Abo
  • Services:

Rohrsystem zur Tarnung

Die Angreifer nutzten innerhalb des angegriffenen Netzwerkes eine Art "Rohrsystem", um unauffällig zu operieren. Bereits infizierte Rechner innerhalb des Netzes wurden genutzt, um Befehle an andere Rechner innerhalb des Netzwerkes weiterzugeben (Baumstruktur). Infizierte Rechner gaben außerdem Informationen über den Infektionsweg zurück. Es handelt sich also um ein System, das Command and Control Server (C2C) auf verschiedenen Ebenen besaß, bis jetzt sind möglicherweise nicht alle diese Server bekannt.

Stellenmarkt
  1. Robert Bosch GmbH, Reutlingen
  2. Robert Bosch GmbH, Leonberg

Dieses Vorgehen hat für Angreifer mehrere Vorteile: Die Kommunikation nach außen wird möglichst gering gehalten und interne Firewalls werden ausgetrickst, da der ungewollte Netzwerkverkehr sich mit legitimem Verkehr vermischt und über längere Zeit kein Traffic außerhalb des Netzwerks gelangen muss.

Bei den Infektionen von Systemen wurde ein zweistufiges Vorgehen gewählt. Zunächst wurde evaluiert, ob Interesse an dem System bestand. Falls das der Fall war, wurde entsprechende Malware nachgeladen. Aufgabe der Malware war es, durch klassische Rechteausweitung (etwa Ausnutzung von Administratorrechten oder Ausnutzung der automatischen Starts von Programmen oder Services unter Systemrechten) erweiterte Zugriffsrechte zu erlangen. Interessanterweise wurden keine zusätzlichen Tools wie Keylogger installiert und zudem keine externen Konfigurationsdateien, sondern ausschließlich hartkodierte Informationen im Quelltext, genutzt. Vermutlich wurde dieses Vorgehen gewählt, um noch schwerer auffindbar zu operieren.

Später wurden Tools wie mimikatz.exe, pipelist.exe und dsquery.exe verwendet, um noch mehr Informationen zu erlangen und die Rechte innerhalb des Netzwerkes zu erweitern. An dem zweistufigen Vorgehen wurde allerdings festgehalten - insoweit lässt sich davon ausgehen, dass die Angreifer eine genaue Idee davon hatten, was sie suchen und wo sie es vermutlich finden. In dem Bericht des Ministeriums für Verteidigung, Bevölkerungsschutz und Sport wird erwähnt, dass insgesamt über 20 GByte Daten entwendet wurden. Es handelt sich allerdings nicht um private Daten, sondern beispielsweise um "Daten aus dem Admin-Verzeichnis". Das lässt erneut den Schluss zu, dass es sich bei dem Angriff um Wirtschaftsspionage handelt.

Tipps für Unternehmen

In dem technischen Bericht von Melani wird abschließend ausdrücklich erwähnt, dass tatsächlich jede Organisation, egal wie groß ihre Sicherheitsmaßnahmen auch seien, Opfer einer solchen Attacke werden könnte, da das Vorgehen extrem geschickt war. Das Cert sagt aber auch, dass sich mit kostengünstigen Maßnahmen, wie etwa dem Monitoring innerhalb des eigenen Netzwerkes, früher erkennen lässt, dass jemand unerlaubte Aktionen im eigenen Netzwerk tätigt.

Die genannten Maßnahmen könnten für Sicherheitsverantwortliche und Administratoren von anderen Unternehmen von großem Interesse sein. Melani empfiehlt beispielsweise häufige Anfragen an Services wie Active Directories zu protokollieren und bei großer Anzahl von Abfragen einen Alert zu erzeugen. Auch Anfragen, die per DNS gestellt werden, sollten bis zu zwei Jahre gespeichert werden, um im Zweifel später Rückschlüsse auf die Infiltration von Netzwerken zu ziehen. Zudem wird geraten, Bring-Your-Own-Device-Geräte von der klassischen IT-Infrastruktur zu separieren und (V)LANs zu nutzen, um Netzwerksegmente voneinander zu trennen.

Der ausführliche Bericht des Cert zeigt, dass sich durch das Teilen von Informationen ein Sicherheitsgewinn auch für andere Unternehmen ergeben kann - sicherlich etwas, das auch private Unternehmen oder andere Certs praktizieren sollten.

 Hack von Rüstungskonzern: Schweizer Cert gibt Security-Tipps für Unternehmen
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)
  2. 164,90€
  3. und 20€ Steam-Guthaben geschenkt bekommen

cephei 24. Mai 2016

- hauptsächlich staatlich finanziert - Haupttätigkeit: Entwicklung von Rüstungsgüter


Folgen Sie uns
       


Square Enix E3 2018 Pressekonferenz - Live

Lara Croft steht kurz vor ihrer Metamorphose, Dragon Quest 11 und Final Fantasy 14 erblühen in Europa und zwei ganz neue Spieleserien hat Square Enix auch noch vorgestellt. Wie fanden wir das?

Square Enix E3 2018 Pressekonferenz - Live Video aufrufen
KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Elon Musk und Deepmind-Gründer Keine Maschine soll über menschliches Leben entscheiden
  2. Medizintechnik Künstliche Intelligenz erschnüffelt Krankheiten
  3. Dota 2 128.000 CPU-Kerne schlagen fünf menschliche Helden

Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

VR-Rundschau: Retten rockende Jedi-Ritter die virtuelle Realität?
VR-Rundschau
Retten rockende Jedi-Ritter die virtuelle Realität?

Der mediale Hype um VR ist zwar abgeflaut, spannende Inhalte dafür gibt es aber weiterhin - und das nicht nur im Games-Bereich. Mit dabei: das beliebteste Spiel bei Steam, Jedi-Ritter auf Speed und ägyptische Grabkammern.
Ein Test von Achim Fehrenbach

  1. Grafikkarten Virtual Link via USB-C für Next-Gen-Headsets
  2. Oculus Core 2.0 Windows 10 wird Minimalanforderung für Oculus Rift
  3. Virtual Reality BBC überträgt Fußball-WM in der virtuellen VIP-Loge

    •  /