Computerspionage

Cybersöldner

Staaten als Angreifer verfügen über viel Geld, bestens ausgebildete Mitarbeiter und operieren oft unter falscher Flagge.

Was unterscheidet den Angriff eines „klassischen“ Cyberkriminellen von Cyberspionage? Christian Funk, Leiter der deutschen Abteilung von Kasperskys Global Research and Analysis Team, weiß die Antwort: „Cybercrime ist punktuell, bei Cyberspionage wird versucht, möglichst lange Daten abzuschöpfen.“ IT-Experten sprechen dabei von einem Advanced Persistent Threat, kurz APT, bei dem der Angreifer zielgerichtet vorgeht und einen hohen Aufwand auf sich nimmt, um in die IT-Struktur seines Opfers einzudringen, dort unentdeckt zu bleiben und über einen längeren Zeitraum hindurch sensible Informationen auszuspähen.
Dass man für eine derart komplexe Operation enorme Ressourcen benö­tigt, ist klar. Leisten können sich das nur große Konzerne und Nachrichtendienste, die von ihren Regierungen mit den entsprechenden Mitteln ausgestattet werden. Darunter finden sich auch die Dienste mancher kleinerer Staaten, die in der Weltpolitik mitmischen wollen. So hat Nordkorea wiederholt mit massiven Cyberattacken Schlagzeilen gemacht – wobei nicht immer die üblichen Verdächtigen tatsächlich für ihnen zugeschriebene Angriffe verantwortlich sind; aber dazu später.

Top Player. Funk unterscheidet drei Kategorien von Akteuren. An ers­ter Stelle stehen die „Top Player“, die auf beinahe unbegrenzte Finanzmittel zurückgreifen können und ein Heer an bestens ausgebildeten Mitarbeitern beschäftigten, zum Teil aus dem militärischen Bereich. Sie haben die Möglichkeit, Einfluss auf die Gesetzgebung ihres Landes zu nehmen und diese – insbesondere in Bezug auf Datenschutz – für ihre Zwecke zu beeinflussen. Weiters punkten sie durch direkte Zugriffsmöglichkeiten auf die Infrastruktur des Internets und durch gute Beziehungen in den Bereichen Politik und Wirtschaft.
Bei der „Middle Class“ handelt es sich um Akteure, deren Ressourcen und Handlungsspielräume weniger umfangreich sind als die der Top Player, aber immer noch ausreichen, um selbst ausgeklügelte Spionageattacken zu planen und durchzuführen. Im Unterschied dazu sind drittklassige Akteure darauf angewiesen, Leistungen zuzukaufen: „Cyber-Söldner“ werden von Staaten rekrutiert, um Auftragsarbeiten im Bereich der Cyberspionage zu übernehmen. Welche Arten von Schadsoftware derartige Anbieter zu welchen Preisen im Sortiment haben und wer zu den Kunden zählt, wurde öffentlich, als einer dieser zweifelhaften Dienstleister 2016 selbst gehackt wurde: das italienische „Hacking Team“.
Bei gezielten Spionageattacken ziehen die Angreifer alle Register des Social Engineerings, um sicher zu gehen, dass der Adressat tatsächlich den Anhang einer Spearphishing-Mail öffnet oder den Link zu einer Web-Site mit Schadsoftware anklickt. Funk bringt ein konkretes Beispiel, bei dem sich der Absender der E-Mail den in gewissen Kreisen verbreiteten Hang zu Luxuswagen zunutze machte: Die Adressaten erhielten das – fiktive – Angebot, Fahrzeuge aus dem Botschaftsbereich günstig zu erwerben, die nur wenige Kilometer gefahren waren.

