Abo
  • Services:
Anzeige
Das Logo auf der Zentrale von Ruag
Das Logo auf der Zentrale von Ruag (Bild: Ruben Sprich/Reuters)

Rohrsystem zur Tarnung

Die Angreifer nutzten innerhalb des angegriffenen Netzwerkes eine Art "Rohrsystem", um unauffällig zu operieren. Bereits infizierte Rechner innerhalb des Netzes wurden genutzt, um Befehle an andere Rechner innerhalb des Netzwerkes weiterzugeben (Baumstruktur). Infizierte Rechner gaben außerdem Informationen über den Infektionsweg zurück. Es handelt sich also um ein System, das Command and Control Server (C2C) auf verschiedenen Ebenen besaß, bis jetzt sind möglicherweise nicht alle diese Server bekannt.

Anzeige

Dieses Vorgehen hat für Angreifer mehrere Vorteile: Die Kommunikation nach außen wird möglichst gering gehalten und interne Firewalls werden ausgetrickst, da der ungewollte Netzwerkverkehr sich mit legitimem Verkehr vermischt und über längere Zeit kein Traffic außerhalb des Netzwerks gelangen muss.

Bei den Infektionen von Systemen wurde ein zweistufiges Vorgehen gewählt. Zunächst wurde evaluiert, ob Interesse an dem System bestand. Falls das der Fall war, wurde entsprechende Malware nachgeladen. Aufgabe der Malware war es, durch klassische Rechteausweitung (etwa Ausnutzung von Administratorrechten oder Ausnutzung der automatischen Starts von Programmen oder Services unter Systemrechten) erweiterte Zugriffsrechte zu erlangen. Interessanterweise wurden keine zusätzlichen Tools wie Keylogger installiert und zudem keine externen Konfigurationsdateien, sondern ausschließlich hartkodierte Informationen im Quelltext, genutzt. Vermutlich wurde dieses Vorgehen gewählt, um noch schwerer auffindbar zu operieren.

Später wurden Tools wie mimikatz.exe, pipelist.exe und dsquery.exe verwendet, um noch mehr Informationen zu erlangen und die Rechte innerhalb des Netzwerkes zu erweitern. An dem zweistufigen Vorgehen wurde allerdings festgehalten - insoweit lässt sich davon ausgehen, dass die Angreifer eine genaue Idee davon hatten, was sie suchen und wo sie es vermutlich finden. In dem Bericht des Ministeriums für Verteidigung, Bevölkerungsschutz und Sport wird erwähnt, dass insgesamt über 20 GByte Daten entwendet wurden. Es handelt sich allerdings nicht um private Daten, sondern beispielsweise um "Daten aus dem Admin-Verzeichnis". Das lässt erneut den Schluss zu, dass es sich bei dem Angriff um Wirtschaftsspionage handelt.

Tipps für Unternehmen

In dem technischen Bericht von Melani wird abschließend ausdrücklich erwähnt, dass tatsächlich jede Organisation, egal wie groß ihre Sicherheitsmaßnahmen auch seien, Opfer einer solchen Attacke werden könnte, da das Vorgehen extrem geschickt war. Das Cert sagt aber auch, dass sich mit kostengünstigen Maßnahmen, wie etwa dem Monitoring innerhalb des eigenen Netzwerkes, früher erkennen lässt, dass jemand unerlaubte Aktionen im eigenen Netzwerk tätigt.

Die genannten Maßnahmen könnten für Sicherheitsverantwortliche und Administratoren von anderen Unternehmen von großem Interesse sein. Melani empfiehlt beispielsweise häufige Anfragen an Services wie Active Directories zu protokollieren und bei großer Anzahl von Abfragen einen Alert zu erzeugen. Auch Anfragen, die per DNS gestellt werden, sollten bis zu zwei Jahre gespeichert werden, um im Zweifel später Rückschlüsse auf die Infiltration von Netzwerken zu ziehen. Zudem wird geraten, Bring-Your-Own-Device-Geräte von der klassischen IT-Infrastruktur zu separieren und (V)LANs zu nutzen, um Netzwerksegmente voneinander zu trennen.

Der ausführliche Bericht des Cert zeigt, dass sich durch das Teilen von Informationen ein Sicherheitsgewinn auch für andere Unternehmen ergeben kann - sicherlich etwas, das auch private Unternehmen oder andere Certs praktizieren sollten.

 Hack von Rüstungskonzern: Schweizer Cert gibt Security-Tipps für Unternehmen

eye home zur Startseite
cephei 24. Mai 2016

- hauptsächlich staatlich finanziert - Haupttätigkeit: Entwicklung von Rüstungsgüter



Anzeige

Stellenmarkt
  1. TUI Group, Hannover
  2. SCHIFFL GmbH & Co. KG, Hamburg
  3. ANSYS Germany GmbH, Hannover
  4. Deutsches Krebsforschungszentrum Abt. Personal- und Sozialwesen (M210), Heidelberg


Anzeige
Blu-ray-Angebote
  1. (u. a. Stephen Kings Es 8,97€, Serpico 8,97€, Annabelle 8,84€)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  2. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  3. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  4. Bundesgerichtshof

    Keine Urheberrechtsverletzung bei Bildersuche

  5. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

  6. Arbeit aufgenommen

    Deutsches Internet-Institut nach Weizenbaum benannt

  7. Archer CR700v

    Kabelrouter von TP-Link doch nicht komplett abgesagt

  8. QC35 II

    Bose bringt Kopfhörer mit eingebautem Google Assistant

  9. Nach "Judenhasser"-Eklat

    Facebook erlaubt wieder gezielte Werbung an Berufsgruppen

  10. Tuxedo

    Linux-Notebook läuft bis zu 20 Stunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

  1. Re: Habe es immer noch nicht ganz verstanden

    Microwave2000 | 18:02

  2. Re: "Tesla hat vor einigen Jahren ausgerechnet...

    FlorianP | 18:00

  3. Re: Ja? Wieso funktioniert dann mein Edge und die...

    elf | 17:51

  4. Re: MS-DOS 6.22

    Test_The_Rest | 17:50

  5. Re: History repeats itself

    George99 | 17:49


  1. 18:13

  2. 17:49

  3. 17:39

  4. 17:16

  5. 17:11

  6. 16:49

  7. 16:17

  8. 16:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel