Web Cyberfahnder
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Februar 2011
13.02.2011
     
zurück zum Verweis zur nächsten Überschrift Bestandsaufnahmen
  Neue und unbekannte Berichte von McAfee zur Cybercrime, IT-Sicherheit und zum Cyberwar
11-02-27 


Motiv aus "In the Crossfire" (24)

Schon der Bericht von über das dritte Quartal 2010 (1) ließ sich überschreiben mit Das Jahr der gezielten Angriffe. Nach zwei Monaten Stille meldet sich McAfee jetzt gleich mit mehreren Berichten zur Lage der Internetsicherheit. Dazu gehört auch der vierte Quartalsbericht für 2010, der die gemeldeten Trends bestätigt und untermauert.

Die Bedrohungen aus dem 4. Quartal 2010 bergen keine echten Überraschungen. Die Tendenzen aus der nahen Vergangenheit setzen sich fort. Was bleibt, ist eine stumpfe Bestandsaufnahme, bei der zu hoffen ist, dass nicht auch wir, die Beobachter, abstumpfen.

Innovativ sind McAfees Berichte über Night Dragon und Aurora. Beide beweisen, dass neben den dummen zerstörerischen Angriffen per DDoS längst neue und intellektuelle Angriffsformen entstanden sind, die sich ganz gezielt und wirklich gefährlich gegen ein ausgesuchtes Opfer oder eine bestimmte wirtschaftliche Branche richten.

Zwei Studien widmen sich dem Schutz Kritischer Infrastrukturen und beide sind wichtig, weil sie die Grundlagen für den Erklärungsansatz schaffen, dass die Cybercrime zunehmend eskaliert und sich zum Cyberwar entwickeln kann.

Ich bin zurückhaltender geworden, wenn es um den Begriff "Cyberwar" geht. Defacement gegen einzelne gehasste Webseiten und Hacktivismus gegen gegnerische Portale gehören sicherlich noch nicht dazu. Der letzte Quartalsbericht gibt jedoch so viele Hacktivismus-Beispiele, dass sie in ihrer Gesamtheit ein alarmierendes Bild geben. Die Situation verschärft sich. Wer glaubt, dass sich nur Militärs am Cyberwar beteiligen, gehört in seinem Elfenbeinturm einbetoniert!
 

Bedrohungen im 4. Quartal 2010
Night Dragon
Ein gutes Jahrzehnt für Internetkriminalität
  Schwachstellen
  Vorausschau
  Fazit
Schutz Kritischer Infrastrukturen
Kritische Infrastrukturen im Kreuzfeuer
Aurora

Ich verstehe die Öffentlichkeitsarbeit von nicht. Das Unternehmen verfügt über so hervorragende Leute wie Paget und Muttik  und insgesamt über ein wahnsinniges Wissen. Dieses Wissen wird verteilt, aber still und unbemerkt. Es bleibt dadurch unwirksam.

Nicht nur bei McAfee, sondern auch bei Symantec, Panda, Kasperski und GData wird Wissen über die aktuellen Strukturen der Cybercrime gesammelt und vereinzelt veröffentlicht. Das geschieht aber mehr unsystematisch und wirkt zufällig und versteckt. Wenn ich nach solchen Veröffentlichungen nicht gezielt suchen würde, blieben sie mir meistens unbemerkt. Das zeigen auch die hier vorgestellten Berichte über Aurora und dem Schutz Kritischer Infrastrukturen.

Ich habe ein gewisses Verständnis dafür, wenn Studien nur in englischer Sprache erscheinen. Der deutschsprachige Raum dürfte allerdings so groß und wichtig sein, dass zentrale Studien wie die von Paget (11) auch auf Deutsch erscheinen und ohne dass ich sie in eigenen Worten nacherzählen müsste.

