Auf Tätersuche: Herausforderungen bei der Analyse von Cyber-Angriffen
Das Bedürfnis bei Cyber-Angriffen Täter zu benennen wächst. Doch die verantwortlichen Gruppen spezialisieren sich immer mehr und kooperieren bei Bedarf.
(Bild: Profit_Image/Shutterstock.com)
- Dr. Timo Steffens
Eine der ersten Fragen bei Cyber-Angriffen ist häufig die nach den Tätern. So auch im Fall des SolarWinds-Hacks, bei dem der Update-Mechanismus einer weltweit genutzten Software genutzt wurde, um Hintertüren in bis zu 18.000 Behörden und Unternehmen zu installieren. Die Sicherheitsfirma FireEye, die als erste einen technischen Bericht dazu vorlegte, verwandte erhebliche Mühe darauf herauszufinden, ob der Angriff von einer bereits bekannten Gruppe durchgeführt wurde – bisher ohne eindeutige Ergebnisse. Doch warum ist das überhaupt relevant?
Es geht dabei keineswegs nur darum, Täter vor Gericht zu bringen oder zumindest mit dem Finger auf einen Schuldigen zeigen zu können. Man kann von der Täterschaft einer bestimmten bekannten Gruppe beispielsweise sinnvolle Maßnahmen zum Schutz oder der Schadensminimierung ableiten. Zumindest wenn bereits ausreichend Informationen über deren bisherige Vorgehensweisen und Absichten vorliegen.
Hacker-Jagd im Cyberspace
Wenn beispielsweise – wie von den Analysten der Firma Kaspersky vermutet – tatsächlich die Gruppe Snake hinter den SolarWinds-Angriffen steckt, ist die Wahrscheinlichkeit hoch, dass sie die Hintertüren vor allem bei Regierungsbehörden und Rüstungsfirmen einsetzen würden. Wäre es aber die Gruppe APT41, müsste man eher mit Folge-Angriffen auf Chemie- und Hightech-Unternehmen rechnen. Und wenn es sich – rein hypothetisch - gar um die Gruppe Sandworm handeln sollte, dann weiß man, dass sie laut US-Behörden mit Cyber-Angriffen bereits Stromausfälle in der Ukraine ausgelöst haben. Somit wären sogar Sabotage-Akte über die SolarWinds-Hintertür nicht auszuschließen.
Das Beispiel macht klar, dass die Zuweisung eines Angriffs zu einer bekannten Gruppe Kontext liefert, der für das weitere Vorgehen wichtig ist. Schließlich kann man auch bei der IT-Security nicht alle möglichen Maßnahmen bis ins letzte Detail umsetzen sondern muss Prioritäten setzen. Das gilt umso mehr für die akute Incident Repsonse, die ohne Kontextinformationen viele unnötige Ressourcen binden kann.
Gruppenbildung bei der APT-Analyse
Doch wie werden solche Tätergruppen überhaupt gefunden und definiert? Sicherheitsfirmen und Regierungsbehörden durchlaufen dafür kontinuierlich einen Attributionsprozess. In einem ersten Schritt sammelt man Daten zu möglichst vielen Cyber-Angriffen. Diese werden dann anhand von technischen Ähnlichkeiten zu Clustern zusammengefasst. Ähnlich sind Angriffe, wenn sie zum Beispiel dieselbe Schadsoftware oder dieselben Kontrollserver nutzen, die Täter dieselben Angriffsmethoden verwenden oder Firmen aus derselben Branche betroffen sind. Je mehr Aspekte der Angriffe identisch sind, desto eindeutiger ist der Cluster.
Eine entscheidende Annahme ist dabei, dass hinter ähnlichen Angriffen dieselben Täter stecken. Selbst professionelle Angreifer nutzen nämlich gern immer wieder dieselben Ressourcen und Methoden. Deswegen hat es sich eingebürgert, die Cluster von ähnlichen Angriffen als APT-Gruppen zu bezeichnen. APT steht für Advanced Persistent Threat und beschreibt die insbesondere von Geheimdiensten praktizierte Vorgehensweise systematischer, gezielter Angriffe. Je nach Sicherheitsfirma werden diese Gruppen dann durchnummeriert (von APT1 bis APT42) oder es werden fantasievolle Namen vergeben, wie eben Snake oder Sandworm.
Gerade im Regierungsumfeld wechselt übrigens nach diesem Analyseschritt typischerweise die Zuständigkeit. In Deutschland übernehmen Ermittlungs- und Sicherheitsbehörden wie der Verfassungsschutz vom BSI und führen die Analysen weiter. Denn der Verfassungsschutz hat das Mandat, konkrete Täter wie Regierungen und Personen zu benennen; das BSI nicht. Bei Sicherheitsunternehmen gibt es in der Regel keine unterschiedlichen Zuständigkeiten für die einzelnen Prozessschritte.
