Abo
  • IT-Karriere:

Geheimdienste: Wenn Hacker Hacker hacken, scheitert die Attribution

Einen Hack bis zu seinem Ursprung zurückzuverfolgen, gilt im IT-Sicherheitsbereich als schwieriges Geschäft. Neue Forschungen von Kaspersky zeigen, dass die Situation noch verfahrener ist, als bislang angenommen.

Ein Bericht von veröffentlicht am
Hackergruppen nutzen auch die Infrastruktur anderer Gruppen, um sich zu verstecken.
Hackergruppen nutzen auch die Infrastruktur anderer Gruppen, um sich zu verstecken. (Bild: Pascal Guyot/Getty Images)

Was passiert eigentlich, wenn staatliche Hackergruppen andere staatlich geförderte Gruppen oder Geheimdienste hacken - und was bedeutet das für die Arbeit von Sicherheitsfirmen? Dieser Frage sind zwei Sicherheitsforscher von Kaspersky nachgegangen und haben die Ergebnisse ihrer Forschungen auf der Sicherheitskonferenz Virus Bulletin in Madrid vorgestellt (PDF).

Inhalt:
  1. Geheimdienste: Wenn Hacker Hacker hacken, scheitert die Attribution
  2. Wenn der Energetic Bear mit Zählpixeln überwacht wird
  3. Darkhotel gehackt

Costin Raiu und Juan Andres Guerrero-Saade, beide Angestellte der Sicherheitsfirma Kaspersky Labs, bezeichneten dies in ihrer Präsentation als "fourth party collection" - also die unfreiwillige Gewinnung von geheimdienstlich verwertbaren Informationen (Signals Intelligence) über einen anderen Geheimdienst. Sie präsentierten mehrere Beispiele, in denen Angreifer sich in die Infrastruktur anderer Gruppen hackten oder deren Tools bei Angriffen verwendeten. Darunter hätten sich auch in Sicherheitskreisen bekannte Gruppen wie Nettraveler und Darkhotel befunden.

Attribution ist schwer

Die Erkenntnisse der Forscher haben über die konkreten Beispiele hinaus grundsätzliche Bedeutung. Denn nach großen Hacks wird immer wieder versucht, diese einem bestimmten Akteur zuzuordnen - der Prozess der Attribution. Immer wieder versuchen Sicherheitsfirmen, anhand bestimmter Merkmale die vermeintlichen Angreifer zu identifizieren. Neben geopolitischen Einschätzungen kommen dabei auch zahlreiche technische Indikatoren zum Einsatz. Doch diese sind offenbar noch weniger eindeutig, als bislang angenommen.

Analysten verlassen sich bei ihrer Einschätzung häufig auf ähnliche Angriffsmuster. Das können bestimmte Malwarefragemente sein, die immer wieder auftauchen, oder auch selten genutzte Verschlüsselungsalgorithmen zur Absicherung des Datenstroms. Auch andere Faktoren wie Zeitzonen, Metadaten sichergestellter Dateien oder die Sprache von im Code vorhandenen Kommentaren können Hinweise geben - aber natürlich auch gezielt gelegte Falschinformationen sein.

Informationen erster bis vierter Ordnung

Stellenmarkt
  1. Stiftung ICP München, München
  2. Radeberger Gruppe KG, Raum Frankfurt am Main

Um das Vorgehen von Geheimdiensten und Hackergruppen besser zu verstehen, definiert Kaspersky verschiedene Arten von Informationen. Informationen aus erster Hand sind dabei solche, die ein Geheimdienst oder eine APT-Gruppe (Advanced Persistent Threat) selbst gewinnt, etwa durch das Abhören einer Leitung oder durch Backdoors in Software. Aus zweiter Hand stammen Informationen, die über ein Abkommen von einem anderen Geheimdienst übermittelt werden, etwa in der Zusammenarbeit der englischsprachigen Five-Eyes-Geheimdienste oder einer gemeinsamen Operation wie Eikonal.

Informationen aus einer dritten Quelle werden wiederum von nichtstaatlichen Quellen bezogen, etwa durch Datenabfragen bei einem Internetserviceprovider. Eine Datensammlung vierter Ordnung liegt nach Angaben der Kaspersky-Forscher vor, wenn ein Geheimdienst Informationen nicht direkt zugespielt bekommt, über welche Quelle auch immer, sondern andere Akteure die Arbeit machen lässt, um die Informationen später abzugreifen - etwa durch einen gezielten Hack. Beispiele für solche Operationen finden sich unter dem Stichwort Makers Mark auch in den Snowden-Dokumenten. Auch Kaspersky hat entsprechende Angriffe in freier Wildbahn gesehen. Für solche Hacks wollen die Kaspersky-Forscher Beispiele gefunden haben.

Wenn der Energetic Bear mit Zählpixeln überwacht wird 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. 49,94€
  2. 19,95€
  3. 13,95€
  4. (u. a. Grafikkarten, SSDs, Ram-Module reduziert)

bombinho 09. Okt 2017

Dass den Russen immer viel zugeschrieben wird, ist ja mittlerweile zum Standardverfahren...

Vögelchen 07. Okt 2017

überlege ich mir, ob ich nicht einen Beil-Handel eröffnen sollte! Der Bedarf scheint ja...


Folgen Sie uns
       


Backup per Band angesehen

Das Rattern des Roboterarms und Rauschen der Klimaanlage: Golem.de hat sich Bandlaufwerke in Aktion beim Geoforschungszentrum Potsdam angeschaut. Das Ziel: zu erfahren, was die 60 Jahre alte Technik noch immer sinnvoll macht.

Backup per Band angesehen Video aufrufen
Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor

Dark Mode: Wann Schwarz-Weiß-Denken weiterhilft
Dark Mode
Wann Schwarz-Weiß-Denken weiterhilft

Viele Nutzer und auch Apple versprechen sich vom Dark Mode eine augenschonendere Darstellung von Bildinhalten. Doch die Funktion bringt andere Vorteile als viele denken - und sogar Nachteile, die bereits bekannte Probleme bei der Arbeit am Bildschirm noch verstärken.
Von Mike Wobker

  1. Sicherheitsprobleme Schlechte Passwörter bei Ärzten
  2. DrEd Online-Arztpraxis Zava will auch in Deutschland eröffnen
  3. Vivy & Co. Gesundheitsapps kranken an der Sicherheit

WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

    •  /