Geheimdienste: Wenn Hacker Hacker hacken, scheitert die Attribution

Einen Hack bis zu seinem Ursprung zurückzuverfolgen, gilt im IT-Sicherheitsbereich als schwieriges Geschäft. Neue Forschungen von Kaspersky zeigen, dass die Situation noch verfahrener ist, als bislang angenommen.

Ein Bericht von veröffentlicht am
Hackergruppen nutzen auch die Infrastruktur anderer Gruppen, um sich zu verstecken.
Hackergruppen nutzen auch die Infrastruktur anderer Gruppen, um sich zu verstecken. (Bild: Pascal Guyot/Getty Images)

Was passiert eigentlich, wenn staatliche Hackergruppen andere staatlich geförderte Gruppen oder Geheimdienste hacken - und was bedeutet das für die Arbeit von Sicherheitsfirmen? Dieser Frage sind zwei Sicherheitsforscher von Kaspersky nachgegangen und haben die Ergebnisse ihrer Forschungen auf der Sicherheitskonferenz Virus Bulletin in Madrid vorgestellt (PDF).

Inhalt:
  1. Geheimdienste: Wenn Hacker Hacker hacken, scheitert die Attribution
  2. Wenn der Energetic Bear mit Zählpixeln überwacht wird
  3. Darkhotel gehackt

Costin Raiu und Juan Andres Guerrero-Saade, beide Angestellte der Sicherheitsfirma Kaspersky Labs, bezeichneten dies in ihrer Präsentation als "fourth party collection" - also die unfreiwillige Gewinnung von geheimdienstlich verwertbaren Informationen (Signals Intelligence) über einen anderen Geheimdienst. Sie präsentierten mehrere Beispiele, in denen Angreifer sich in die Infrastruktur anderer Gruppen hackten oder deren Tools bei Angriffen verwendeten. Darunter hätten sich auch in Sicherheitskreisen bekannte Gruppen wie Nettraveler und Darkhotel befunden.

Attribution ist schwer

Die Erkenntnisse der Forscher haben über die konkreten Beispiele hinaus grundsätzliche Bedeutung. Denn nach großen Hacks wird immer wieder versucht, diese einem bestimmten Akteur zuzuordnen - der Prozess der Attribution. Immer wieder versuchen Sicherheitsfirmen, anhand bestimmter Merkmale die vermeintlichen Angreifer zu identifizieren. Neben geopolitischen Einschätzungen kommen dabei auch zahlreiche technische Indikatoren zum Einsatz. Doch diese sind offenbar noch weniger eindeutig, als bislang angenommen.

Analysten verlassen sich bei ihrer Einschätzung häufig auf ähnliche Angriffsmuster. Das können bestimmte Malwarefragemente sein, die immer wieder auftauchen, oder auch selten genutzte Verschlüsselungsalgorithmen zur Absicherung des Datenstroms. Auch andere Faktoren wie Zeitzonen, Metadaten sichergestellter Dateien oder die Sprache von im Code vorhandenen Kommentaren können Hinweise geben - aber natürlich auch gezielt gelegte Falschinformationen sein.

Informationen erster bis vierter Ordnung

Stellenmarkt
  1. Software-Entwickler mobile Applikationen/App-Entwicklung für Frontend oder Backend (m/w/d)
    BARMER, Schwäbisch Gmünd
  2. ERP-Projektmanager (m/w/d)
    Goldbeck GmbH, Bielefeld, Plauen, Hamm, Vöhringen bei Ulm
Detailsuche

Um das Vorgehen von Geheimdiensten und Hackergruppen besser zu verstehen, definiert Kaspersky verschiedene Arten von Informationen. Informationen aus erster Hand sind dabei solche, die ein Geheimdienst oder eine APT-Gruppe (Advanced Persistent Threat) selbst gewinnt, etwa durch das Abhören einer Leitung oder durch Backdoors in Software. Aus zweiter Hand stammen Informationen, die über ein Abkommen von einem anderen Geheimdienst übermittelt werden, etwa in der Zusammenarbeit der englischsprachigen Five-Eyes-Geheimdienste oder einer gemeinsamen Operation wie Eikonal.

Informationen aus einer dritten Quelle werden wiederum von nichtstaatlichen Quellen bezogen, etwa durch Datenabfragen bei einem Internetserviceprovider. Eine Datensammlung vierter Ordnung liegt nach Angaben der Kaspersky-Forscher vor, wenn ein Geheimdienst Informationen nicht direkt zugespielt bekommt, über welche Quelle auch immer, sondern andere Akteure die Arbeit machen lässt, um die Informationen später abzugreifen - etwa durch einen gezielten Hack. Beispiele für solche Operationen finden sich unter dem Stichwort Makers Mark auch in den Snowden-Dokumenten. Auch Kaspersky hat entsprechende Angriffe in freier Wildbahn gesehen. Für solche Hacks wollen die Kaspersky-Forscher Beispiele gefunden haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wenn der Energetic Bear mit Zählpixeln überwacht wird 
  1. 1
  2. 2
  3. 3
  4.  


Aktuell auf der Startseite von Golem.de
MS Satoshi
Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
Von Elke Wittich

MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
Artikel
  1. Gigafactory Berlin: Tesla verzichtet für Akkufertigung auf staatliche Förderung
    Gigafactory Berlin
    Tesla verzichtet für Akkufertigung auf staatliche Förderung

    Tesla verzichtet für die geplante Akkufertigung in Grünheide bei Berlin auf eine mögliche staatliche Förderung in Milliardenhöhe.

  2. Microsoft: Xbox-Spieler in Halo Infinite von Crossplay genervt
    Microsoft
    Xbox-Spieler in Halo Infinite von Crossplay genervt

    Im Multiplayer von Halo Infinite gibt es offenbar immer mehr Cheater. Nun fordern Xbox-Spieler eine Option, um gemeinsame Partien mit PCs zu vermeiden.

  3. 50 Prozent bei IT-Weiterbildung sparen
     
    50 Prozent bei IT-Weiterbildung sparen

    Die Black Week 2021 in der Golem Karrierewelt läuft weiter: 50 Prozent bei zahlreichen Live-Workshops, Coachings und E-Learnings sparen - noch bis Montag!
    Sponsored Post von Golem Akademie

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Black Friday • Corsair MP600 Pro XT 1TB 167,96€ • Apple Watch Series 6 ab 379€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /