Abo
  • Services:

Geheimdienste: Wenn Hacker Hacker hacken, scheitert die Attribution

Einen Hack bis zu seinem Ursprung zurückzuverfolgen, gilt im IT-Sicherheitsbereich als schwieriges Geschäft. Neue Forschungen von Kaspersky zeigen, dass die Situation noch verfahrener ist, als bislang angenommen.

Ein Bericht von veröffentlicht am
Hackergruppen nutzen auch die Infrastruktur anderer Gruppen, um sich zu verstecken.
Hackergruppen nutzen auch die Infrastruktur anderer Gruppen, um sich zu verstecken. (Bild: Pascal Guyot/Getty Images)

Was passiert eigentlich, wenn staatliche Hackergruppen andere staatlich geförderte Gruppen oder Geheimdienste hacken - und was bedeutet das für die Arbeit von Sicherheitsfirmen? Dieser Frage sind zwei Sicherheitsforscher von Kaspersky nachgegangen und haben die Ergebnisse ihrer Forschungen auf der Sicherheitskonferenz Virus Bulletin in Madrid vorgestellt (PDF).

Inhalt:
  1. Geheimdienste: Wenn Hacker Hacker hacken, scheitert die Attribution
  2. Wenn der Energetic Bear mit Zählpixeln überwacht wird
  3. Darkhotel gehackt

Costin Raiu und Juan Andres Guerrero-Saade, beide Angestellte der Sicherheitsfirma Kaspersky Labs, bezeichneten dies in ihrer Präsentation als "fourth party collection" - also die unfreiwillige Gewinnung von geheimdienstlich verwertbaren Informationen (Signals Intelligence) über einen anderen Geheimdienst. Sie präsentierten mehrere Beispiele, in denen Angreifer sich in die Infrastruktur anderer Gruppen hackten oder deren Tools bei Angriffen verwendeten. Darunter hätten sich auch in Sicherheitskreisen bekannte Gruppen wie Nettraveler und Darkhotel befunden.

Attribution ist schwer

Die Erkenntnisse der Forscher haben über die konkreten Beispiele hinaus grundsätzliche Bedeutung. Denn nach großen Hacks wird immer wieder versucht, diese einem bestimmten Akteur zuzuordnen - der Prozess der Attribution. Immer wieder versuchen Sicherheitsfirmen, anhand bestimmter Merkmale die vermeintlichen Angreifer zu identifizieren. Neben geopolitischen Einschätzungen kommen dabei auch zahlreiche technische Indikatoren zum Einsatz. Doch diese sind offenbar noch weniger eindeutig, als bislang angenommen.

Analysten verlassen sich bei ihrer Einschätzung häufig auf ähnliche Angriffsmuster. Das können bestimmte Malwarefragemente sein, die immer wieder auftauchen, oder auch selten genutzte Verschlüsselungsalgorithmen zur Absicherung des Datenstroms. Auch andere Faktoren wie Zeitzonen, Metadaten sichergestellter Dateien oder die Sprache von im Code vorhandenen Kommentaren können Hinweise geben - aber natürlich auch gezielt gelegte Falschinformationen sein.

Informationen erster bis vierter Ordnung

Stellenmarkt
  1. EDG AG, Frankfurt
  2. Lidl Digital, Neckarsulm

Um das Vorgehen von Geheimdiensten und Hackergruppen besser zu verstehen, definiert Kaspersky verschiedene Arten von Informationen. Informationen aus erster Hand sind dabei solche, die ein Geheimdienst oder eine APT-Gruppe (Advanced Persistent Threat) selbst gewinnt, etwa durch das Abhören einer Leitung oder durch Backdoors in Software. Aus zweiter Hand stammen Informationen, die über ein Abkommen von einem anderen Geheimdienst übermittelt werden, etwa in der Zusammenarbeit der englischsprachigen Five-Eyes-Geheimdienste oder einer gemeinsamen Operation wie Eikonal.

Informationen aus einer dritten Quelle werden wiederum von nichtstaatlichen Quellen bezogen, etwa durch Datenabfragen bei einem Internetserviceprovider. Eine Datensammlung vierter Ordnung liegt nach Angaben der Kaspersky-Forscher vor, wenn ein Geheimdienst Informationen nicht direkt zugespielt bekommt, über welche Quelle auch immer, sondern andere Akteure die Arbeit machen lässt, um die Informationen später abzugreifen - etwa durch einen gezielten Hack. Beispiele für solche Operationen finden sich unter dem Stichwort Makers Mark auch in den Snowden-Dokumenten. Auch Kaspersky hat entsprechende Angriffe in freier Wildbahn gesehen. Für solche Hacks wollen die Kaspersky-Forscher Beispiele gefunden haben.

Wenn der Energetic Bear mit Zählpixeln überwacht wird 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 4,25€

bombinho 09. Okt 2017

Dass den Russen immer viel zugeschrieben wird, ist ja mittlerweile zum Standardverfahren...

Vögelchen 07. Okt 2017

überlege ich mir, ob ich nicht einen Beil-Handel eröffnen sollte! Der Bedarf scheint ja...


Folgen Sie uns
       


The Crew 2 - Fazit

The Crew 2 bietet zum Teil wahnwitzige Neuerungen, stolpert im Test aber trotzdem über alte Fehler.

The Crew 2 - Fazit Video aufrufen
Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Razer Huntsman im Test: Rattern mit Infrarot
Razer Huntsman im Test
Rattern mit Infrarot

Razers neue Gaming-Tastatur heißt Huntsman, eine klare Andeutung, für welchen Einsatzzweck sie sich eignen soll. Die neuen optomechanischen Switches reagieren schnell und leichtgängig - der Geräuschpegel dürfte für viele Nutzer aber gewöhnungsbedürftig sein.
Ein Test von Tobias Költzsch

  1. Huntsman Razer präsentiert Tastatur mit opto-mechanischen Switches
  2. Razer Abyssus Essential Symmetrische Gaming-Maus für Einsteiger
  3. Razer Nommo Chroma im Test Blinkt viel, klingt weniger

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Künstliche Intelligenz Vages wagen
  2. KI Mit Machine Learning neue chemische Reaktionen herausfinden
  3. Elon Musk und Deepmind-Gründer Keine Maschine soll über menschliches Leben entscheiden

    •  /