(Bild: Qi-Anxin)
Für eine Attribution nimmt man die nach einem Angriff vorgefundenen Spuren und sucht nach Übereinstimmungen mit den Daten der bekannten Cluster. Unter anderem werden Schadprogramme, Kontrollserver und das Cui Bono untersucht. Eine der typischen Untersuchungsmethoden ist beispielsweise das Suchen nach Spracheinstellungen in Schadprogrammen. Wenn Schadprogramme kompiliert werden, erzeugt der Compiler automatisch Platzhalter für grafische Elemente wie Buttons und Fenster – selbst wenn das Schadprogramm gar keine grafische Oberfläche hat. Diese Platzhalter spezifizieren auch eine Codepage, also eine Angabe darüber, welche Sprache die GUI-Elemente benutzen. Per Default wird dabei die Codepage gesetzt, die der eingestellten Sprache des Betriebssystems entspricht.
In Schadprogrammen der Gruppe Snake wurde beispielsweise die Codepage für kyrillische Zeichen gefunden. Erhalten die Analysten Zugriff auf einen Kontrollserver, finden sich dort mit etwas Glück Quellcodes, Anleitungen oder sogar Opferlisten, die die Täter dort abgelegt haben. Das sind Indizien, denen typischerweise mehr Gewicht beigemessen wird, da sie direkt aus dem virtuellen Schaltzentrale der Angreifer stammen, wo sie vermutlich weniger auf der Hut sind als bei einem Streifzug durchs Feindesland. Auf Kontrollservern der Gruppe APT1 fanden sich etwa grafische Benutzeroberflächen mit chinesischen Schriftzeichen.
Das Cui Bono ist die Frage, wer Interesse an den identifizierten Opfern hat. Das Bundesamt für Verfassungsschutz weist beispielsweise in seinen Jahresberichten darauf hin, dass chinesische APT-Gruppen regelmäßig religiöse und ethnische Minderheiten in China angreifen.
Dies sind nur Beispiele für die Analyse-Methoden. Inzwischen verfügen Analysten über einen ganzen Katalog an Spuren, auf die man prüfen kann, um Rückschlüsse auf die Täter und deren Ursprungsland zu ziehen. Je mehr Spuren gefunden werden, und je konsistenter sie sind, desto stärker wird die Attributionshypothese. Dies führt dann zu einer standardisierten Klassifizierung wie "eher wahrscheinlich" oder "sehr wahrscheinlich", die die Belastbarkeit der Ergebnisse quantifiziert. Ein Ergebnis des Attributionsprozesses kann durchaus auch sein, dass man keine belastbaren Hinweise auf die Täter finden konnte.
Falsche Fährten
Eine besondere Herausforderung ist, dass jede Spur eine Trugspur sei könnte, mit der die Täter eine falsche Fährte gelegt haben. Aber je mehr Spuren unterschiedlicher Art die Analysten untersuchen, desto schwieriger wird es für die Täter, die Trugspuren konsistent zu halten. Die Gruppe CloudAtlas setzte deshalb auf eine Verwirrungstaktik: Sie pflanzte arabische Zeichenketten in ihre Schadsoftware, hinterließ englische Debug-Ausgaben, kompilierte auf Rechnern mit spanischen Spracheinstellungen.
Damit griff sie dann ähnliche Ziele wie eine vermutlich russische Gruppe an und arbeitete zu russischen Bürozeiten. Analysten untersuchen in solchen Fällen, welche Spuren leicht und welche schwierig zu fälschen sind. In diesem Fall schloss die Sicherheitsfirma Kaspersky letztendlich auf Täter aus dem osteuropäischen, russischsprachigen Raum.
In den seltensten Fällen haben Analysten ein Monopol, was die Sicht auf die Aktivitäten einer Tätergruppe angeht. Sicherheitsfirmen, Behörden und Hobbyforscher können jeweils Ausschnitte aus der Gesamtaktivität beobachten und analysieren und dann eigene Hypothesen über die Täter anstellen. Dabei fällt auf, dass es selten Dissens bei der Zuordnung zu einem wahrscheinlichen Herkunftsland gibt. Egal, ob die Analysten aus den USA, Deutschland Russland oder auch aus China stammen: Aussagen zur Herkunft einer APT-Gruppe unterscheiden sich in der Regel nur im Grad der Zuversicht.
Aber fast immer gibt es unterschiedliche Standpunkte, wie genau der Zuschnitt einer APT-Gruppe auszusehen hat, ob beispielsweise einzelne Angriffe oder bestimmte Kontrollserver zu einer bestimmten APT-Gruppe gehören. So sehen alle dem Autor bekannten öffentlichen Berichte Russland als Herkunftsland der Gruppen APT28, Hades, Zebrocy und OlympicDestroyer. Die Sicherheitsforscher sind sich aber uneinig, ob es sich um dieselben Täter, um unterschiedliche Teilgruppen derselben Einheit oder sogar um ganz verschiedene Gruppen handelt.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Warum es gerade bei der Definition von Gruppen entscheidende Unterschiede gibt, hat der deutsche Sicherheitsforscher Florian Roth in seinem Newcomer’s Guide to Cyber Threat Actor Naming sehr zutreffend erläutert. Unter anderem liegt dies an den unterschiedlichen Daten, die Sicherheitsfirmen von ihren unterschiedlichen Kundenstämmen zu Angriffen erhalten. Hinzu kommt noch: Es gibt keine einheitlichen Methoden, um APT-Gruppen zu definieren. Selbst wenn die Sicherheitsfirmen ihre Daten zusammen in einen Topf werfen würden, würde es durch die unterschiedlichen Analyse-Methoden sehr wahrscheinlich zu verschiedenen Gruppen-Definitionen kommen.
Als wären diese methodischen Mängel nicht genug, machen aktuelle Entwicklungen es noch schwerer, APT-Gruppen voneinander abzugrenzen. Viele Gruppen nutzen – beispielsweise im SolarWinds-Fall – inzwischen öffentlich verfügbare Werkzeuge wie Cobalt Strike oder Metasploit. Damit wird eine Differenzierung anhand von charakteristischer Schadsoftware seltener.
Außerdem sind APT-Gruppen keineswegs immer starre Teams, die über einen langen Zeitraum zusammenarbeiten. Eine Anklageschrift des US-Justizministeriums geht beispielsweise davon aus, dass bei Angriffen auf Turbinenhersteller einer der Angeklagten je nach Ziel unterschiedliche Kontakte und Auftragnehmer für die Angriffe beauftragt hat. Manchen stellte er laut Anklage Schadprogramme wie Sakula und Winnti zur Verfügung, anderen Kontakten gewährte er Zugang zu bereits installierten Webshells in den Zielnetzwerken. Ein solches Geflecht als klar definierte APT-Gruppe zu beschreiben, gestaltet sich überaus schwierig.
Gruppendefinitionen sollten sich deshalb nie auf nur ein Merkmal wie die Verwendung einer Schadsoftware-Familie beschränken. Stattdessen sollten auch die andere Aspekte herangezogen werden: Werden die Domainnamen der Kontrollserver mit ähnlichen Registrierungsdaten beantragt? Sind die Kontrollserver ähnlich konfiguriert? Verwenden die Täter bestimmte Werkzeuge, um sich im internen Netz auszubreiten? Greifen sie stets Ziele in bestimmten Regionen oder bestimmten Branchen an?
Klassifizierung nach MICTIC
Das BSI analysiert Cyber-Aktivitäten systematisch anhand folgender Aspekte: Malware, Infrastruktur, Control Server, Telemetrie, Intelligence und Cui Bono. Die Anfangsbuchstaben sind namensgebend für das MICTIC-Framework. Dahinter steht eine systematische Erfassung und Verarbeitung der verschiedenen Arten von Spuren, die oben beispielhaft beschrieben wurden: Der Aspekt Malware umfasst die Schadprogramme, Exploits und Werkzeuge, die die Gruppe einsetzt. Das Label Infrastruktur beschreibt die Schritte der Täter, um Server anzumieten und Domainnamen zu beantragen.
Unter dem Punkt Control Server werden die Skripte und Konfigurationen behandelt, die lokal auf dem Server zu finden sind. Telemetrie steht für die Daten, die Sicherheitsprodukte an die Herstellerfirmen zurücksenden und die unter anderem Aktivitäten der Angreifer beim Ausbreiten in internen Netzen beschrieben. Der Aspekt Intelligence umfasst Erkenntnisse, die Nachrichtendienste durch Abhören von Servern oder Leitungen gewinnen können. Und das Cui Bono behandelt die Beauftragung der APT-Gruppe, also die strategischen Ziele, zu deren Erreichung sie beitragen sollen.
