Schlüsselwort-Archiv: Cyberkrieg\

Cyber-News von der dunklen Seite – SAS 2019.

Hallo zusammen!

Es folgt ein weiterer Beitrag aus meiner Serie „gelegentliche iNews, alias „Cyber-News von der dunklen Seite“ – dieser Artikel beschäftigt sich mit einigen der Vorträge, die ich mir letzten Monat auf unserem jährlichen Security Analyst Summit in Singapur ansehen durfte.

Unsere jährliche SAS-Konferenz zeichnet sich vor allem durch die höchstinteressanten Vorträge unserer geladenen Experten aus aller Welt aus, bei der Analysten, im Gegensatz zu anderen geopolitisch korrekten Konferenzen, Entdeckungen über jede beliebige Cyberbedrohung mit dem Publikum teilen; und das völlig unabhängig von dem Ursprung dieser Bedrohungen. Denn Malware ist und bleibt Malware, und Nutzer haben ein Recht darauf, vor allen ihrer Arten geschützt zu werden, ohne Rücksicht auf die erklärte Bedeutung der Absichten der dahinterstehenden Organisationen, Gruppen etc. Erinnern Sie sich noch an den „Bumerangeffekt„?

Und wenn bestimmte Medienkanäle als Reaktion auf diese prinzipientreue Position offensichtlich Lügen über uns verbreiten, dann sei es so. Und es sind nicht nur unsere Prinzipien, die angegriffen werden, weil wir praktizieren, was wir predigen: Wir sind der Konkurrenz weit voraus, wenn es um die Anzahl gelöster Cyberspionage-Operationen geht. Und wir planen nicht, unsere Einstellung und Position in irgendeiner Weise zum Nachteil unserer Nutzer zu ändern.

Im Anschluss folgt eine Zusammenfassungen der großartigsten Untersuchungen und Analysen, die Cyber-Experten aus aller Welt auf dem diesjährigen SAS vorgetragen haben. Darf ich vorstellen? Die interessantesten, schockierendsten, gruseligsten und verrücktesten Vorträge der SAS-Konferenz 2019:

1. TajMahal

Im vergangenen Jahr haben wir einen Angriff auf eine diplomatische Organisation aus Zentralasien entdeckt. Natürlich sollte es für eine solche Organisation keine Überraschung sein, dass Cyberkriminelle besonderes Interesse an ihr zeigen. Es ist kein Geheimnis, dass Informationssysteme von Botschaften, Konsulaten und diplomatischen Vertretungen für andere Staaten und ihre Geheimdienste oder generell für Bösewichte mit ausreichenden technischen Fähigkeiten und finanziellen Mitteln schon immer von Interesse waren. Ja, wir alle haben Spionageromane gelesen. Aber in diesem Fall gab es eine interessante Neuigkeit: Und zwar wurde für die Angriffe auf diese Organisation ein zweiter, wahrhaftiger ‚TajMahal‘ errichtet – und zwar in Form einer APT-Plattform mit unzähligen Plug-ins (das Ausmaß war selbst für uns überraschend), die für jegliche Arten von Angriffsszenarien unter Verwendung verschiedener Tools verwendet wurden.

Die Plattform besteht aus zwei Hauptpaketen: Tokyo und Yokohama. Bei Tokyo handelt es sich um die primäre Backdoor, die darüber hinaus die Zustellfunktion des letzteren Schadprogramms erfüllt. Yokohama hat eine sehr umfangreiche Funktionalität: den Diebstahl von Cookies, das Abfangen von Dokumenten aus der Druckerwarteschlange, die Aufzeichnung von VoIP-Anrufen (einschließlich WhatsApp und FaceTime), das Erstellen von Screenshots und vieles mehr. Das TajMahal-Framework ist seit mindestens fünf Jahren aktiv und seine Komplexität lässt vermuten, dass es entweder noch weitere, bisher unbekannte Opfer oder weitere Versionen dieser Malware gibt – oder möglicherweise beides.

Weitere Details zu diesem ausgereiften APT-Framework finden Sie hier.

2. Gaza-Cybergang

Wir haben erstmals im Jahr 2015 über die Gaza-Cybergang berichtet, obwohl dieses arabischsprachige, politisch motivierte Kollektiv interagierender Gruppen von Cyberkriminellen bereits seit 2012 aktiv ist. Ihren Fokus legt(e) die Cybergang dabei hauptsächlich auf Ziele im Nahen Osten und in Zentralasien. Die Mehrheit der Angriffe fanden in den palästinensischen Gebieten, Jordanien, Israel und dem Libanon statt. Besonderes Interesse zeigte die Gaza-Cybergang bislang an Botschaften, Regierungsstellen, Medien und Journalisten, Aktivisten, politischen Parteien und Einzelpersonen sowie Bildungseinrichtungen, Banken, Gesundheitsorganisationen und Vertragsunternehmen.

Die Gruppe besteht aus mindestens drei Untergruppen, die ähnliche Absichten und Zielsetzungen verfolgen, aber unterschiedliche Werkzeuge und Techniken einsetzen. Über zwei der Gruppen – mit erstzunehmenden technischen Fähigkeiten – haben wir bereits hier und hier berichtet. Die dritte Untergruppe – MoleRATs – wurde erstmals auf dem SAS 2019 vorgestellt und ist maßgeblich an der Operation SneakyPastes beteiligt gewesen (SneakyPastes leitet sich von der starken Nutzung von Paste-Sites durch die Angreifer ab).

Ihre mehrstufigen Angriffe beginnen mit maßlosem Phishing: eine E-Mail zu einem aktuellen politischen Thema, die scheinbar irgendeine Art von Verhandlungsprotokollen oder Korrespondenzen einer scheinbar legitimen, respektierten Organisation enthält. Ein ungeschulter Büroangestellter öffnet derartige Anhänge, ohne darüber nachzudenken. Sobald dieser Fall eintritt, startet die auf den ersten Blick harmlose (aber tatsächlich mit Malware versehene) Datei eine Reihe von Infektionsversuchen. Sobald sich die Cyberkriminellen im System befinden, verbergen sie die Präsenz der Malware vor AV-Lösungen und gehen dann schrittweise in weitere Angriffsstadien über.

Schlussendlich wird auf dem Zielgerät ein RAT installiert, der nicht nur ein Ass im Ärmel hat: er kann Dateien ganz einfach herunter- und hochladen, Anwendungen ausführen, nach Dokumenten suchen und Daten verschlüsseln. Er findet zudem alle .pdf-, .doc-, .docx-, und .xlsx-Dateien auf dem System, speichert diese in Ordnen für temporäre Dateien, klassifiziert, archiviert und verschlüsselt diese und sendet sie dann über Domain-Strings an den C&C-Server. Und so, meine Damen und Herren, funktioniert Spionage im Jahr 2019!

Sie möchten mehr darüber erfahren? Kein Problem!

3. Finanzbetrug und digitale Klone

Wenn Sie glauben, dass all unsere Untersuchungen lediglich Angriffe betreffen, die scheinbar direkt aus einem Detektiv-, Spionage- oder Sci-Fi-Roman stammen, denken Sie noch einmal genauer darüber nach. Denn die dritte Untersuchung, von der ich Ihnen erzählen möchte, betrifft unglaublich viele Menschen. Eine ganz simple Form des Cybercrimes, die so alltäglich geworden ist, dass die Medien einfach nicht mehr darüber berichten. Obwohl das mehr als angebracht wäre! Die Rede ist vom guten alten Finanzbetrug. Laut einer zuverlässigen Quelle beliefen sich die Verluste durch Kreditkartenbetrug im Jahr 2018 auf rund 24 Milliarden US-Dollar. Ja -Sie haben richtig gelesen : M-I-L-L-I-A-R-D-E-N! Zum Vergleich: Das jährliche Budget der NASA liegt bei rund 21,5 Milliarden US-Dollar, während die Olympischen Spiele in Tokio 25 Milliarden Dollar kosten!