Interessant wäre ein Portal, dass ich ungeachtet der Herkunft von Studien ihrer Präsentation und Verbreitung widmet. Obwohl, das gibt es bereits: Der Cyberfahnder.
  

zurück zum Verweis Bedrohungen im 4. Quartal 2010
 
Mehr als 20 Millionen neue Malware-Varianten wurden im vergangenen Jahr erfasst. Das entspricht fast 55.000 Malware-Bedrohungen pro Tag. Das sind mehr Bedrohungen als 2009, mehr als 2008 und erheblich mehr als 2007. Von den fast 55 Millionen Malware-Varianten, die McAfee Labs identifizierte und vor denen es Schutz bot, wurden 36 Prozent im Jahr 2010 geschrieben! (2), S. 7
 

 
Im vierten Quartal 2010 (2) setzen sich die gezielten Angriffe fort und wurden jetzt besonders auch mobile Endgeräte, allen voran Smartphones (3) mit dem Betriebssystem Android angegriffen. Während das Spam-Aufkommen auf den Stand von 2007 zurückging (4), nahmen die Malware-Varianten extrem zu (5), wie 2009 vorausgesagt, unter häufiger Ausnutzung von Adobes Portable Document Format - PDF (6). Die Besonderheiten des Quartals sind hingegen, wer hätte das vermutet, Hacktivismus, WikiLeaks und die Hacktivistengruppe Anonymous (7).

Cutwail und Bobax waren 2010 die aktivsten Botnetze (8), wobei Cutwail die Führung übernommen hat. In vielen Teilen der Welt war Rustock am weitesten verbreitet. Das gilt auch für die Malware im Übrigen: Ihre Form variiert in den verschiedenen Weltregionen: Nutzer haben Vorlieben und Abneigungen, die mit ihrer Kultur und ihrem Land zusammenhängen. Internetkriminelle sind sich dieser Tatsache bewusst und greifen Nutzer daher in verschiedenen Ländern mit unterschiedlichen Methoden an. (S. 6, 9)

Unter den Top 100 der häufigsten täglichen Suchbegriffe führten 51 Prozent zu böswilligen Webseiten (S. 14). Das ist ein leichter Rückgang gegenüber dem dritten Quartal.

Im vergangenen Quartal erfolgten mindestens 7 große Hacktivismus-Kampagnen (S. 19):

Anonymous: DDoS gegen vier große Urheberrechtsschutz-Organisationen und Anbieter von Erotikfilmen

Survival International: DDoS gegen Botswana wegen schwersten Menschenrechtsverletzungen

Vietnam: DDoS gegen regierungskritische Blogger

China: Hacking gegen Südkorea, um vertrauliche Informationen vom Auswärtigen Dienst und von
Sicherheitsbeauftragten zu erlangen
 

Myanmar: DDoS gegen Zugangsprovider im zeitlichen Zusammenhang mit den Wahlen am 07.11.2010

China: DDoS gegen Phayul.com, ein führendes Nachrichtenportal der tibetanische Diaspora

WikiLeaks: Gegenseitige DDoS-Angriffe gegen Gegner und Unterstützer

Februar 2011, Anonymous: DDoS zur Unterstützung des Widerstandes in Ägypten (9)

Fahndungserfolge im vierten Quartal 2010 (2) (S. 19): Die russische Polizei verhaftete 50 Verdächtige, die 20 Millionen Rubel bei 17 Banken erbeutet haben sollen, mehrere Mitglieder einer Gruppe, die Geldautomaten mit Viren infizierten, und gegen einen der weltweit größten Spammer, Igor Gusev, wurde ein Strafverfahren eingeleitet. Die niederländischen Kriminalpolizei löste das Bredolab-Botnet auf. Deren mutmaßlicher Betreiber wurde in Armenien festgenommen.

In den USA beschlagnahmte die Behörde zum Schutz von Urheberrechten (National Intellectual Property Rights Coordination Center) 82 Domänen, die nachgemachte Waren vertrieben. Beim Verkauf von lächerlichen 30 Dumps wurde der Malaysier Lin Mun Poo verhaftet. Er soll über die Daten zu 400.000 gestohlenen Kredit- und Debitkarten verfügt haben. Der vermutliche Betreiber des für Spam-Kampagnen eingesetzten Mega-D-Botnetzes wurde in Las Vegas verhaftet.
 

zurück zum Verweis Night Dragon

 


Großansicht
, S. 3

 
In einem nur in englischer Sprache verfügbaren White Paper berichtet McAfee über einen seit November 2009 offenbar von China aus geführten, koordinierten und gezielten Cyberangriff gegen globale Öl-, Energie- und petrochemische Unternehmen, dem McAfee den Namen Night Dragon gegeben hat (10). Mit den Angriffen sollen vor Allem Produktions- und Förderdaten, Informationen über Vorräte, Vertragsangebote und Projektkalkulationen erlangt werden. Das Beispiel belegt, dass nicht nur die zerstörerischen DDoS-Angriffe gezielter werden, sondern auch die Hacking-Angriffe, die der Informationsbeschaffung und der Zerstörung dienen.

