#9 Cyber Threat Intelligence – Snake Oil oder nicht?

Was ist Cyber Threat Intelligence? Nur Marketing-Buzz oder sinnvoll? Spätestens seit dem Angriffskrieg Russlands auf die Ukraine spielt Cyber Threat Intelligence Sharing im Cyber-Konflikt eine zentrale Rolle und viele Staaten bauen gerade Kapazitäten auf, um damit umzugehen. Zeit also, das mal genauer anzusehen. Zusammen mit Matthias von Percepticon gehen wir Fragen rund um Cyber Threat Intelligence nach. Was ist das? Wo kommt das her? Wer braucht das? Ist das Schlangenöl? Wir schauen uns verschiedene Threat Intelligence Produkttypen an und reden über einige bemerkenswerte Reports wie APT1 und GhostNet. Zudem geht es um Threat Intelligence Konzepte wie die Cyber Kill Chain und das MITRE ATT&CK Framework. Am Ende diskutieren wir noch die Frage, wie relevant das Thema für Deutschland ist, insbesondere beim Thema Ransomware und Kommunen. Kurzum, eine gute Sache!

Transkript anzeigen…

Armchair Investigators – ein Dialog über Malware, Cybercrime und Cyberspionage. Mit Lars Wallenborn und Christian Dietrich.

00:00:20 Christian Dietrich: Hallo, liebe Cyber Freunde. Mein Name ist Chris, und ich bin Professor für Cybersicherheit an der westfälischen Hochschule. 

00:00:28 Lars Wallenborn: Und hallo, ich bin Lars. Ich arbeite als Softwareentwickler und Reverse Engineer bei Crowdstrike.

0:00:34 Christian Dietrich: Wir sitzen hier heute zusammen mit Matthias, und Matthias, du machst ja auch einen eigenen Podcast.

00:00:39 Matthias Schulze: Ja, hallo, danke für die Einladung. Mein Name ist Matthias Schulze, ich betreibe den percepticon.de Podcast. Ein Blog-Podcast über die dunkle Seite der Digitalisierung. Also Spionage, Hacker, Sabotage, Desinformation, Cyberkonflikte und allerlei mehr. Vielen Dank für die Einladung. Das ist heute eine kollaborative Folge zwischen diesen beiden Podcasts. Wir dachten, wir tun unsere Köpfe zusammen und machen ein super Thema: Nämlich Cyber Threat Intelligence.

00:01:05 Christian Dietrich: Ja, das Thema Cyber Threat Intelligence befindet sich halt ganz schön so in dem Schnittbereich zwischen Informatik und Politik, beziehungsweise Sozialwissenschaften. Jetzt sind wir hier drei Leute versammelt, die eben genau aus verschiedenen Bereichen hier kommen. Nämlich einmal eher aus dem eher Technik-orientierten, informatischen Bereich, und zum anderen mit dir Matthias, jemand, der Spezialist aus den Sozialwissenschaften ist, wenn ich das so richtig wiedergegeben habe.

00:01:30 Matthias Schulze: Das Beste aus allen Welten und gewissermaßen auch noch die perfekte Trias aus Privatwirtschaft und öffentlichem Sektor, wenn man das so nennen will, oder?

00:01:39 Lars Wallenborn: Genau. Also, ich habe mich jetzt hier anscheinend mit zwei Akademikern in so einen Zoomcall gesetzt, und wir besprechen das jetzt so rein theoretisch. Und dadurch … ich hoffe halt, dass ich dann irgendwie so eine Hands-on Perspektive auf die Sache irgendwie liefern kann. Aber diese ganzen verschiedenen Modelle, die ihr schon in dieses Google Doc geschrieben habt, die sind mir teilweise nicht bekannt. Das sage ich direkt mal vorne weg.

00:01:58 Christian Dietrich: Vielleicht versuchen wir kurz mal zu beleuchten, warum macht es Sinn, sich jetzt mit Cyber Threat Intelligence zu beschäftigen?

00:02:05 Matthias Schulze: Ja, wir haben ja im Prinzip … seit dem Ukraine Krieg spielen Cyber Operationen ja eine gewisse Rolle. Also es wird zumindest viel drüber gesprochen. Und wenn man so schaut, was ist so die die Lehre aus diesem digitalen Konflikt, ist man ganz schnell dabei zu sagen: Okay, wir müssen Threat Intelligence Sharing machen unter den NATO-Staaten, mit der Ukraine zusammen. Wir müssen also irgendwie Informationen austauschen. Und was das eigentlich ist und was es damit auf sich hat und wie das funktioniert, das war im Prinzip die Frage, oder ist die Frage, mit der wir uns heute beschäftigen wollen.