Ziele in Österreich. Ziele von Cyberspionage sind Behörden, kritische IT-Infrastrukturen, Finanzdienstleister sowie private Unternehmen mit Technologievorsprung. Dazu können auch mittelständische Betriebe zählen, so Funk, wenn sie „technologisch die Speerspitze ihrer Nische“ darstellen. Österreich ist, was Cyberspionage angeht, keineswegs eine Insel der Seligen; heimische Unternehmen haben – auch wenn sie das aus nachvollziehbaren Gründen nicht an die große Glocke hängen – immer wieder mit einschlägigen Angriffen zu kämpfen.
Mit einigen dieser Fälle der letzten Jahre befasste sich auch Kaspersky. Etwa mit Attacken der Hackergruppe „Wild Neutron“, auch als „Morpho“ bekannt, die neben Branchengrößen wie Apple, Facebook, Twitter und Microsoft österreichische Firmen im Visier hatte. Ab 2013 hackte Wild Neutron vor allem Investmentgesellschaften, große Anwaltskanzleien, Unternehmen im Bitcoin-Umfeld, in der Immobilienbranche und im Gesundheitsbereich. Bei dieser Hackergruppe vermutete Kaspersky keinen staatlichen Hintergrund.
2014 entdeckte man ein besonders komplexes Schadprogramm zur Cyberspionage, das seit 2008 Informationen von Regierungen, Forschungsinstituten und Unternehmen ausgespäht hatte. „Regin“ wurde über infizierte USB-Sticks oder bestochene Mitarbeiter in die IT-Netzwerke eingeschleust, wo es oft über Jahre hinweg aktiv war, ohne aufzufallen. In Österreich zählte unter anderem die Internationale Atomenergiebehörde mit Sitz in Wien zu den Opfern. „Regin“ war angeblich vom amerikanischen Geheimdienst NSA entwickelt und von diesem sowie vom britischen Geheimdienst GCHQ eingesetzt worden.

Eigenheiten. Insgesamt hat Kaspersky bisher über hundert Angreifer identifiziert. „Wir analysieren, von welchen Servern die Schadsoftware heruntergeladen wird und wo die abgesaugten Daten landen. Die Domains werden über einen längeren Zeitraum hindurch beobachtet. Dabei suchen wir nach den Eigenheiten eines Akteurs, achten z. B. auf Sprachfragmente oder auf die Uhrzeit als Hinweis auf eine Zeitzone“, beschreibt Funk. Aber gerade diese Eigenheiten können auch von einer anderen Hackergruppe erkannt und nachgeahmt werden, um gezielt eine falsche Fährte zu legen.
Das war laut Kaspersky auch bei dem Hackerangriff auf den Übertragungs-Server bei der Eröffnungsfeier der Olympischen Winterspiele heuer in Südkorea der Fall. Während zuerst Nordkorea verdächtigt wurde, ging man zwei Wochen später, basierend auf Angaben von US-Geheimdienstmitarbeitern, von Angreifern aus Russland aus. Die Hinweise auf den ursprünglich vermuteten Urheber erscheinen dann doch so offensichtlich, dass sie als „false flag“ eingestuft wurden. Außerdem hatte der neue Verdächtige ein Motiv: Rache für den Ausschluss russischer Athleten nach Dopingvorwürfen.

Open Source Code. Eigenheiten von Akteuren fallen dann weitgehend weg, wenn sich diese einer Open­Source-Software bedienen, was in den letzten Jahren immer häufiger vorkommt. „Der Code ist von sehr hoher Qualität – und Analysten können nur schwer nachvollziehen, wer hinter dem Angriff steckt“, nennt Funk die Vorteile für den Angreifer.
Eine weitere neue Entwicklung, die Kaspersky im Bereich der Cyberspionage ortet, ist das Abgreifen von Daten während der Übertragung mittels Seekabels. Das bleibt wohl den ganz großen Diensten überlassen, da man dafür High-Tech-U-Boote benötigt. Die NSA soll diese zur Verfügung haben, ebenso wie ihr russischer Gegenpart.
Der Großteil der Angreifer wird allerdings auch in Zukunft die bekannten Methoden nutzen. Zur Prävention empfiehlt Funk eine Mischung einerseits von technischem Schutz mit Verschlüsselung und Firewall, andererseits von Schulungen für Mitarbeiter, damit diese keiner Spearphishing-Mail auf den Leim gehen. Ist das doch einmal passiert, hilft es, wenn eine Fehlerkultur bereits vorhanden ist: Nur ein Mitarbeiter, der nicht fürchtet, dadurch seinen Job zu verlieren, wird den Vorfall gleich dem Administrator melden, anstatt seinen Fehler zu verheimlichen.
Rosemarie Pexa