Bei dem Angriff geht es darum, den Fernzugriff auf die Computersysteme der angegriffenen Unternehmen mit entsprechenden Werkzeugen - Remote Access Tools - RAT - zu erlangen. Dazu werden Schwachstellen im Betriebssystem von Microsoft Windows und besonders in der Nutzerverwaltung und Rechtesteuerung - Active Directory - missbraucht.

Zunächst wird der Webserver des Unternehmens mit SQL-Injection-Methoden angegriffen. Dieser Webserver befindet sich noch außerhalb der engeren Schutzzone und dient den Kundenkontakten. Aber auch dazu muss er auf Kundendatenbanken, Preislisten und andere interne Informationen zugreifen. Das macht das Gesamtsystem anfällig.

Die SQL-Injektion ist ein einfacher Kommando-String zur Steuerung von Datenbankfunktionen. Gelingt es damit, die Kontrolle über den Webserver zu erlangen, können Hackerwerkzeuge nachgeladen, Kontodaten und Zugangscodes ausgespäht oder protokolliert werden. Damit steht der Weg ins Innere des Unternehmensnetzes, alle Server und Desktoprechner offen.

Der Drache nutzt dazu verseuchte Webseiten, die der "eigene" Webserver den Mitarbeitern im Innern sendet, und E-Mail-Anhänge, die er auf dem firmeneigenen E-Mail-Server präpariert.

Um den Fernzugriff vom Command and Control-Server - C&C - des Angreifers durchzulassen, müssen nämlich die Sicherheitseinstellungen im Internet Explorer der firmeninternen Anwender und im Proxy-Server des Unternehmens abgeschaltet werden.
 


Der Night Dragon war offenbar erfolgreich. Über in China gehostete C&C-Server und Hostspeicher in den USA und den Niederlanden gelang der Eingriff gegen Unternehmen und gegen Führungskräfte in Kasachstan, Taiwan, Griechenland und den USA. Erlangt wurden neben sensiblen Unternehmensdaten auch urheberrechtlich geschützte und vertrauliche Informationen.

Mit neu entwickelten und angepassten Software-Werkzeugen schaffte es der Drache, Firewalls und VPN-Tunnel zu durchdringen, um auf die Laptops der sich sicher glaubenden Mitarbeiter und Führungskräfte zu gelangen.

Das White Paper beschreibt und dokumentiert die Einzelschritte, die McAfee zur Analyse und Abwehr unternommen und entwickelt hat. Mein Überblick über die Funktionen und Wirkungen beansprucht keine Tiefe und Vollständigkeit. Dazu bin ich in der englischen Sprache viel zu ungeübt, um den Text binnen weniger Stunden völlig zu durchdringen und zu verstehen.

Das Szenario, das McAfee berichtet, ist hingegen nicht neu. Es enthält die Vorgehensweisen, die aus anderen Informationsangriffen bekannt sind. Ihre Kombination und Ballung ist jedoch einzigartig und dadurch tatsächlich neu.

Auch nicht neu, aber am Beispiel wieder aktuell, ist folgende Warnung: Sobald ein Angreifer den vollen Zugriff auf einen Rechner oder - damit verbunden - auf ein ganzes Rechnernetz erlangt, kann er nicht nur die gespeicherten vertraulichen Informationen stehlen, löschen oder durch falsche ersetzen, sondern auch computergestützte Anlagensteuerungen manipulieren. Er kann Kraftwerke, Förderbänder und Klimaanlagen steuern und abschalten und damit ein sehr reales Chaos veranstalten.

McAfees Bericht deutet das nur an, aber ich habe anhand der Wortwahl, der Textstruktur und den Auslassungen genau den Eindruck, dass das geschehen ist.
 

zurück zum Verweis Ein gutes Jahrzehnt für Internetkriminalität
 

Kochheim, Cybercrime und Cyberwar
, November 2010
 

 
Ausgehend von Pagets White Paper "Cybercrime and Hacktivism" (11) aus dem März 2010 und eigenen Recherchen habe ich im November 2010 "Eine kurze Geschichte der Cybercrime" (12) abgeleitet. Die Zeit seit dem Jahr 2000 habe ich überschrieben mit: Kommerzielles Internet und organisierte Cybercrime (S. 17). Dieses Jahrzehnt hebt sich von den Entwicklungen aus der Vergangenheit dadurch ab, dass sich die Methoden und Formen der Cybercrime zunehmend professionalisiert, die Täter sich organisiert und sich die verschiedenen Formen der Kriminalität verwachsen haben (13).

Angereichert mit vielen Beispielen widmet sich jetzt auch McAfee dem zurückliegenden Jahrzehnt (14) und macht zunächst eine Bestandsaufnahme:

Die Zeit bis 2003 war geprägt von vereinzelten DDoS-Angriffen und Malware wurde bevorzugt per E-Mails verteilt, die mit einem Link zur Downloadseite des Angreifers versehen war. Daneben entstanden die Makroviren, die in E-Mail-Anhängen eingebettet waren und noch heute beliebt sind. Die Angriffe waren lästig, brachten den Tätern aber noch nicht das große Geld.

2004 und 2005 entstand die Adware, also lästige kommerzielle Werbung in Pop-ups, die über Downloads und Programmzusätzen verteilt wurde, und die Spyware, mit der Tastatureingaben und persönliche Daten ausgespäht wurden. Die Rootkits stellten Werkzeuge zur Tarnung von eingenisteter Malware und Abwehr von Sicherungen zur Verfügung, so dass damit verstärkt Onlinebanking-Daten ausgespäht werden und die ersten Botnetze entstehen konnten.

Zwischen 2006 und 2008 begannen sich die Täter verstärkt zu organisieren: Einige hatten sogar eine Mafia-ähnliche Struktur mit bösartigen Hackern, Programmierern und Datenverkäufern, die Managern untergeben waren, die wiederum dem Boss untergeben waren, der für die Verbreitung von Malwarebaukästen im Internet verantwortlich war (S. 5).
 

globale Sicherheitsbedrohungen, 27.07.2008;
Der Basar, 11.04.2010
Organisierte Internetverbrecher, 11.04.2010
kriminelle Programmierer, 11.04.2010
Operation Groups, 11.04.2010
Koordinatoren, 11.04.2010
Schurkenprovider, 11.04.2010

Die Bestandaufnahme bleibt an dieser Stelle etwas oberflächlich. Gemeint sind die Strukturen und Vorgehensweisen, die ich im Basar für tatgeneigte Täter zusammengefasst habe (siehe Kasten oben).

Die Zeit zwischen 2009 und 2010 überschreibt McAfee mit "Soziale Netzwerke und Manipulation" (S. 6) und spricht von "sozialer Manipulation". Dabei finden die Täter heraus, welche Themen die Internetnutzer interessieren und entwickeln dann Angriffe mit populären Betreffzeilen als Köder, um Kreditkarteninformationen und andere persönliche Informationen zu stehlen oder Malware zu verbreiten.

Zunehmend wurde auch Scareware eingesetzt, die dem Anwender vorgaukelt, dass sein PC mit einer neuen, weitgehend unbekannten Malware verseucht sei. Bestenfalls wurde ihm dafür ein teures, aber nutzloses Programm zum Kauf angeboten, schlimmstenfalls richtige Malware.

Der Begriff "soziale Manipulation" ist unglücklich gewählt. Es handelt sich um Formen des Social Engineerings und sie sollten auch als solche bezeichnet werden.
 

zurück zum Verweis Schwachstellen Vorausschau

 

 
Die abschließenden Beispiele in McAfees Bericht sind beachtlich:

seit 2004 breitete sich der auf Spam-Mails spezialisierte Wurm MyDoom’s sehr schnell aus, der verursachte Schaden durch verlangsamte IT-Systeme wird auf 38 Milliarden $ geschätzt

schon seit 2000 verbreitete der „I love you“-Wurm einen Virus, dessen Beseitigung und damit verbundenen Produktionsausfällen rund 15 Milliarden $ gekostet haben soll

Conficker verbreitete seit 2007 Keylogger und andere Spyware, um persönliche Daten auszuspähen; der Schaden wird auf 9,1 Milliarden $ geschätzt

der 2009 bekannt gewordene Stuxnet-Wurm wird als zielgerichtet und gefährlich bezeichnet; der von ihm ausgegangene Schaden ist noch unbekannt

dasselbe gilt für das seit 2007 aktive Zeus-Botnetz; die Malware ist auch darauf ausgerichtet, beim Online-Banking eingegebene Daten inklusive Passwörtern zu erfassen und persönliche Informationen <zu> erbeuten (S. 9)

Der Bericht schließt mit den verbreitetesten Cybercrime-Methoden,

der Scareware,
dem Phishing nach Onlinebanking- und anderen persönlichen Daten,
den gefälschte Webseiten,
dem Online-Partnervermittlungsbetrug (15) und
dem Vorschussbetrug nach Art der Nigeria Connection (16).
 