Für den heutigen, modernen Kreditkartenbetrug wurde ein neuer Begriff erfunden: Carding. Obwohl Banken und Zahlungssysteme dem Thema Sicherheit besondere Aufmerksamkeit schenken, entwickeln die Betrüger ständig neue Tools, um Geld über Bankkarten zu stehlen.

Unser Experte Sergey Lozhkin berichtete auf dem SAS 2019 über eine völlig andere Art des Finanzbetrugs. Er entdeckte einen ganzen Markt namens Genesis im Darknet, auf dem gestohlene „digitale Fingerabdrücke“ gekauft und verkauft werden. Hierbei handelt es sich im Wesentlichen um Datenpakete mit dem Online-Verhalten eines Nutzers sowie seinem digitalen Fingerabdruck – der Verlauf besuchter Seiten, Informationen über das Betriebssystem, den Browser und so weiter. Wofür all das benötigt wird? Nun ja, es sind eben Daten wie diese, die von verschiedenen Online-Systemen zur Nutzerverifizierung zum Schutz vor Betrug verwendet werden. Wenn also ein digitaler Fingerabdruck mit dem vorher verwendeten Fingerabdruck übereinstimmt, „erkennt“ die Sicherheitslösung die Person und genehmigt die Transaktion – beispielsweise einen Kauf im Onlineshop oder eine Überweisung via Online-Banking. Der Preis für einen solchen digitalen Fingerabdruck variiert je nach Datenvolumen zwischen fünf und 200 US-Dollar.

Wie werden solche Fingerabdrücke gesammelt ? Mit der Verwendung verschiedener Schadprogramme. So kann sich Malware beispielsweise auf Ihrem Computer einschleichen und unbemerkt alle erreichbaren Daten sammeln – während Sie davon rein gar nichts bemerken.

Zudem haben Betrüger eine andere Methode entwickelt, um Schutzlösungen zu täuschen und zu umgehen: sie geben sich vor dem System als völlig neuer Nutzer aus. Dies kann mithilfe eines speziellen Dienstes namens Sphere erfolgen, mit dem eine digitale ID samt ihrer Parameter zurückgesetzt werden kann. Somit ist der Kriminelle in den Augen der Schutzlösung völlig „clean“.

Was können wir dagegen tun? Zum einen müssen sich Banken kontinuierlich über die neuesten Cyber-Betrugsmethoden informieren und ausnahmslos die Zwei-Faktor-Authentifizierung verwenden. In Zukunft werden sie wahrscheinlich auch noch biometrische Daten, Fingerabdrücke, Iriserkennung usw. als zusätzliche Schutzmaßnahme auf ihre Liste schreiben müssen. In der Zwischenzeit möchten wir Ihnen zum wahrscheinlich zehntausendsten Mal folgenden Rat mit auf den Weg geben: Gehen Sie vorsichtig mit Ihren Daten (Passwörter, Bankkartennummern, Verwendung von Computern an öffentlichen Orten und Gebrauch von öffentlichen WLAN-Hotspots) um. Und verwenden Sie eine gute Sicherheitslösung, die alle schädlichen Faktoren erkennt, die es möglicherweise auf Ihre digitale Identität abgesehen haben.

4. „The secret power of YARA“

Gegen Ende des diesjährigen SAS hielt Vitaly Kamluk eine Pecha-Kucha-Präsentation (20 Folien á 20 Sekunden) über die Fähigkeiten von YARA (eine Art Suchmaschine, die nach Attributen in ausführbaren Dateien sucht).

