Mathias Fuchs

Durch die relativ schnelle Entdeckung des Angriffs ergibt sich ein größerer Handlungsspielraum als wenn der Breach später entdeckt wird, aber die Regel ist dies leider nicht.

Ein warmer Sommertag, es ist gerade Mittag in Shanghai. In einem dunklen Raum in einem unauffälligen Gebäude sitzt ein Hacker und durchforstet das Netzwerk eines Konzerns, der eine sechsstellige Zahl an Endpunkten betreibt. Die Ziele hat der Angreifer von „oben“ erhalten, es ist nicht sein einziges „Projekt“, an dem er gerade arbeitet, aber sein delikatestes. Schauen wir uns das Protokoll eines Cyberangriffs auf einen internationalen Großkonzern vom initialen Einbruch über eine bereits damals bekannte Struts-2-Lücke bis zur Entfernung des Angreifers aus dem Unternehmensnetz an.

„The breach is inevitable – Ein Sicherheitsvorfall ist unvermeidbar“, ist ein geeigneter Satz, um die aktuelle Situation der IT-Sicherheit zu beschreiben. Lapidar zusammengefasst kann man davon ausgehen, dass jedes Unternehmen, das marktfähig ist, auch über Informationen verfügt, die interessant für Dritte sind. In logischer Konsequenz steht damit auch jedes Unternehmen im Fadenkreuz von Cyberkriminellen und ausgeklügelten Angriffen.

Jahrelang lag der Hauptfokus im Bereich IT-Security auf Protect, also darauf, die eigenen Assets zu beschützen und Sicherheitsvorfälle zu verhindern. Ein vollständiger Schutz ist in Anbetracht der heutigen IT-Nutzung unrealistisch, wodurch vor einigen Jahren ein Paradigmenwechsel von Protect zu Detect begonnen hat. Auch wenn sich nach wie vor viele Unternehmen erst in einer Umbauphase befinden, wird immer klarer, dass die Frage nicht mehr die ist, ob es einen Sicherheitsvorfall gibt, sondern wann. Wie groß der Schaden für die Angriffsopfer ist, ergibt sich meist aus der Zeit zwischen initialem Einbruch und dessen Entdeckung und Bereinigung. Nach aktuellen Untersuchungen verschiedener Unternehmen dauert das immer noch wesentlich länger als die Zeit, die Angreifer benötigen, um signifikant Schaden zu verursachen.
Üblicherweise verlaufen Angriffe in verschiedenen Phasen, die die von Lockheed Martin postulierte Cyber Kill Chain beschreibt. Kurz zusammengefasst deckt die Cyber Kill Chain alle Schritte von der Aufklärung vor dem Angriff (Reconnaissance) bis zur Exfiltration von Daten aus dem Zielnetzwerk (Actions on Objectives) ab.

From China with love – der Angriffsvektor

Im hier beschriebenen Fall handelte es sich höchstwahrscheinlich um eine chinesische Hackergruppe, weil sehr spezielle Backdoors eingesetzt wurden (z. B. PlugX/SOGU). Selbstverständlich ist China nicht die einzige Nation, die auf militärischem Level Hacker einsetzt, um ihre Ziele zu erreichen, aber eine der aktiveren. Gut trainierte Angreifergruppen zeichnen sich unter anderem dadurch aus, dass sie sich perfekt auf Angriffe vorbereiten. Dabei ist es nicht unüblich, dass die vorbereitenden Phasen wie Reconnaissance und Weaponization Wochen oder sogar Monate in Anspruch nehmen. Das resultiert dann darin, dass die Angreifer tendenziell die Netze der Opfer wesentlich besser kennen als die Betreiber selbst. Auch in diesem Fall verzichtete der Angreifer darauf, die gut geschützte Eingangstür aufzubrechen, vielmehr entdeckte er eine Seitentür, die dem Betreiber des Netzes zum Zeitpunkt des Angriffs wohl nicht bekannt war.

Den vollständigen Artikel lesen Sie in der Ausgabe:

Entwickler Magazin Spezial Vol.16: Security - "Security"

Alle Infos zum Heft
579842032Protokoll einer Cyberattacke
X
- Gib Deinen Standort ein -
- or -