 
Die künftigen Schwerpunkte der Cybercrime sieht McAfee vor allen im Scamming, also dem Ausspähen persönlicher Daten durch geschickte Kontakte und gezielte Einsätze von Malware in sozialen Netzen, in den weiter verfeinerten Identitätsdiebstählen und der Verbreitung von Malware und Botnetzen auf mobilen Endgeräten.
 

Fazit

 
Der Bericht über die Internetkriminalität in den letzten 10 Jahren zeigt nicht die gewohnte Güte und Tiefe der anderen Studien, die sich mit dem Thema befassen. Das gilt besonders auch für analytischen Aussagen, für die Paget Beispiel gebend ist (17), und für die begriffliche Klarheit. Einfach nur von Mafia-ähnlichen Strukturen zu reden, ohne klar zu sagen, was gemeint ist, oder neue Begriffe wie "soziale Manipulation" einzuführen, verschleiert eher die Phänomene, weil sie aus dem Zusammenhang mit bekannten Erscheinungsformen genommen werden. Darüber hat sich nicht zuletzt Muttik an anderer Stelle aufgeregt (18).

Trotz der Kritik ist der Bericht wertvoll, weil er die von mir entwickelten Modelle bestätigt (19) und mit weiteren Beispielen untermauert. Er ist kurz und lässt sich Dank seiner angemessenen Sprache schnell erfassen und lesen.

Die Veröffentlichungspolitik von McAfee begreife ich nicht. Ganz wichtige Studien aus der Vergangenheit sind nicht mehr verfügbar () und die wirklich wichtige Studie von Paget ist nicht in deutscher Sprache erschienen (20). Man könnte den Eindruck bekommen, dass der deutsche Sprachraum von McAfees kritischen und wichtigsten Analysen frei gehalten werden soll. Warum bloß?
 

zurück zum Verweis Schutz Kritischer Infrastrukturen

 

Großansicht
(21), S. 3
 

 
Bei der Durchsicht der Bestände bei bin ich auch auf weitere Dokumente gestoßen, die mir bislang entgangen waren.

Das gilt zum Beispiel für die mehr werbende Auseinandersetzung mit Kritischen Infrastrukturen in Unternehmen (21). Als Betreiber Kritischer Infrastrukturen sieht McAfee folgende Wirtschaftszweige:

Energiewirtschaft – Stromübertragungs- und Vertriebsnetze, Öl- und Gaspipelines, Wasserverteilung und -versorgung sowie radioaktive Stoffe und Kernkraftwerke

Transportwesen – Straßen-, Schienen- und Lufttransport, ÖPNV-Netze, Logistik und Gefahrguttransporte

Staatliche und kommunale Dienste – Wassersysteme und Müllentsorgung

Prozessfertigung – Chemische und petrochemische Abfälle und Sondermüll

Informations- und Kommunikationstechnik – Telekommunikation, Fernsehen und Radio

Notdienste – Rettungsdienste, Gesundheitswesen, Feuerwehr und Polizei

Bank- und Finanzwesen - Handelssysteme, Netzwerke für automatische Verrechnung
und Geldautomatennetze

Diese Aufzählung ist fast deckungsgleich mit der der US-Air Force (22) und setzt sich damit einmal mehr von der zu engen deutschen Vorstellung ab.
 

 
Die Schutzmaßnahmen sind (23):

Echtzeitschutz. Laufende Überwachung des Datenverkehrs wegen der Zieladressen, Ports, Datenzugriffe von außen mit Firewalls und mit Virenscannern

Abtrennung und Abschirmung kritischer Infrastrukturen von verbundenen Netzwerken
  Erste Schutzstufe: die Firewall
  Zweite Schutzstufe: Intrusion Prevention (Prozessüberwachungen im internen Netz)

Kontrolle der Zugriffsberechtigungen und Netzwerkaktivitäten (siehe oben)

Schutz von Daten über kritische Infrastrukturen vor Datendiebstahl (Benutzergruppen, Zugriffsrechte, Separierung)

zuverlässiger Schutz ohne Beeinträchtigung von Verfügbarkeits-, Integritäts- und Zuverlässigkeitsanforderungen; der schwierigste Teil: Wie schafft man Performance und Verfügbarkeit bei gleichzeitiger Absicherung und Abschottung?