00:02:38 Lars Wallenborn: Und wenn ich dazu irgendwie so gefragt werde, irgendwie so auf Konferenzen, was ist überhaupt Cyber Threat Intelligence und so, oder wenn ich mich irgendwie dazu hinreißen lasse und versuche, das zu definieren, dann steige ich gerne damit ein zu sagen, das ist nur ein Marketingbegriff. Also das entwaffnet das Gegenüber dann meistens schon mal sehr. Weil es das auf jeden Fall auch ist. Also ich denke mal, in den letzten – weiß ich nicht – eigentlich zehn Jahren, aber mindestens fünf oder so, haben sich viele Cyber Unternehmen das auch mit auf die Fahne geschrieben, dass sie jetzt Cyber Threat Intelligence machen und so. Und ja, das ist halt so, wie irgendwann mal wieder so ein neuer Marketingbegriff kommt. Wie – weiß ich nicht, Endpoint Protection, oder Advanced Incident Response oder was auch immer – ist halt irgendwann Cyber Threat Intelligence auch so ein Begriff gewesen. Also, das ist halt quasi die provokante These, mit der wir starten könnten.

00:03:23 Matthias Schulze: Ja, ich habe das auch in einem Artikel gelesen, so von wegen, die Cyber Sicherheitsindustrie ist voller Schlangenöl, Snake Oil. Und jetzt ist also die Frage, ist Cyber Threat Intelligence auch nur Schlangenöl oder der neueste Marketing Trick, den man jetzt unbedingt verkaufen oder haben muss? Oder ist vielleicht wirklich was dahinter? Vielleicht ist es für den Anfang aber erst mal sinnvoll – bevor wir über die Frage diskutieren, ob das Schlangenöl ist – mal kurz zu erklären, was das ist. Chris, magst du da vielleicht einsteigen?

00:03:48 Christian Dietrich: Ja, ich würde Cyber Threat Intelligence als Wissen über die Bedrohungs-Landschaft, insbesondere so in dieser Cyber Domäne, also maßgeblich vielleicht Internet, bezeichnen, aber auch Wissen über konkrete Angriffe und konkrete Akteure. Was meint ihr dazu?

00:04:05 Lars Wallenborn: Ja, also Wissen, finde ich, trifft es ganz gut. Ich würde vielleicht sogar ein Schritt weitergehen und sagen, es ist ein Wissensvorsprung. Also, wenn man so sagt, ich konsumiere irgendwie Cyber Threat Intelligence, was bringt mir das überhaupt? Man versucht dann halt einfach Sachen zu lesen über die Angreifer, und was die so machen und wie die das so machen, und idealerweise auch, was man dagegen tun kann, wenn man sich dagegen wehren möchte.

00:04:26 Matthias Schulze: Ich habe in der Vorbereitung so ein bisschen recherchiert und mir natürlich auch die ganzen Anbieter angeschaut, und bin da auf eine Definition von der Firma Dragos gekommen. Und die haben so schön geschrieben: Threat Intelligence ist Wissen – das habt ihr auch schon gesagt – und ein analytischer Prozess, der hypothesengeleitet und evidenzbasiert sozusagen Analyse von verschiedenen Datenquellen macht, um Erkenntnisse über schadhafte Akteure und den Gegner sozusagen zu bekommen. Um eben einen Vorsprung zu haben oder ihm ein bisschen voraus zu sein. Um sozusagen die Angreifer-Verteidiger-Dynamik ein bisschen umzudrehen. Weil normalerweise sagt man immer, die Angreifer haben viele Vorteile. Und Cyber Threat Intelligence versucht, die Verteidigungsseite zu befähigen, um Angriffe ein bisschen vorweg zu nehmen.

00:05:11 Lars Wallenborn: Ich könnte nicht mehr zustimmen. Sehr saubere Definition, finde ich.

00:05:16 Christian Dietrich: Ich glaube, um das mal so ein bisschen plastisch zu machen, das heißt, wenn man als Verteidiger für eine bestimmte Organisation tätig ist – was weiß ich,  nehmen wir da vielleicht jemanden im Finanzsektor – dann geht es halt um Wissen über konkrete Angriffe, vielleicht Angriffstechniken, vielleicht eben auch konkrete Akteure, die gerade diese Angriffstechniken einsetzen, um gegen bestimmte Ziele – zum Beispiel im Finanzsektor –  vorzugehen. Und dann wird es vielleicht ein bisschen plastischer, warum das für einen Verteidiger Sinn macht, so ein Wissen zu konsumieren. Weil man dann eben vielleicht an bestimmten Stellen mit Angriffen rechnet oder vielleicht bestimmte Datenquellen eher mal konsultiert.

