versand von zum Beispiel Phishing-Mails erreicht werden.

Stellenmarkt
  1. IFS Deutschland GmbH & Co. KG, Erlangen, Stuttgart, Neuss
  2. Fachhochschule Südwestfalen, Iserlohn

Bei verschiedenen Operationen fanden die Forscher Ähnlichkeiten in den Angriffsmethoden - jedoch auf unterschiedliche Ziele. Sie gehen davon aus, dass eine zweite Gruppe mit dem Namen Scarcruft eine der Watering-Hole-Seiten von Darkhotel ebenfalls hacken konnte und die dort hinterlegten Angriffswerkzeuge für eigene Zwecke nutzte. Eine eindeutige Attribution vorzunehmen, erscheint vor diesem Hintergrund sehr problematisch.

Dass Angreifer gezielt falsche Spuren legen können, ist lange bekannt. Es ist zudem nicht einfach, falsche Fährten zu legen um eine False-Flag-Operation glaubhaft durchzuführen. Trotzdem zeigen die Beispiele, dass viele der Faktoren, die bei der Attribution eines Angriffs genutzt werden, sehr genau betrachtet werden müssen.

Verwirrung um Turla-Gruppe

Als Beispiel nannte Guerrero-Saade aktuelle Untersuchungen zu einer Gruppe, die Ähnlichkeiten mit der russischen Turla-Gruppe aufwies. Weil diese aber lange Zeit eine andere Infrastruktur und andere Code-Samples verwendet habe, sei die Community fast soweit gewesen, dahinter eine neue, bislang unbekannte Gruppe zu vermuten. Dann aber sei die Gruppe zu einigen bekannten Taktiken zurückgekehrt und doch als Turla identifiziert worden.

Je größer die Bandbreite an verfügbaren Tools für einen angreifenden Akteur ist, desto leichter kann dieser eine Erkennung anhand normalerweise verwendeter Indikatoren für einen Einbruch (Indicators of Compromise, IoC) umgehen. Am ehesten könnten bei der Identifikation von Mustern nach Angaben von Kaspersky noch Yara-Regeln helfen, also Beschreibungen bestimmter Muster in Text oder Binärcode.

Mit den Ergebnissen der Studie sehen die Autoren auch ein Ende der aus ihrer Sicht übertriebenen Darstellung der Aktionen von APTs. Nicht alle Bedrohungen und erfolgreichen Angriffe seien tatsächlich ein herausragender, langanhaltender Angriff. Als wirkliche APT-Gruppen bezeichnet Kaspersky demnach nur Equation, Regin, Duqu und Careto. Eine weitere bedeutsame Gruppe sei Project Sauron. Verschiedene Sicherheitsfirmen verwenden für die Gruppen oft ihre eigenen Namen, was der Übersichtlichkeit in diesem ohnehin komplexen Feld nicht immer guttut. Hilfe kann dieses Google Doc bieten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Wenn der Energetic Bear mit Zählpixeln überwacht wird
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Top-Angebote
  1. 86,80€ inkl. Versand mit Gutschein: NBBBW3KINGSTON
  2. (u. a. ASUS ROG Strix XG43VQ für 799€, ASUS VG255H für 139,90€ und Thermaltake View 21...
  3. (Bis zu 40 Prozent auf ausgewählte Notebooks, Monitore, PCs, Hardware, Smartphones, Zubehör und...
  4. (u. a. Samsung Galaxy Watch Active 2 Under Armour Edition 44 mm Schwarz für 179,34€ und 40 mm...

bombinho 09. Okt 2017

Dass den Russen immer viel zugeschrieben wird, ist ja mittlerweile zum Standardverfahren...

Vögelchen 07. Okt 2017

überlege ich mir, ob ich nicht einen Beil-Handel eröffnen sollte! Der Bedarf scheint ja...


Folgen Sie uns
       


    •  /