McAfee empfiehlt sein

Trusted Security-Modell
Ausgangspunkt ist ein „positives“ Sicherheitskonzept, bei dem alle nicht ausdrücklich zulässigen Handlungen verweigert werden. Daraufhin werden Reputationswerte auf Grundlage umfangreicher Verhaltensanalysen berechnet. Diese Kombination bietet die präziseste Echtzeit-Gefahrenabwehr auf dem Markt.

Die Eigenwerbung ist angesichts der zutreffenden Problembeschreibungen lässlich.
 

zurück zum Verweis Kritische Infrastrukturen im Kreuzfeuer
 
 

 
Den Faden nimmt eine Studie aus dem Dezember 2009 auf: Im Kreuzfeuer (24). Die drei Autoren setzen damit den Startpunkt in den Veröffentlichungen von McAfee für die Betrachtung, dass sich die Cybercrime tendenziell den Methoden des Cyberwar nähert.

Sie haben 600 Sicherheitsfachleute aus 14 Ländern zur IT-Sicherheit befragt. Das Ergebnis: Kritische Infrastrukturen stehen unter dauerndem Beschuss von DDoS-Attacken und Hacking-Versuchen. Sie berichten von langwierigen DDoS-Attacken, den ersten Anzeichen der Night Dragon-Angriffe aus dem September 2009 und von Manipulationen an ihren Prozesssteuerungssystemen (Supervisory Control And Data Acquisition - SCADA; S. 10).

Soweit die heftigsten Angriffe zurückverfolgt werden können, kommt China ins Spiel. Natürlich können sich die Systeme, von denen aus der tatsächliche Angriff geführt wird, überall befinden, ohne den Standort des Hintermanns zu offenbaren. Die Häufung ist jedoch zu auffällig.

Die Studie zeigt die Anfänge, die McAfee dazu veranlasst haben, die permanenten Angriffe durch Hacking und DDoS gegen Unternehmen mit Kritischen Infrastrukturen und den zunehmenden Hacktivismus als Anzeichen für den Übergang von der lästigen über die schmerzhafte Cybercrime bis hin zum Cyberwar zu zeichnen. Sie beruft sich nicht nur auf Erfahrungen, sondern auch auf statistische Erhebungen. Diese Methode mag nicht wissenschaftlich genau sein, hilft aber, Erfahrungen zu erheben, zu ordnen und zu bewerten. Das ist der erste Schritt zu einer gesicherten Analyse, die wissenschaftlichen Ansprüchen standhält. Sozusagen: Feldarbeit. Auf sie bauen dann andere auf. Das gilt auch für den Cyberfahnder.
  

Allein schon die Bilder in dem Crossfire-Bericht sind beachtlich. Sie strahlen überwiegend Ruhe aus (siehe hier und ganz oben) und dann auch wieder heftige Hektik. Beides passt nicht ganz zum Thema der Studie, ist aber schön anzusehen.

Die Meinung von hinter mir lautet: "Was heißt hier gelassen? Die Frau sieht einfach nur gelangweilt aus!"

zurück zum Verweis Aurora
 
 
aus (27), S. 3

 
Google und 30 andere Unternehmen waren Anfang 2010 heftigen Angriffen aus China ausgesetzt (25). Mit ihnen setzte sich nicht nur McAfees erster Quartalsbericht aus 2010 auseinander (26), sondern auch eine vollständige Studie (27). Sie beschreibt den Angriff so:

1. Ein ins Ziel geratener Benutzer bekam aus einer „vertrauenswürdiger“ Quelle einen Link in einer E-Mail oder in einer Sofortnachricht.

2. Der Benutzer klickte den Link an und gelangte so auf eine Webseite in Taiwan, die Schadcode in Form von schädlichem JavaScript-Payload enthielt.

3. Dieses schädliche JavaScript enthielt ein Zero-Day-Exploit für den Internet Explorer und wurde vom Browser des Benutzers heruntergeladen und ausgeführt.

4. Der Exploit lud dann von Servern in Taiwan einen als Bild getarnten Binärcode herunter und führte den schädlichen Payload aus.