In diesem Vortrag namens „The Secret Power of YARA“ wandte er seine speziellen Jedi-Kräfte auf dieses spezifische Tool an… das Endergebnis war ein ASCII-Art-Kunstwerk! Das Publikum konnte seinen Augen kaum trauen. Aber das war noch längst nicht alles – unter Anwendung zusätzlicher Magie, übernahm im selben ASCII-Regime plötzlich der erste Teil der Computerspiel-Serie DOOM den Bildschirm! Das Publikum war gebannt, hypnotisiert, fasziniert … Sehen Sie selbst!

5. Was, wenn …

Im abschließenden SAS-Vortrag gab der Direktor unseres GReAT, Costin Raiu, dem Publikum die Gelegenheit, über theoretisch mögliche Methoden der Malware-Penetration und über mögliche Verschleierungsmethoden auf tiefster Hardwareebene nachzudenken. Was machen wir, wenn diese Hypothesen tatsächlich zur Realität werden? Und wie kann die Cybersicherheitsbranche darauf reagieren? Darum ging es bei Costins Präsentation – eine Art Benutzerhandbuch für Start-ups auf diesem Terrain.

Das waren die „Greatest Hits“ des SAS 2019. Wir freuen uns schon auf nächstes Jahr!

PS: Auf der SAS-Konferenz 2019 wurden rund 70 Präsentationen gehalten, und dies hier waren lediglich die „Auserwählten“, die es ins Finale geschafft haben. Ich könnte Ihnen nicht von allen Vorträgen auf diesem Blog berichten, aber in Kürze sollte das vollständige Konferenzvideo auf unserem YouTube-Kanal zur Verfügung stehen!

Cyber-News: Infizieren eines Freundes, Neustarten von Boeings, Löcher ohne Authentifizierung und vieles mehr

Hallo Leute!

Hier kommt mein nächster Beitrag in meiner Kolumne „Cyber-Schreckensnachrichten“ – die, in der ich Sie über das Grauen aus der digitalen Welt auf dem Laufenden halte.

Seit den letzten „Schreckensnachrichten“ ist viel passiert, das Aufmerksamkeit verdient. Ganz genau, der Fluss der Schrecken ist von einem Bergrinnsal zu einem Niagara geworden. Und sie werden immer mehr…

Als Veteran der Cyberabwehr kann ich Ihnen sagen, dass in vergangenen Zeiten globale Katastrophen vielleicht über ein halbes Jahr diskutiert wurden. Während der Fluss der Nachrichten jetzt einem Lachs in Laichzeit gleicht: Overload! Es sind so viele, dass es sich gar nicht erst lohnt, sie zu erwähnen, da sie so schnell zu den Nachrichten von gestern gehören, bevor man „digitaler Over-DDoSe“ sagen kann. Ich hörte, wie sie letztens Mega-Corporation X hackten und alles stahlen; selbst der Hamster vom Chef wurde von einer Drohne entführt…

Jedenfalls steigt der Fluss der Cyberskandale immer weiter an, und daher sind auch meine Beiträge zu solchen Skandalen mehr geworden. In der Vergangenheit waren es drei von vier Blogbeiträgen. Heute: sieben!

Stehen Popcorn/Kaffee/Bier bereit? Dann kann´s ja losgehen…

1) Infizieren Sie einen Freund und erhalten Sie Ihre blockierten Dateien kostenlos zurück.

Read on: Cyber-News: Infizieren eines Freundes, Neustarten von Boeings, Löcher ohne Authentifizierung und vieles mehr

Faulheit, Cybersicherheit und Maschinelles Lernen

Es ist wie es ist: der Mensch ist ein faules Wesen. Ist es möglich, nichts zu tun, dann tut er auch nichts. Jedoch ist das paradoxerweise eine gute Sache, da Faulheit… der Motor des Fortschritts ist! Was? Wie das? Nun, gilt ein Job als zu hart oder langwierig oder komplex für Menschen, geben bestimmte faule (aber gewissenhafte) Menschen (Homo Bequemis? 😀 ) den Job einer Maschine! In der Cybersicherheit nennen wir das Optimierung.