00:05:57 Lars Wallenborn: Ich würde das vielleicht sogar noch ein bisschen, noch krass viel plastischer machen. Also weil ich fand das sehr gut, was du gesagt hast, weil das so allgemein ist, und ich glaube, in der Allgemeinheit stimmt es auch. Aber einige Leute denken halt: Na ja, das heißt ja eigentlich nur eine Liste von bösen Domains und bösen IP-Adressen. Und das gehört vielleicht auch dazu. Ich würde aber sagen, das ist ein relativ kleiner Teil. Aber wie auch immer, ich meine, das macht es noch plastischer. Also wenn ich von jemanden gesagt bekomme, das hier sind Adressen, IP-Adressen im Internet, die werden als Server benutzt von Angreifern, von Hackern und so, dann könnte ich ja als Verteidiger einfach hingehen und dafür sorgen, dass überhaupt kein Netzwerk Traffic mehr aus meinem Netzwerk zu diesen IP-Adressen hingeht. Und dann ist quasi der Angreifer nicht mehr in der Lage, mit seinen Servern zu kommunizieren. Das ist jetzt sehr plastisch und sehr stark vereinfacht. Aber das ist so, ich denke mal, wo es herkommt und wie es auch vermutlich angefangen hat. Aber ich glaube, inzwischen ist es echt schon sehr viel weiter und sehr viel allgemeiner. Sowie ihr das gerade auch hier irgendwie umrissen habt.

00:06:54 Matthias Schulze: Na ja klar, diese ganzen IoCs, Indicator of Compromises, IP-Adressen und so weiter, die spielen eine Rolle. Da werden wir sicherlich gleich auch nochmal darauf eingehen. Ich fand es ganz hilfreich, so darüber nachzudenken, dass Cyber Threat Intelligence drei Elemente hat. Das eine ist, ich versuche die Bedrohung zu beschreiben. Also: Was, wer, von wo, wann, wie und warum bin ich bedroht? Dann, die zweite Ebene ist, was passiert, wenn sich diese Bedrohung realisiert, also was mache ich dann? Und dann das dritte Element, was ja auch für die Verteidigung relevant ist: Was kann ich denn tun, um mich gegen diese konkrete Bedrohungen jetzt zu schützen? Also der Sinn der Übung ist ja nicht nur, dass wir was wissen über Angreifer, und die Kampagnen die diese Angreifer machen, sondern tatsächlich auch in die Praxis kommen. Was kann ich tun, um mich auf diesen Angriffsvolley oder was auch immer da jetzt kommen mag, gegebenenfalls einzustellen. Und insofern hat es natürlich auch eine rein praktische Dimension, das Thema.

00:07:45 Lars Wallenborn: Also auch die schwere Entscheidung zu treffen, gegen welche Angriffe möchte ich mich nicht notwendigerweise verteidigen. Vielleicht ist es mir als Bank einfach egal, wenn meine Mitarbeiter irgendwelche Werbe-Browser Toolbars installieren, weil das vielleicht jetzt keinen Schaden verursacht. Aber es ist mir als Bank nicht egal, wenn das Swift-Terminal kompromittiert wird und Überweisungen getätigt werden und solche Sachen. Also auch diese schwere Entscheidung zu treffen: Na ja, das sind jetzt Bedrohungen, die bedrohen mein Unternehmen, aber gegen die wehre ich mich nicht, weil meine Prioritäten woanders liegen. Um überhaupt in der Lage zu sein, solche Entscheidung zu treffen, muss man glaube ich, eine Menge von der Bedrohungslandschaft insgesamt schon verstanden haben.

00:08:20 Matthias Schulze: Da hast du auch gerade noch, Lars, eine gute Einschränkung gemacht. Weil Threat Intelligence soll ja auch ein bisschen dabei helfen, von der Vielzahl der Bedrohungen, die es da draußen gibt, die auszuwählen, die für mich, für meine Organisation, für mein Unternehmen, für meinen Sektor, in dem ich tätig bin, besonders relevant sind. Weil wir leben ja in der IT-Sicherheit in Zeiten von begrenzten Ressourcen. Das heißt, es gibt immer nur begrenzte Ressourcen, das ändert sich eigentlich nicht. Und man kann sich nicht gegen alles gleichermaßen verteidigen. Insofern hilft Threat Intelligence, so die Theorie, zumindest für die Verteidiger, sich zu spezialisieren und eben auch bestimmte Bedrohungen, die nicht akut sind, die nicht kritisch sind, erst mal am Rand liegen zu lassen, um sich auf das zu konzentrieren, was wirklich ein Problem ist.

00:09:02 Christian Dietrich: Also man könnte zusammenfassen: Es geht hier um gesammelte, verarbeitete, analysierte Daten, die nicht nur einzelne Incidence beschreiben, sondern versuchen, auch so ein bisschen wieder quasi auszuzoomen, trotzdem aber einzelne Akteure irgendwie im Blick zu haben oder eben zu attributieren. Es geht nicht unbedingt um Incidence, die irgendwie so in der Luft hängen, sondern es geht darum, dass man die zuordnen kann zu Akteuren. Und dann sprechen wir eigentlich von Intelligence. Nämlich die Muster mit einem bestimmten Abstraktionsgrad, aber trotzdem noch für Anwender, für Entscheider irgendwie konkretisierbar auf ihre Verteidigungssituation.