5. Der Payload richtete eine Backdoor ein und verband sich mit einem Botnet in Taiwan.

6. Damit hatten die Angreifer vollen Zugriff auf die internen Systeme. Sie hatten es auf geistiges Eigentum und Systeme zum Software-Konfigurations-Management (Software Configuration Management, SCM) abgesehen, auf die sie nun durch die gefährdeten Systeme Zugriff hatten. Das kompromittierte System ließ sich zudem so manipulieren, dass die Angreifer noch weiter in das Netzwerk vordringen konnten.
 

 
Die Studie analysiert eingehend alle Angriffsschritte. Das können wir uns hier ersparen.

Wichtig ist vielmehr, dass die Angreifer ganz gezielt und punktgenau das gegnerische System angegriffen und dazu Detailkenntnisse über die technische Ausstattung des Ziels genutzt haben. Noch professioneller handelten die Angreifer beim späteren Night Dragon.

Ich hatte zunächst wenig Verständnis für Googles beleidigt wirkende Flucht (28). Das Szenario, das McAfee hier beschreibt, weckt (wenigstens mein) Verständnis.
 

zurück zum Verweis Anmerkungen
 


(1) Threat-Report: Drittes Quartal 2010, McAfee Labs 08.11.2010

(2) Threat-Report: Viertes Quartal 2010, McAfee Labs 04.02.2011

(3) Smartphone-Zombies, 25.01.2011

(4) 95 Billionen Spam-Mails, 15.01.2011

(5) Wachstumsgrenze für Malware, 08.02.2011

(6) gefährliche PDF-Dateien, 09.05.2009

(7) Molotowcocktails im Internet, 05.02.2011

(8) mächtige Werkzeuge für die Cybercrime, 24.09.2010;
Zheng Bu, Pedro Bueno, Rahul Kashyap, Adam Wosotowsky, Das neue Zeitalter der Botnets, McAfee Labs 19.08.2010

(9) (7)

(10) Global Energy Cyberattacks: “Night Dragon”, McAfee Labs 10.02.2011;
Stephen Shankland, Operation "Night Dragon": Hacker spionieren Ölindustrie aus, zdnet.de 10.02.2011

 
(11)  François Paget, Cybercrime and Hacktivism, McAfee Labs 15.03.2010 ;
Strukturen der Cybercrime, 21.11.2010;
Dieter Kochheim, Cybercrime und politisch motiviertes Hacking. Über ein Whitepaper von François Paget von den McAfee Labs, 20.10.2010

(12) Kochheim, Eine kurze Geschichte der Cybercrime, November 2010;
Kochheim, Cybercrime und Cyberwar, November 2010 (Folienvortrag).

(13) Mafia, Cybercrime und verwachsene Strukturen, 20.10.2010

(14) Ein gutes Jahrzehnt für Internetkriminalität. McAfees Rückblick auf zehn Jahre Internetkriminalität, McAfee 27.01.2011

(15) Ich Maria, die russische Frau, 02.12.2008

(16) Manager entfernter Filialen, 25.04.2009

(17) (11)

(18) Zero-Day-Exploits und die heile Hackerwelt, 06.11.2010;
Igor Muttik, Zero-Day Malware (engl.), McAfee 19.10.2010

(19) Bestätigungen des Entwicklungsmodells von der Cybercrime, 21.11.2010

(20) (13)

zurück zum Verweis
 

(21) Fünf Möglichkeiten zum Schutz kritischer Infrastrukturen, McAfee 14.05.2009

(22) Grundversorgung als Kritische Infrastruktur, 06.02.2011

(23) Siehe auch: Bestandteile eines professionellen Netzwerkes, 2007.

(24) Stewart Baker, Shaun Waterman, George Ivanov, In the Crossfire. Critical Infrastructure in the Age of Cyber War, McAfee 17.12.2009

(25) Verfassungsschutzbericht 2009. Tatort Internet, 26.06.2010

(26) Pedro Bueno, Paula Greve, Rahul Kashyap, David Marcus, Sam Masiello,
François Paget, Craig Schmugar, Adam Wosotowsky, McAfee Threat-Report:
Erstes Quartal 2010
, McAfee Labs 12.05.2010

(27) Schutz für Ihre wichtigsten Ressourcen. Lehren aus „Operation Aurora“, McAfee Labs 12.04.2010

(28) Google in China, 28.03.2010
 

 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 27.02.2011