Abo
  • Services:

Rohrsystem zur Tarnung

Die Angreifer nutzten innerhalb des angegriffenen Netzwerkes eine Art "Rohrsystem", um unauffällig zu operieren. Bereits infizierte Rechner innerhalb des Netzes wurden genutzt, um Befehle an andere Rechner innerhalb des Netzwerkes weiterzugeben (Baumstruktur). Infizierte Rechner gaben außerdem Informationen über den Infektionsweg zurück. Es handelt sich also um ein System, das Command and Control Server (C2C) auf verschiedenen Ebenen besaß, bis jetzt sind möglicherweise nicht alle diese Server bekannt.

Stellenmarkt
  1. ASC Automotive Solution Center AG, Hamburg
  2. über unternehmensberatung monika gräter, Essen

Dieses Vorgehen hat für Angreifer mehrere Vorteile: Die Kommunikation nach außen wird möglichst gering gehalten und interne Firewalls werden ausgetrickst, da der ungewollte Netzwerkverkehr sich mit legitimem Verkehr vermischt und über längere Zeit kein Traffic außerhalb des Netzwerks gelangen muss.

Bei den Infektionen von Systemen wurde ein zweistufiges Vorgehen gewählt. Zunächst wurde evaluiert, ob Interesse an dem System bestand. Falls das der Fall war, wurde entsprechende Malware nachgeladen. Aufgabe der Malware war es, durch klassische Rechteausweitung (etwa Ausnutzung von Administratorrechten oder Ausnutzung der automatischen Starts von Programmen oder Services unter Systemrechten) erweiterte Zugriffsrechte zu erlangen. Interessanterweise wurden keine zusätzlichen Tools wie Keylogger installiert und zudem keine externen Konfigurationsdateien, sondern ausschließlich hartkodierte Informationen im Quelltext, genutzt. Vermutlich wurde dieses Vorgehen gewählt, um noch schwerer auffindbar zu operieren.

Später wurden Tools wie mimikatz.exe, pipelist.exe und dsquery.exe verwendet, um noch mehr Informationen zu erlangen und die Rechte innerhalb des Netzwerkes zu erweitern. An dem zweistufigen Vorgehen wurde allerdings festgehalten - insoweit lässt sich davon ausgehen, dass die Angreifer eine genaue Idee davon hatten, was sie suchen und wo sie es vermutlich finden. In dem Bericht des Ministeriums für Verteidigung, Bevölkerungsschutz und Sport wird erwähnt, dass insgesamt über 20 GByte Daten entwendet wurden. Es handelt sich allerdings nicht um private Daten, sondern beispielsweise um "Daten aus dem Admin-Verzeichnis". Das lässt erneut den Schluss zu, dass es sich bei dem Angriff um Wirtschaftsspionage handelt.

Tipps für Unternehmen

In dem technischen Bericht von Melani wird abschließend ausdrücklich erwähnt, dass tatsächlich jede Organisation, egal wie groß ihre Sicherheitsmaßnahmen auch seien, Opfer einer solchen Attacke werden könnte, da das Vorgehen extrem geschickt war. Das Cert sagt aber auch, dass sich mit kostengünstigen Maßnahmen, wie etwa dem Monitoring innerhalb des eigenen Netzwerkes, früher erkennen lässt, dass jemand unerlaubte Aktionen im eigenen Netzwerk tätigt.

Die genannten Maßnahmen könnten für Sicherheitsverantwortliche und Administratoren von anderen Unternehmen von großem Interesse sein. Melani empfiehlt beispielsweise häufige Anfragen an Services wie Active Directories zu protokollieren und bei großer Anzahl von Abfragen einen Alert zu erzeugen. Auch Anfragen, die per DNS gestellt werden, sollten bis zu zwei Jahre gespeichert werden, um im Zweifel später Rückschlüsse auf die Infiltration von Netzwerken zu ziehen. Zudem wird geraten, Bring-Your-Own-Device-Geräte von der klassischen IT-Infrastruktur zu separieren und (V)LANs zu nutzen, um Netzwerksegmente voneinander zu trennen.

Der ausführliche Bericht des Cert zeigt, dass sich durch das Teilen von Informationen ein Sicherheitsgewinn auch für andere Unternehmen ergeben kann - sicherlich etwas, das auch private Unternehmen oder andere Certs praktizieren sollten.

 Hack von Rüstungskonzern: Schweizer Cert gibt Security-Tipps für Unternehmen
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

cephei 24. Mai 2016

- hauptsächlich staatlich finanziert - Haupttätigkeit: Entwicklung von Rüstungsgüter


Folgen Sie uns
       


Huawei Mate 20 Pro - Test

Das Mate 20 Pro ist Huaweis neues Topsmartphone. Es kommt wieder mit einer Dreifachkamera, die um ein Superweitwinkelobjektiv ergänzt wurde. Im Test gefällt uns das gut, allerdings ist die Kamera weniger scharf als die des P20 Pro.

Huawei Mate 20 Pro - Test Video aufrufen
Norsepower: Stahlsegel helfen der Umwelt und sparen Treibstoff
Norsepower
Stahlsegel helfen der Umwelt und sparen Treibstoff

Der erste Test war erfolgreich: Das finnische Unternehmen Norsepower hat zwei weitere Schiffe mit Rotorsails ausgestattet. Der erste Neubau mit dem Windhilfsantrieb ist in Planung. Neue Regeln der Seeschifffahrtsorganisation könnten bewirken, dass künftig mehr Schiffe saubere Antriebe bekommen.
Ein Bericht von Werner Pluta

  1. Car2X Volkswagen will Ampeln zuhören
  2. Innotrans Die Schiene wird velosicher
  3. Logistiktram Frankfurt liefert Pakete mit Straßenbahn aus

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Informationsfreiheitsbeauftragte Algorithmen für Behörden müssen diskriminierungsfrei sein
  2. Innotrans KI-System identifiziert Schwarzfahrer
  3. USA Pentagon fordert KI-Strategie fürs Militär

Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski


      •  /