Analyse von Millionen von schädlichen Dateien und Webseiten jeden Tag, „Impfungen“ gegen zukünftige Bedrohungen entwickeln, für immer proaktiven Schutz verbessern und dutzende anderer kritischer Aufgaben lösen – all das ist ohne Automation einfach unmöglich. Und maschinelles Lernen ist eins der Hauptkonzepte in der Automation.

Maschinelles Lernen wurde in der Cybersicherheit über mehr als ein Jahrzehnt angewandt – nur ohne Marketingfanfaren.

Automation gibt es in der Cybersicherheit schon seit Beginn (der Cybersicherheit an sich). Ich erinnere mich z. B. daran, wie ich in den frühen 2000ern einen Code für einen Roboter schrieb, um eingehende Malwarebeispiele zu analysieren: der Roboter schiebt die entdeckten Dateien in die entsprechenden Ordner unserer wachsenden Malware-Sammlung, die auf seinem (des Roboters) Urteil bezüglich ihrer (die Dateien!) Eigenschaften basiert. Es war schwer, sich vorzustellen – selbst damals – dass ich das manuell machen musste!

Heutzutage ist es nicht genug, Robotern präzise Anweisungen für Aufgaben zu geben, die sie verrichten sollen. Stattdessen müssen die Anweisungen für Aufgaben ungenau gegeben werden. Ja, ganz genau!

Zum Beispiel: „Finde die menschlichen Gesichter auf diesem Foto“. Hierfür beschreiben Sie nicht, wie menschliche Gesichter ausgesucht werden und wie man menschliche Gesichter von denen von Hunden unterscheidet. Stattdessen zeigen Sie dem Roboter mehrere Fotos und fügen hinzu: ‚Diese Dinge hier sind Menschen und das hier sind Hunde; und jetzt mach deine Arbeit‘! Und das ist kurz gesagt die ‚Freiheit der Kreativität‘, die sich selbst maschinelles Lernen nennt.

25ccd2f400000578-2958597-image-a-27_1424270103152

Read on: Faulheit, Cybersicherheit und Maschinelles Lernen

Cyber-Schreckensnachrichten: Infizierte Kernkraftwerke, Cyberbankräuber und Stauanlagenhacker

Ein kurzer Blick auf die Nachrichten der letzten Tage und man möchte geradezu nach einem Geigerzähler greifen. Einige der letzten neuen Vorfälle sind einfach sehr besorgniserregend. Oder reagiere ich über? Also eins nach dem anderen …

Schreckensnachricht Nummer 1: Apokalypse verhindert — fürs Erste.

inews-1Foto mit freundlicher Genehmigung von Wikipedia

Berichten zufolge, wurde das IT-System der B-Einheit des Kernkraftwerks Gundremmingen in Schwaben, Bayern — genau zum dreißigsten Jahrestag der Tschernobylkatastrophe! — mit Malware infiziert. Allerdings wurde auch berichtet, dass es keinen Grund zur Besorgnis gibt, da zu keiner Zeit Gefahr bestand. Alles in Ordnung, wir können ruhig schlafen, alles ist unter Kontrolle, das Gefährdungsniveau könnte nicht niedriger sein.

Nachdem Sie sich den Schweiß von der Stirn gewischt und einmal tief durchgeatmet haben, lesen Sie weiter …

… und hier bekommen Sie noch ein paar Details zum Zwischenfall. Es scheint so, als wäre alles in Ordnung: die Strahlung in der Umgebung stieg schließlich nicht an — das ist das Wichtigste, oder? Wenn Sie weiter lesen …

… dann werden Sie herausfinden, dass das infizierte System (das nicht mit dem Internet verbunden war) dazu dient, um den Antriebsmechanismus der Kernbrennstäbe zu kontrollieren. Hier müssen Sie sich die Augen reiben und das nochmal langsam lesen …

WIE BITTE?

