„Red October“-Malware wirft ein Schlaglicht auf die schwierige Suche nach den Urhebern von Angriffen

Einige Module von Red October scheinen von russischsprachigen Programmierern zu stammen, andere dagegen von chinesischen Hackern.

Die von Kaspersky Labs am 14. Januar aufgedeckte Malware-Kampagne „Red October“ enthielt selbst einige Hinweise auf die Quelle des dabei eingesetzten ungewöhnlich komplexen Botnets. Einige ihrer Module scheinen von russischsprachigen Programmierern zu stammen, während die auf Microsoft Word und Excel abzielenden Exploits von chinesischen Hackern programmiert sein dürften. Das geht aus Analysen von Kaspersky hervor. Vorerst aber ist das eher Spekulation – und zeigt, wie schwierig es ist, solche Angriffe exakt ihren Urhebern zuzuschreiben. Einige Experten sind sogar der Ansicht, dass solche Versuche vollkommen sinnlos sind.

Laut Jesus Oquendo, leitender Sicherheitstechniker bei E-Fensive Security Strategies, sind die meisten Verfahren für eine solche Zuschreibung mit Schwächen behaftet, egal was ihre Anhänger sagen. Oquendo hat unter anderem als Dozent im Kurs Defensive Cyberspace Operations Engineer der Cyber Security Forum Initiative (CSFI) unterrichtet.

Nach seinen Worten werden bei der Suche nach der Quelle eines Angriffs Elemente wie IP-Adressen, Schlüsselwort-Suchen oder Hinweise im Programm-Code verwendet – und häufig werde auch einfach geraten, was Experten dann als „Inferenz“ bezeichnen. „Genau das gibt es, nicht mehr und nicht weniger. Es existieren einfach keine anderen zuverlässigen Mittel für eine Zuschreibung“, so Oquendo.

Das Problem dabei: Diese Elemente lassen sich von geschickten Angreifern leicht manipulieren, wenn sie Verfolger auf eine falsche Spur bringen wollen. In vielen Fällen geschieht dies sogar gezielt, um eine unschuldige dritte Partei in Verdacht zu bringen.

„Die Probleme für Ermittler sind größer als die für ihre Gegner“, sagt auch der Netzwerk-Sicherheitsexperte Scot Terban, der auf Computer-Forensik und Techniken für Open Source Intelligence (OSINT) spezialisiert ist. „Angreifer wollen so viel Abstand wie möglich zwischen sich und ihr Verbrechen bringen und versuchen, Leute in die Irre zu führen, die aufklären wollen, wer was getan hat.“

Analyse von IP-Adressen

Die meisten Ermittler analysieren die IP-Adressen im Zusammenhang mit einem Angriff. Doch geschickte Angreifer nutzen meist nach Belieben unterschiedliche fremde Netzwerke, in die sie eingedrungen sind. „Wenn Sie in Ihrem Log zu einem Angriff auf Ihre Ressourcen eine bestimmte IP-Adresse finden, kann das Teil eines größeren Spiels sein. Vielleicht sehen Sie nur eine kompromittierte Maschine, die im Auftrag einer anderen handelt, die ebenfalls im Auftrag einer anderen handelt“, erklärt Terban.

Oquendo stimmt dem zu: IP-Analysen könnten Informationen über die Struktur eines Angriffs erbringen, helfen aber wenig bei der Zuschreibung. „Die meisten Angreifer – vor allem technisch sehr geschickte – sind gut darin, unter dem Radar zu fliegen. Wenn ein Angreifer wie bei Red October so gut ist, dass er fünf Jahre lang unerkannt bleibt, dann kann man nicht im Ernst glauben, er ließe sich anhand von Netz-Blöcken oder IP-Adressen identifizieren, die Ermittler in den Logs finden“, erläutert er.

Um das Problem noch schwieriger zu machen, leiten geschickte Angreifer ihre Attacken oft durch Länder, die dafür bekannt sind, bei internationalen Ermittlungen nicht zu kooperieren. „Oftmals sind Server und Systeme in anderen Ländern als Zwischenstationen beteiligt. Es ist schwierig, hier Durchsuchungsbefehle zu bekommen, und selbst wenn man das schafft, bekommt man nicht immer die Log-Dateien“, sagt Terban.

Für Angreifer sei es sehr sinnvoll, Länder zu wählen, die fast keinen rechtlichen Austausch mit anderen betreiben und sie politisch ablehnen, bestätigt Oquendo. Denn das mache es sehr unwahrscheinlich, dass die Regierungen zusammen daran arbeiten, solche Verbrechen aufzuklären.

Keyword-Suchen und lexikalische Analysen

Auch mit lexikalischen Analysen und Schlüsselwort-Suchen nach Terminologie oder anderen linguistischen Hinweisen auf bestimmte Personen oder Organisationen arbeiten die Ermittler. Bei Red October zum Beispiel wurde auf diese Weise russischer Slang im Programm-Code gefunden. Allerdings könnte er auch gezielt dort platziert worden sein, um Ermittler in die Irre zu führen.

„Wenn ein Forscher zum Beispiel etwas wie „Red Dragon“ sieht, wird er es wahrscheinlich mit China assoziieren. Dabei könnte der Autor solcher Malware ebenso gut ein Fan des Filmes „Red Dragon“ sein oder einfach versuchen, Verwirrung zu stiften. Aber manche Anbieter und auch die Medien springen voll darauf an und erklären, dass die Quelle auf jeden Fall China war“, erklärt Oquendo.

Eine weitere Technik der Ermittler ist das Einsammeln offen verfügbarer Informationen, also von Open Source Intelligence. Diese stammen aus Sozialen Netzwerken, Diskussionsforen und Internet-Chats, und überall könnte über die Angriffe geplaudert werden. „Indem man offene Informationsquellen überwacht wie eine kleine Fliege an der Wand, kann man mitbekommen, wer wen warum angreift“, sagt Terban. Natürlich lassen sich aber auch diese Medien wieder von Angreifern manipulieren, um von sich abzulenken und Dritte in Verdacht zu bringen.

Inferenz und Intuition

Entscheidungsträger brauchen nicht unbedingt eine exakte Zuschreibung, um aktiv zu werden – fast nie gibt es zu 100 Prozent sichere Informationen, aber trotzdem muss entschieden werden. Zunehmend laufen Zuschreibungsversuche auf qualifiziertes Raten hinaus, sagt Terban: „Allmählich werden feinere Ansätze verwendet, bei denen die Zuschreibung nicht auf robusten Beweisen basiert, sondern eher auf Inferenz und Intuition.“

Ist die Zuschreibung wichtig?

Wenn die Zuschreibung so schwierig ist, warum wird dann so viel Wert auf sie gelegt? In den Augen mancher soll sie die Grundlage für Vergeltungsaktionen legen, doch Oquendo sieht darin auch „eine finanzielle und wirtschaftliche Seite mit Propaganda der Antivirus-Anbieter“. Aus Sicht von Regierungen wiederum sei es verführerisch, Angriffe einem beliebigen Feind zur Last zu legen: „Das ist ein ganz logisches Vorgehen. Allerdings erfolgen die Festlegungen dann ohnehin nicht technisch, also braucht man hier gar keine 'Experten' mit ihren falschen Zuschreibungen“.

Oder, wie es Terban formuliert: „Wir halten uns zu viel mit Zuschreibung auf. Wir sollten erst unser eigenes Haus in Ordnung bringen, bevor wir daran denken, uns einen Gegner vorzunehmen, der uns Daten gestohlen hat“.

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close