Werbung

Unter falscher Flagge: Cyberangriffe täuschen Opfer und Sicherheitsteams

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Unter falscher Flagge: Cyberangriffe täuschen Opfer und Sicherheitsteams

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Zielgerichtete Cyberangriffe werden teils unter falscher Flagge durchgeführt. Dabei kommen zunehmend diverse Täuschungstechniken wie gefälschte Zeitstempel, Sprachketten oder Malware zum Einsatz, mit denen die Zuschreibung einer Cyberattacke erschwert wird. Operationen können so unter dem Deckmantel nicht existierender Akteure durchgeführt werden. Diese Erkenntnisse gehen aus einer aktuellen Analyse von Kaspersky Lab hervor.
Cyberangriff

Zielgerichtete Cyberangriffe werden teils unter falscher Flagge durchgeführt. Dabei kommen zunehmend diverse Täuschungstechniken wie gefälschte Zeitstempel, Sprachketten oder Malware zum Einsatz, mit denen die Zuschreibung einer Cyberattacke erschwert wird. Operationen können so unter dem Deckmantel nicht existierender Akteure durchgeführt werden. Diese Erkenntnisse gehen aus einer aktuellen Analyse von Kaspersky Lab hervor.

Wer tatsächlich hinter einer Cyberattacke steckt, ist eine Frage, die beantwortet werden will; auch wenn es schwer bis unmöglich ist, exakt zu bestimmen, wer die Täter sind. Um die wachsende Komplexität und die Unsicherheiten bei der Zuordnung heutiger Cyberbedrohungen zu demonstrieren, haben Experten von Kaspersky Lab untersucht, wie fortschrittliche Bedrohungsakteure Operationen unter falscher Flagge durchführen, um Opfer und Sicherheitsexperten zu täuschen.

„Die Zuordnung zielgerichteter Angriffe ist kompliziert, unzuverlässig und subjektiv. Bedrohungsakteure versuchen zunehmend, gängige Indikatoren zu manipulieren, um Spuren zu verwischen“, erklärt Brian Bartholomew, Sicherheitsforscher bei Kaspersky Lab. „Wir glauben daher, dass eine genaue Zuordnung oftmals nahezu unmöglich ist.“

Indikator Zeitstempel

Malware-Dateien enthalten Zeitstempel, die einen Hinweis auf das Erstellungsdatum liefern. Werden genug verwandte Malware-Samples gesammelt, können Rückschlüsse auf die Arbeitszeiten der Entwickler gezogen werden und damit auf die Zeitzone, in der sie arbeiten. Laut den Experten von Kaspersky Lab sind Zeitstempel allerdings sehr einfach zu fälschen, beispielsweise, um eine falsche Spur zu legen.

Indikator Sprache

Malware-Dateien enthalten oft Zeichenketten und Debug-Pfade. Die dort verwendete Sprache beziehungsweise das Niveau der Sprache könnten Hinweise auf den Autor des Codes geben. Auch enthalten Debug-Pfade teils Nutzer- sowie interne Projekt- und Kampagnennamen. Bei Phishing-Dokumenten können zudem Metadaten entnommen werden, die Statusinformationen über den Computer des Autors enthalten.

Cyberangriff

Zielgerichtete Cyberangriffe werden teils unter falscher Flagge durchgeführt. Dabei kommen zunehmend diverse Täuschungstechniken wie gefälschte Zeitstempel, Sprachketten oder Malware zum Einsatz, mit denen die Zuschreibung einer Cyberattacke erschwert wird. Bild: © Antje Delater/pixelio

Allerdings können Angreifer diese Hinweise leicht manipulieren und für Verwirrung sorgen. Ein Beispiel: die Malware des Bedrohungsakteurs ,Cloud Atlas‘ enthielt falsche Sprachhinweise, arabische Zeichen bei der BlackBerry-Version, Hindi-Zeichen in der Android-Version sowie die Wörter ,JohnClerk‘ im Projektpfad der iOS-Version. Dennoch hatten viele eine Gruppe mit osteuropäischen Verbindungen im Verdacht. Der Bedrohungsakteur ,Wild Neutron‘ nutzte sowohl rumänische als auch russische Sprachketten, um für Verwirrung zu sorgen.

Indikator Infrastruktur

Eine Command-and-Control-Server (C&C)-Infrastruktur kann teuer und schwer zu unterhalten sein. Die Folge: auch finanziell gut ausgestattete Akteure greifen gerne auf bestehende C&C-Systeme oder Phishing-Infrastrukturen zurück. Backend-Verbindungen können ebenfalls einen flüchtigen Blick auf die Angreifer geben, wenn diese bei den durchgeführten Operationen nicht adäquat anonymisiert werden. Allerdings können auch so falsche Fährten gelegt werden, geschehen bei ,Cloud Atlas‘ [2], wo zur Täuschung südkoreanische IP-Adressen verwendet wurden.

Indikator verwendete Tools

Angreifer setzen auf öffentliche, aber auch auf selbstentwickelte Tools wie Backdoors oder Exploits, die sie wie ihre Augäpfel hüten, Forschern jedoch Hinweise auf deren Ursprung geben könnten. Das machte sich der Bedrohungsakteur ,Turla‘ zunutze, indem die im Opfersystem eingeschleuste Malware ein seltenes Exemplar einer chinesischen Malware installierte, die mit einem in Peking lokalisierten System kommunizierte. Während das Vorfalluntersuchungsteam der falschen Fährte nachging, deinstallierte sich die eigentliche Malware im Hintergrund und verwischte alle Spuren auf den Opfersystemen.

Indikator Opfer

Die von den Angreifern attackierten Zielobjekte werden für Interpretationen und Analysen verwendet. Die Liste der Opfer im Fall ,Wild Neutron‘ war jedoch so heterogen, dass sie bei möglichen Zuordnungsversuchen nur für Verwirrung sorgte.

Darüber hinaus nutzen manche Bedrohungsakteure das öffentliche Verlangen nach einer Verbindung von Angreifern und ihren Opfern aus, indem sie unter dem Deckmantel einer – oft nicht existenten – Hacktivisten-Gruppierung operieren. So versuchte sich die ,Lazarus‘-Gruppe als die Hacktivisten-Gruppe ,Guardians of Peace‘ zu tarnen, als sie im Jahr 2014 Sony Pictures Entertainment attackierte. Bei dem unter dem Namen ,Sofacy‘ bekannten Bedrohungsakteur wird von vielen eine ähnliche Taktik vermutet, weil er sich als unterschiedliche Hacktivisten-Gruppen in Szene setzte.

Auch gab es Fälle, bei denen Angreifer versuchten, einen anderen Bedrohungsakteur mit einer Attacke in Verbindung zu bringen. Dies geschah beim bisher nicht zugeordneten Akteur ,TigerMilk‘ [6], der seine verwendeten Backdoors mit demselben gestohlenen Zertifikat signierte, das auch bei Stuxnet verwendet wurde.

Die Analyse kann hier abgerufen werden.

Mehr Informationen zu den Kaspersky APT Intelligence Reporting finden sich hier.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Auf dem daten Friedhof

Dark Data: Wirtschaftliche Chancen mit Cloud, KI und BI nutzen.

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.