Read on: Cyber-Schreckensnachrichten: Infizierte Kernkraftwerke, Cyberbankräuber und Stauanlagenhacker

Gesamtüberblick

Letztes Frühjahr (2015) haben wir Duqu 2.0 aufgedeckt — einen hochprofessionellen, sehr teureren Cyberspionage-Einsatz. Wahrscheinlich staatlich unterstützt. Wir sind auf den Einsatz aufmerksam geworden, als wir eine Betaversion von Kaspersky Anti Targeted Attack (KATA) getestet haben — unsere Sicherheitslösung, die vor komplexen gezielten Angriffen wie Duqu 2.0 schützt.

Und jetzt, ein Jahr später, kann ich stolz ausrufen: Hurra! Das Produkt ist nun offiziell veröffentlicht und voll einsatzbereit!

Kaspersky Anti-Targeted Attack Platform

Aber lassen Sie mich zunächst einmal einen Schritt zurückgehen, um Ihnen zu erklären, wie es so weit gekommen ist — wieso wir es jetzt mit staatlich unterstützter Cyberspionage zu tun haben und warum wir einen sehr spezifischen Schutz entwickeln mussten.

(Diejenigen, die lieber direkt zum Punkt kommen wollen, können die Einleitung über diesen Link abkürzen.)

So oft wird von der „guten alten Zeit“ gesprochen — gerade so, als wären in der Vergangenheit keine schlechten Dinge passiert. Die Musik war besser, die Gesellschaft gerechter, die Straßen sicherer, das Bier hatte eine schönere Schaumkrone und so weiter und so fort. In Bezug auf manche Dinge war es früher allerdings wirklich besser; ein Beispiel ist, dass es in vergangenen Jahren relativ einfach war, Cyberplagen zu bekämpfen.

Damals habe ich das natürlich nicht so gesehen. Wir haben 25 Stunden am Tag gearbeitet, 8 Tage die Woche, und die Virenschreiber und ihre beeindruckende Vermehrungsrate verflucht. Jeden Monat (und mitunter häufiger) gab es weltweite Wurmepidemien und wir dachten die ganze Zeit über, dass die Situation wohl kaum viel schlechter werden kann. Wie wir uns geirrt haben…!

Anfang dieses Jahrhunderts wurden Viren noch vorwiegend von Studenten und Cyberrowdys geschrieben. Diese hatten weder die Absicht, noch die Fähigkeiten, ernstzunehmende Malware zu entwickeln, so dass die Epidemien, für die sie verantwortlich waren, oftmals mit proaktiven Methoden, binnen weniger Tage ausgelöscht wurden. Sie hatten schlichtweg keine Motivation, um tatsächlich bedenkliche Malware auszutüfteln; sie haben nur zum Spaß Schadprogramme geschrieben, wenn DOOM und Duke Nukem anfingen, sie zu langweilen J.

Mitte der 2000er Jahre kamen auf einmal große Geldsummen im Internet ins Spiel und neue Technologien, über die sich alles vernetzen ließ, von MP3-Playern bis hin zu Atomkraftwerken. Professionelle cyberkriminelle Gruppierungen traten in Erscheinung und machten Jagd auf das große Geld, das im Internet zu holen ist, während Cybergeheimdienste von den technologischen Möglichkeiten angezogen wurden. Diese Gruppen hatten die Motivation, die Mittel und das Know-how, um hochkomplexe Malware zu entwickeln, ausgefeilte Angriffe auszuführen und dabei nicht auf dem Radar erfasst zu werden.

Etwa um diese Zeit herum „starb die Antivirensoftware“: traditionelle Schutzmethoden konnten keine ausreichende Sicherheit mehr bieten. Es begann ein regelrechtes Cyberwettrüsten — eine moderne Interpretation des ewigen Modells der auf Gewalt basierenden Macht — entweder man greift an oder man verteidigt sich. Cyberattacken wurden selektiver/zielgenauer in Bezug auf die gewählten Angriffsziele, diskreter und weitaus fortgeschrittener.

