Abo
  • Services:
Anzeige
Das Logo auf der Zentrale von Ruag
Das Logo auf der Zentrale von Ruag (Bild: Ruben Sprich/Reuters)

Rohrsystem zur Tarnung

Die Angreifer nutzten innerhalb des angegriffenen Netzwerkes eine Art "Rohrsystem", um unauffällig zu operieren. Bereits infizierte Rechner innerhalb des Netzes wurden genutzt, um Befehle an andere Rechner innerhalb des Netzwerkes weiterzugeben (Baumstruktur). Infizierte Rechner gaben außerdem Informationen über den Infektionsweg zurück. Es handelt sich also um ein System, das Command and Control Server (C2C) auf verschiedenen Ebenen besaß, bis jetzt sind möglicherweise nicht alle diese Server bekannt.

Anzeige

Dieses Vorgehen hat für Angreifer mehrere Vorteile: Die Kommunikation nach außen wird möglichst gering gehalten und interne Firewalls werden ausgetrickst, da der ungewollte Netzwerkverkehr sich mit legitimem Verkehr vermischt und über längere Zeit kein Traffic außerhalb des Netzwerks gelangen muss.

Bei den Infektionen von Systemen wurde ein zweistufiges Vorgehen gewählt. Zunächst wurde evaluiert, ob Interesse an dem System bestand. Falls das der Fall war, wurde entsprechende Malware nachgeladen. Aufgabe der Malware war es, durch klassische Rechteausweitung (etwa Ausnutzung von Administratorrechten oder Ausnutzung der automatischen Starts von Programmen oder Services unter Systemrechten) erweiterte Zugriffsrechte zu erlangen. Interessanterweise wurden keine zusätzlichen Tools wie Keylogger installiert und zudem keine externen Konfigurationsdateien, sondern ausschließlich hartkodierte Informationen im Quelltext, genutzt. Vermutlich wurde dieses Vorgehen gewählt, um noch schwerer auffindbar zu operieren.

Später wurden Tools wie mimikatz.exe, pipelist.exe und dsquery.exe verwendet, um noch mehr Informationen zu erlangen und die Rechte innerhalb des Netzwerkes zu erweitern. An dem zweistufigen Vorgehen wurde allerdings festgehalten - insoweit lässt sich davon ausgehen, dass die Angreifer eine genaue Idee davon hatten, was sie suchen und wo sie es vermutlich finden. In dem Bericht des Ministeriums für Verteidigung, Bevölkerungsschutz und Sport wird erwähnt, dass insgesamt über 20 GByte Daten entwendet wurden. Es handelt sich allerdings nicht um private Daten, sondern beispielsweise um "Daten aus dem Admin-Verzeichnis". Das lässt erneut den Schluss zu, dass es sich bei dem Angriff um Wirtschaftsspionage handelt.

Tipps für Unternehmen

In dem technischen Bericht von Melani wird abschließend ausdrücklich erwähnt, dass tatsächlich jede Organisation, egal wie groß ihre Sicherheitsmaßnahmen auch seien, Opfer einer solchen Attacke werden könnte, da das Vorgehen extrem geschickt war. Das Cert sagt aber auch, dass sich mit kostengünstigen Maßnahmen, wie etwa dem Monitoring innerhalb des eigenen Netzwerkes, früher erkennen lässt, dass jemand unerlaubte Aktionen im eigenen Netzwerk tätigt.

Die genannten Maßnahmen könnten für Sicherheitsverantwortliche und Administratoren von anderen Unternehmen von großem Interesse sein. Melani empfiehlt beispielsweise häufige Anfragen an Services wie Active Directories zu protokollieren und bei großer Anzahl von Abfragen einen Alert zu erzeugen. Auch Anfragen, die per DNS gestellt werden, sollten bis zu zwei Jahre gespeichert werden, um im Zweifel später Rückschlüsse auf die Infiltration von Netzwerken zu ziehen. Zudem wird geraten, Bring-Your-Own-Device-Geräte von der klassischen IT-Infrastruktur zu separieren und (V)LANs zu nutzen, um Netzwerksegmente voneinander zu trennen.

Der ausführliche Bericht des Cert zeigt, dass sich durch das Teilen von Informationen ein Sicherheitsgewinn auch für andere Unternehmen ergeben kann - sicherlich etwas, das auch private Unternehmen oder andere Certs praktizieren sollten.

 Hack von Rüstungskonzern: Schweizer Cert gibt Security-Tipps für Unternehmen

eye home zur Startseite
cephei 24. Mai 2016

- hauptsächlich staatlich finanziert - Haupttätigkeit: Entwicklung von Rüstungsgüter



Anzeige

Stellenmarkt
  1. Deloitte, Berlin, Düsseldorf, Frankfurt, Hamburg, München
  2. Robert Bosch GmbH, Stuttgart-Vaihingen
  3. Transgourmet Deutschland GmbH & Co. OHG, Mainz, Riedstadt
  4. SSI Schäfer Automation GmbH, Giebelstadt bei Würzburg, Dortmund


Anzeige
Hardware-Angebote
  1. bei Caseking
  2. 699€
  3. ab 649,90€

Folgen Sie uns
       


  1. Mirai-Nachfolger

    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

  2. Europol

    EU will "Entschlüsselungsplattform" ausbauen

  3. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  4. Spieleklassiker

    Mafia digital bei GoG erhältlich

  5. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  6. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  7. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  8. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  9. Die Woche im Video

    Wegen Krack wie auf Crack!

  10. Windows 10

    Fall Creators Update macht Ryzen schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Dokumentarfilm Pre-Crime: Wenn Computer Verbrechen vorhersagen
Dokumentarfilm Pre-Crime
Wenn Computer Verbrechen vorhersagen

Programmiersprache für Android: Kotlin ist auch nur eine Insel
Programmiersprache für Android
Kotlin ist auch nur eine Insel
  1. Programmiersprache Fetlang liest sich "wie schlechte Erotikliteratur"
  2. CMS Drupal 8.4 stabilisiert Module
  3. Vespa Yahoos Big-Data-Engine wird Open-Source-Projekt

Core i7-8700K und Core i5-8400 im Test: Ein Sechser von Intel
Core i7-8700K und Core i5-8400 im Test
Ein Sechser von Intel
  1. Core i7-8700K Ultra Edition Overclocking-CPU mit Silber-IHS und Flüssigmetall
  2. Intel Coffee Lake Von Boost-Betteln und Turbo-Tricks
  3. Coffee Lake Intel verkauft sechs Kerne für unter 200 Euro

  1. Re: Das Spiel ist beendet.

    kotap | 02:17

  2. Re: Ich wäre ja mal froh wenn Golem sein...

    Desertdelphin | 00:55

  3. Re: Besser als GTA

    Erny | 00:40

  4. Re: halb so schlimm

    Apfelbrot | 00:40

  5. Re: Nicht die 1 TFLOPS sind erstaunlich sondern...

    Vielfalt | 00:31


  1. 14:50

  2. 13:27

  3. 11:25

  4. 17:14

  5. 16:25

  6. 15:34

  7. 13:05

  8. 11:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel