Microsoft gibt Cybergangstern neue Namen
Die Sicherheitsabteilung bei Microsoft hat sich neue Namen fĂĽr cyberkriminelle Gruppen ausgedacht. Einige Angreifergruppen bleiben jedoch unberĂĽcksichtigt.
Microsoft hat ein neues Namensschema fĂĽr die Bezeichnung von internationalen Sicherheitsbedrohungen vorgestellt. Zwar haben die Redmonder neben wohlklingenden Namen auch hĂĽbsche Icons ausgeheckt, zu bestimmten Angreifergruppen herrscht jedoch Schweigen.
Alkalimetall wird Waldsturm
Microsofts Sicherheitsteam hat einen neuen Namensraum zur Bezeichnung von cyberkriminellen Gruppen entwickelt. Wo zuvor ein Wildwuchs aus chemischen Elementen, Bäumen und Vulkanen herrschte, verwenden die Sicherheitsexperten nun Wetterphänomene, kombiniert mit einzigartigen Zusatzbezeichnungen. Dabei unterscheiden die Redmonder zwischen regierungstreuen Akteuren aus verschiedenen Staaten, aber auch Angreifern aus dem privaten Sektor und rein finanziell motivierten Cybergangstern.
Sobald ein neuer Malware-Typus oder ein größerer Cyber-Angriff auftreten, geht in der Sicherheits-Community die Suche nach dem Verantwortlichen los. Da Angreifer selten öffentlich auftreten – das professionelle Auftreten inklusive Logo-Branding von LockBit ist durchaus unüblich – ist der Ursprung einer Bedrohung oft unklar. Die Namen für "Threat Actors", also Gruppen oder Einzeltäter, vergibt also oft der Entdecker, basierend auf Codeschnipseln oder anderen Merkmalen des Angriffs. Vielfach wählen Sicherheitsspezialisten lediglich die Abkürzung "APT" (Advanced Persistant Threat), gefolgt von einer durchlaufenden Nummer, um ihre Gegner auseinanderhalten zu können. Aber auch blumigere Bezeichnungen sind üblich – so trägt die nordkoreanische Cybergang "Lazarus" neben ihrem biblischen Namen auch die Bezeichnung "APT38" und das Pseudonym "Hidden Cobra".
Im neuen Namensschema wird beispielsweise aus der russischen Gruppe "Fancy Bear", die bisher bei Microsoft den Namen "Strontium" trug, in "Forest Blizzard" umbenannt, die Nordkoreaner von Lazarus (bisheriger Name "Zinc") heißen nun "Diamond Sleet". Auch fürs Auge haben sich die Designer des Softwareherstellers etwas ausgedacht: Zu jedem Wetterphänomen gibt es ein passendes Icon, das auf einen Blick die Zuordnung zu einer Angreifergruppe ermöglicht. Um Anwendern und Security-Experten die Umgewöhnung zu erleichtern, gibt es eine Übersetzungstabelle für die bekanntesten Cybergangs.
Mit diesem Namensschema stellt Microsoft erstmals einen direkten Bezug zwischen Angreifergruppen und deren Nationalität her. Andere Anbieter von Sicherheitslösungen wie etwa CrowdStrike gehen ähnlich vor und verweisen damit auch auf eine oftmals politische und militärische Dimension von Cyber-Angriffen.
Der Elefant im Raum
Dabei sind die Redmonder jedoch gleich auf mehreren Augen blind. Staatlich gelenkte Angreifer aus "freundlichen" Staaten wie etwa den USA, Israel und dem Vereinigten Königreich erhalten keine Bezeichner. Dabei ist seit langem bekannt, dass Threat Actors dieser Staaten gezielte Angriffskampagnen durchführen und auch vor Angriffen auf befreundete Nationen nicht zurückschrecken.
Einheitliche Nomenklaturen für Sicherheitsbedrohungen sind kein neues Konzept – bereits 2005 hatte das US-CERT federführend im CME-Projekt agiert, das für mehr Übersicht bei der Benennung von Malware dienen sollte.
(cku)