„Grundlegende“ Antivirensoftware, (die zu diesem Zeitpunkt schon weitaus mehr als nur Antivirensoftware war), war inzwischen zu komplexen Mehrkomponentensystemen weiterentwickelt worden, mit mehrstufigen Sicherheitsmechanismen und vollgepackt mit verschiedenen Schutztechnologien, während fortgeschrittene Firmensicherheitssysteme noch eindrucksvollere Waffenlager zur Zugangskontrolle und zur Erkennung von Eingriffen aufgebaut hatten.

Allerdings hatte diese Herangehensweise, obgleich sie oberflächlich betrachtet sehr eindrucksvoll erschien, einen kleinen aber entscheidenden Nachteil für große Unternehmen: das Verfahren war nicht in der Lage, proaktiv die professionellsten gezielten Angriffe zu erkennen — die einzigartige Malware nutzen, in Zusammenhang mit spezifischem Social Engineering und Zero-Days. Malware, die sich vor Sicherheitstechnologien versteckt halten kann.

Ich spreche von Attacken, die sorgfältig über Monate, wenn nicht Jahre hinweg von Topexperten geplant wurden, mit schier unerschöpflichen Budgets und zum Teil sogar mit staatlicher Förderung. Angriffe wie diese können mitunter jahrelang unerkannt bleiben; der Einsatz der Equation Group beispielsweise, den wir 2014 aufgedeckt haben, hatte seine Anfänge bereits 1996!

Banken, Regierungen, kritische Infrastrukturen, Hersteller — Zehntausende große Organisationen unterschiedlicher Bereiche und mit unterschiedlichen Besitzformen (im Grunde die Basis der heutigen Weltwirtschaft und -ordnung) — es hat sich gezeigt, dass sie alle anfällig sind für diese extrem professionellen Bedrohungen. Und die Nachfrage nach Daten, Geld und geistigem Eigentum des Angriffsziels ist groß und steigt kontinuierlich weiter an.

Was also ist zu tun? Sollen wir diese modernen Extremgefährdungen als unvermeidlichen Teil des modernen Lebens akzeptieren? Den Kampf gegen gezielte Angriffe aufgeben?

Nein, ganz und gar nicht!

Alles, was — auf wie auch immer komplexe Art und Weise — angegriffen werden kann, kann zu einem hohen Grad geschützt werden, wenn eine ernstzunehmende Menge an Zeit und Verstand investiert wird. Es wird nie zu 100% sicheren Schutz geben, aber eben maximalen Schutz, der verhindert, dass Angriffe ausgeführt werden können: Hindernisse, die so beeindruckend sind, dass die Angreifer sich dafür entscheiden, keine weiteren Anstrengungen mehr zu unternehmen und stattdessen ein anderes, weniger gut geschütztes Opfer angreifen. Natürlich gibt es auch Ausnahmen, insbesondere wenn es um politisch motivierte Angriffe auf bestimmte Personen geht. Solche Attacken werden hartnäckig bis zum bitteren Ende durchgezogen — einem siegreichen Ende für den Angreifer. Aber das ist kein Grund, den Kampf gar nicht erst aufzunehmen.

Ok, so viel zum geschichtlichen Kontext. Nun zum wichtigsten Teil: dem Hausmittel gegen fortgeschrittene gezielte Attacken — unsere neue Plattform Kaspersky Anti Targeted Attack (KATA).

 

Was genau ist KATA, wie funktioniert es, und wie viel kostet es?

Zunächst einmal zur grundlegenden Struktur einer gezielten Attacke…

Ein gezielter Angriff ist immer einzigartig: maßgefertigt für eine bestimmte Organisation oder Einzelperson.

Die Kriminellen, die hinter einem gezielten Angriff stehen, beginnen damit, gewissenhaft bis ins kleinste Detail alle Informationen zu ihren Angriffszielen zusammenzusuchen, da eine gründliche Vorarbeit fast genauso entscheidend für den Erfolg eines Angriffs ist, wie das verfügbare Budget. Alle Einzelpersonen, die sie ins Visier nehmen, werden ausspioniert und analysiert: Lifestyle, Familie, Hobbies und so weiter. Auch die Unternehmensstruktur wird gründlich untersucht. Anhand dieser Informationen wird schließlich eine Angriffsstrategie ausgewählt.