Nicht alle Aspekte sind für jeden Analysten zugänglich. Sicherheitsfirmen werden selten eigene Erkenntnisse für den Bereich "Intelligence" besitzen. Dann sollten die verbleibenden Aspekte möglichst umfassend betrachtet werden. Liegen für eine vermeintliche APT-Gruppe noch nicht Informationen über genügend Aspekte vor, deutet dies daraufhin, dass die abgedeckten Aktivitäten noch nicht genügend charakterisierbar sind. Dann ist es allerdings auch zu früh, eine langfristige Gruppendefinition mit Gruppennamen zu veröffentlichen.
Problemfall Arbeitsteilung
Die Gliederung dieser Aspekte fördert systematisches Vorgehen und erleichtert die Vergleichbarkeit von Gruppendefinitionen. Je mehr MICTIC-Aspekte eine Gruppendefinition abdeckt, umso klarer ist sie. Auch die Herausforderung, dynamische oder arbeitsteilige APT-Gruppen zu beschreiben, wird durch die Analyse und Beschreibung der genannten MICTIC-Aspekte handhabbarer.
Die Idee von MICTIC besteht darin, dass APT-Gruppen innerhalb dieser Aspekte charakteristische Eigenschaften aufweisen und dass sich Arbeitsteilung wahrscheinlich an den Grenzen dieser Aspekte ergibt. Die Aspekte benötigen nämlich unterschiedliche technische oder organisatorische Fähigkeiten, und innerhalb dieser Aufgabenbereiche gibt es mehr Abstimmungsaufwand als zwischen ihnen.
Das erweitert dann die typischen Gruppenbeschreibungen um zusätzliche Elemente: Welche der Aspekte deckt die Gruppe selbst ab? Welche kauft sie ein? Bei welchen Aspekten kooperiert sie mit anderen? Täter, die alle Aspekte selbst abdecken, werden oft als monolithisch bezeichnet. US-Anklageschriften beschreiben APT28 als eine solch monolithische Gruppe. Den Anklägern zufolge entwickelt die Gruppe ihre Schadsoftware wie X-Agent selbst, mietet Kontrollserver an und konfiguriert diese dann auch. Zudem seien auch die Operateure, die in Zielnetzwerke eindringen und dort Daten stehlen, Teil der Einheit.
Ein kontrastierendes Beispiel ist die Gruppe Sandcat, die laut Analysen der Sicherheitsfirma Kaspersky den Aspekt Malware ausgelagert und Exploits und Trojaner von HackingTeam eingekauft hat. Die Kontrollserver administrierten sie jedoch selbst und führten auch die Operationen selbst durch. Andere Gruppen sollen nicht nur Malware von Firmen wie NSO einkaufen, sondern haben laut Citizenlab auch das Aufsetzen und Betreiben der Kontrollserver von diesen Dienstleistern durchführen lassen.
Diese Merkmale sind wichtig, um unterschiedliche Kunden dieser Dienstleister nicht durch Gemeinsamkeiten bei den Aspekten Malware, Infrastruktur und Kontrollserver in denselben Topf zu werfen. Stattdessen müssen in diesen Fällen Unterschiede bei der Arbeit der Operateure beim Ausbreiten in internen Netzwerken und bei der Auswahl der Ziele gefunden werden. Die jeweilige Spezialisierung beziehungsweise In-Anspruchnahme von Diensten Dritter werden dann im Idealfall Teil der Gruppenbeschreibung.
Mehr Struktur-Informationen
Wünschenswert wäre es, wenn sich in APT-Berichten unterschiedliche Kategorien von APT-Gruppen durchsetzen würden. So können Gruppen dadurch charakterisiert werden, welche Aspekte sie selbst abdecken, welche sie einkaufen und bei welchen sie dynamisch mit anderen kooperieren. Neben den "monolithischen Gruppen", die alles selbst abdecken, gibt es dann zum Beispiel die "Malware-Entwickler", die "Freelance Operateure", die wie oben beschrieben von einem Auftraggeber Malware und ein Ziel vorgegeben bekommen, und den oft auch "Quartermaster" genannten "Orchestrator", der je nach Situation und Ziel unterschiedliche Freelancer und Auftragnehmer koordiniert.
(Bild: Inspiriert durch Denis Barbulat)
Im eingangs erwähnten SolarWinds-Fall ist ein mögliches Szenario, dass ein Team zunächst Zugang zu der Entwicklungsumgebung erlangt hat, dann einen Dienstleister beauftragte, um die Hintertür zu programmieren, und ein weiteres Team später die Hintertüren bei ausgewählten Kunden von SolarWinds genutzt hat. Natürlich kann dies alles auch von einer einzigen, monolithischen Gruppe durchgeführt worden sein. Wir brauchen aber analytischen Konzepte wie MICTIC und die Gruppen-Kategorien, um anhand von Daten zwischen diesen Szenarien unterscheiden zu können.
(ju)
