• IT-Karriere:
  • Services:

Geheimdienste: Wenn Hacker Hacker hacken, scheitert die Attribution

Einen Hack bis zu seinem Ursprung zurückzuverfolgen, gilt im IT-Sicherheitsbereich als schwieriges Geschäft. Neue Forschungen von Kaspersky zeigen, dass die Situation noch verfahrener ist, als bislang angenommen.

Ein Bericht von veröffentlicht am
Hackergruppen nutzen auch die Infrastruktur anderer Gruppen, um sich zu verstecken.
Hackergruppen nutzen auch die Infrastruktur anderer Gruppen, um sich zu verstecken. (Bild: Pascal Guyot/Getty Images)

Was passiert eigentlich, wenn staatliche Hackergruppen andere staatlich geförderte Gruppen oder Geheimdienste hacken - und was bedeutet das für die Arbeit von Sicherheitsfirmen? Dieser Frage sind zwei Sicherheitsforscher von Kaspersky nachgegangen und haben die Ergebnisse ihrer Forschungen auf der Sicherheitskonferenz Virus Bulletin in Madrid vorgestellt (PDF).

Inhalt:
  1. Geheimdienste: Wenn Hacker Hacker hacken, scheitert die Attribution
  2. Wenn der Energetic Bear mit Zählpixeln überwacht wird
  3. Darkhotel gehackt

Costin Raiu und Juan Andres Guerrero-Saade, beide Angestellte der Sicherheitsfirma Kaspersky Labs, bezeichneten dies in ihrer Präsentation als "fourth party collection" - also die unfreiwillige Gewinnung von geheimdienstlich verwertbaren Informationen (Signals Intelligence) über einen anderen Geheimdienst. Sie präsentierten mehrere Beispiele, in denen Angreifer sich in die Infrastruktur anderer Gruppen hackten oder deren Tools bei Angriffen verwendeten. Darunter hätten sich auch in Sicherheitskreisen bekannte Gruppen wie Nettraveler und Darkhotel befunden.

Attribution ist schwer

Die Erkenntnisse der Forscher haben über die konkreten Beispiele hinaus grundsätzliche Bedeutung. Denn nach großen Hacks wird immer wieder versucht, diese einem bestimmten Akteur zuzuordnen - der Prozess der Attribution. Immer wieder versuchen Sicherheitsfirmen, anhand bestimmter Merkmale die vermeintlichen Angreifer zu identifizieren. Neben geopolitischen Einschätzungen kommen dabei auch zahlreiche technische Indikatoren zum Einsatz. Doch diese sind offenbar noch weniger eindeutig, als bislang angenommen.

Analysten verlassen sich bei ihrer Einschätzung häufig auf ähnliche Angriffsmuster. Das können bestimmte Malwarefragemente sein, die immer wieder auftauchen, oder auch selten genutzte Verschlüsselungsalgorithmen zur Absicherung des Datenstroms. Auch andere Faktoren wie Zeitzonen, Metadaten sichergestellter Dateien oder die Sprache von im Code vorhandenen Kommentaren können Hinweise geben - aber natürlich auch gezielt gelegte Falschinformationen sein.

Informationen erster bis vierter Ordnung

Stellenmarkt
  1. Securiton GmbH IPS Intelligent Video Analytics, München
  2. operational services GmbH & Co. KG, verschiedene Standorte

Um das Vorgehen von Geheimdiensten und Hackergruppen besser zu verstehen, definiert Kaspersky verschiedene Arten von Informationen. Informationen aus erster Hand sind dabei solche, die ein Geheimdienst oder eine APT-Gruppe (Advanced Persistent Threat) selbst gewinnt, etwa durch das Abhören einer Leitung oder durch Backdoors in Software. Aus zweiter Hand stammen Informationen, die über ein Abkommen von einem anderen Geheimdienst übermittelt werden, etwa in der Zusammenarbeit der englischsprachigen Five-Eyes-Geheimdienste oder einer gemeinsamen Operation wie Eikonal.

Informationen aus einer dritten Quelle werden wiederum von nichtstaatlichen Quellen bezogen, etwa durch Datenabfragen bei einem Internetserviceprovider. Eine Datensammlung vierter Ordnung liegt nach Angaben der Kaspersky-Forscher vor, wenn ein Geheimdienst Informationen nicht direkt zugespielt bekommt, über welche Quelle auch immer, sondern andere Akteure die Arbeit machen lässt, um die Informationen später abzugreifen - etwa durch einen gezielten Hack. Beispiele für solche Operationen finden sich unter dem Stichwort Makers Mark auch in den Snowden-Dokumenten. Auch Kaspersky hat entsprechende Angriffe in freier Wildbahn gesehen. Für solche Hacks wollen die Kaspersky-Forscher Beispiele gefunden haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wenn der Energetic Bear mit Zählpixeln überwacht wird 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. 2.095€ neuer Bestpreis auf Geizhals
  2. Temperatur-Höhe wird zum Rabatt - bis 25 Prozent
  3. ab 799€ auf Geizhals
  4. 499,99€ (Release 10.11.)

bombinho 09. Okt 2017

Dass den Russen immer viel zugeschrieben wird, ist ja mittlerweile zum Standardverfahren...

Vögelchen 07. Okt 2017

überlege ich mir, ob ich nicht einen Beil-Handel eröffnen sollte! Der Bedarf scheint ja...


Folgen Sie uns
       


IT-Freelancer: Der kürzeste Pfad zum nächsten Projekt
IT-Freelancer
Der kürzeste Pfad zum nächsten Projekt

Die Nachfrage nach IT-Freelancern ist groß - die Konkurrenz aber auch. Der nächste Auftrag kommt meist aus dem eigenen Netzwerk oder von Vermittlern. Doch wie findet man den passenden Mix?
Ein Bericht von Manuel Heckel

  1. Selbstständiger Sysadmin "Jetzt fehlen nur noch die Aufträge"

Stellenanzeige: Golem.de sucht CvD (m/w/d)
Stellenanzeige
Golem.de sucht CvD (m/w/d)

Du bist News-Junkie, Techie, Organisationstalent und brennst für den Onlinejournalismus? Dann unterstütze die Redaktion von Golem.de als CvD.

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Shifoo Golem.de startet Betatest seiner Karriere-Coaching-Plattform
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

Burnout im IT-Job: Mit den Haien schwimmen
Burnout im IT-Job
Mit den Haien schwimmen

Unter Druck bricht ein Webentwickler zusammen - zerrieben von zu eng getakteten Projekten. Obwohl die IT-Branche psychische Belastungen als Problem erkannt hat, lässt sie Beschäftigte oft allein.
Eine Reportage von Miriam Binner


      •  /