Als nächstes (i) dringen die Angreifer in das Netzwerk ein und verschaffen sich aus der Ferne (unentdeckt) Zugriff, einschließlich aller Berechtigungen. Anschließend (ii) gefährden sie die kritischen Infrastruktur-Knotenpunkte. Und schließlich — „geht die Bombe hoch!“ — (iii): sie stehlen oder vernichten Daten, brechen Geschäftsvorgänge ab — was auch immer Ziel des Angriffs ist. Und was gleichermaßen wichtig ist: sie verwischen ihre Spuren, so dass sie nicht zur Rechenschaft gezogen werden können.

Die Motivation, die Dauer der verschiedenen Vorbereitungs- und Durchführungsschritte, die Angriffsvektoren, die Eingriffstechnologie und die angewendete Malware selbst — alles ist individuell unterschiedlich. Aber unabhängig davon wie einzigartig ein Angriff ist, gibt es immer eine Schwachstelle. So dass der Blick aus der Vogelperspektive Gesamtüberblick, der sich aus verschiedenen Quellen im ganzen Netzwerk ergibt, es möglich macht, einen Eingriff zu erkennen.

Um alle Daten über derartige Anomalien zu sammeln und ein Gesamtbild zu erstellen, benutzt KATA Sensoren — spezielle „E-Agenten“ — die fortlaufend den IP-/Web-/E-Mail-Verkehr analysieren und die Vorgänge auf den Workstations und Servern überwachen.

Wir fangen beispielsweise IP-Verkehr (HTTP(s), FTP, DNS) mittels TAP/SPAN ab; der Websensor vernetzt sich über ICAP mit dem Proxyserver, und der Mailsensor wird über POP3(S) mit dem E-Mail-Server verbunden. Die E-Agenten sind richtige Leichtgewichte (für Windows etwa 15 Megabytes), sie sind mit anderer Sicherheitssoftware kompatibel und haben so gut wie keinen Einfluss auf Netzwerk- oder Endpunktressourcen.

Alle gesammelten Daten (Objekte und Metadaten) werden dann an das Analysezentrum übertragen, zur Verwertung und Archivierung mittels verschiedener Methoden (Sandbox, Antivirenscanner und anpassbaren YARA-Regeln, Überprüfung von Dateien und URLs, Abtastung auf Sicherheitsschwachstellen, etc.). Es ist außerdem möglich, das System mit unserer Cloud, dem Kaspersky Security Network, zu verbinden, oder es zur besseren Nutzung intern zu belassen, mit Hilfe einer internen Kopie über das Kaspersky Private Security Network.

Sobald das Gesamtbild erkennbar wird, ist es Zeit für den nächsten Schritt. KATA deckt verdächtige Aktivitäten auf und kann die Administratoren und SIEM (Splunk, Qradar, ArcSight) über jedwede unerfreuliche Entdeckung informieren. Und was sogar noch besser ist: je länger das System in Betrieb ist, und desto mehr Daten über das Netzwerk angesammelt werden, umso effektiver ist es, da atypisches Verhalten leichter zu erkennen wird.

Mehr Details darüber wie KATA funktioniert, gibt es hier.

Und ja; fast hätte ichs vergessen… wie viel kostet das?

Nun ja, darauf gibt es keine einfache Antwort. Der Servicepreis ist von einer Vielzahl Faktoren abhängig; dazu gehört unter anderem die Größe und die Topologie des Unternehmensnetzwerks, wie die Sicherheitslösung konfiguriert ist, und wie viele zusätzliche Services genutzt werden. Eine Sache ist allerdings klar: die Kosten sind unbedeutend verglichen mit dem potenziellen Schaden, den die Plattform abwendet.