00:09:39 Matthias Schulze: Genau. Und Intelligence beschreibt ja in gewisser Weise auch die Handlungsnotwendigkeiten, die in Informationen drin sind. Also, es gibt diesen schönen Trias zwischen Daten, Information und Intelligence. Das kommt, glaube ich, tatsächlich auch von der CIA oder von irgendjemand, der da früh drüber nachgedacht hat. Daten sind die reinen Fakten und Statistiken, die haben nicht notwendigerweise eine intrinsische Bedeutung. Zum Beispiel eine IP Adresse, eine URL, ein Hashwert et cetera pp. Das Faktum allein, das Datenstück, sagt mir noch nicht viel. Information wird das Ganze, wenn ich verschiedene Datenpunkte zusammenfüge, um zum Beispiel eine bestimmte Frage zu beantworten. Also wenn ich Daten sammle, um eine Frage zu beantworten, dann kriege ich da Informationen raus. Zum Beispiel: Wird meine Organisation in Darknet Foren diskutiert? Und dann habe ich diese individuellen Datenpunkte – Leute reden über mich in Darknet Foren – und kann eventuell daraus die Frage beantworten: Kommt da vielleicht eine Gefahr aus der Untergrund-Ökonomie auf mich zu? Und Intelligence wird das Ganze dann, wenn ich Muster in diesen Informationen und in diesen Daten entdecke, und wenn ich das Ganze noch mit Kontext anreichere, um Entscheidungen treffen zu können. Also das Ziel von Intelligence ist ja tatsächlich, Entscheidungen zu motivieren und zu treffen, und Informationen nutzbar zu machen für eine Zielgruppe. Damit man eben tatsächlich damit was tun kann und nicht nur nett über die Welt Bescheid weiß. Das interessiert uns als Wissenschaftlerinnen und Wissenschaftler natürlich. Aber wenn man tatsächlich abwehren muss, dann reicht bloßes Wissen nicht, dann muss man auch was machen.

00:11:07 Lars Wallenborn: Ich würde vielleicht sogar noch einen Schritt weitergehen, dass ich zu Intelligence auch eine Bewertung in gewisser Weise dazu zählen würde. Also vielleicht hast du das gerade schon mit gesagt, aber vielleicht nicht so explizit. Aber wenn ich quasi nur Incidence … selbst wenn ich Incidence aufliste und dann die auch kontextualisiere und alles mögliche, dass ich dann aber auch darüber so Aussagen tätige, die über die reinen Fakten hinausgehen. Weil sie zum Beispiel – weiß ich nicht – mit in Betracht ziehen, was im letzten Fünf-Jahresplan von China stand. Und dann eventuell auch Aussagen über die Zukunft sind, die ja niemals sicher sein können. Also man kann immer nur sagen, ich glaube, das wird passieren. Ich meine, in der Non Cyber Threat Intelligence haben auch ganz viele Leute lange nicht gesagt, dass Russland in der Ukraine einmarschieren wird, und dann ist es einfach passiert. Und zu dieser Cyber Threat Intelligence gehören meiner Meinung nach auch in gewisser Weise Vorhersagen über Dinge, die passieren werden. Oder die man vielleicht nicht weiß, aber über die man dann trotzdem eine Aussage tätigen möchte, um all die Ziele zu erreichen, die wir gerade besprochen haben, um Leute in die Lage zu versetzen, sich besser zu verteidigen.

00:12:13 Matthias Schulze: Ja, ich würde dem zustimmen. Du hast Recht, dass ich da implizit schon sozusagen reingelegt habe, dass das eine – wie sagt man? – vorgeprägte, gebiasede, subjektive Geschichte ist. Weil Bedrohungen unterscheiden sich ja bisweilen zwischen verschiedenen Organisationen. Wenn ich die NSA bin, habe ich ein anderes Bedrohungsprofil, eine andere Risikoanalyse, als wenn ich ein Schuster in Unterfranken bin, ein kleiner mittelständischer Betrieb oder so. Das heißt, für diese unterschiedlichen Zielgruppen, Organisationen, brauche ich unterschiedliche Arten von Intelligence. Und viel hängt davon ab, was ich sozusagen brauche. Wir wollten jetzt nicht dezidiert drüber sprechen, aber es gibt ja in der Literatur den sogenannten Intelligence Cycle. Das ist so eine Heuristik, um zu verstehen, wie ich Informationen sammle. Und da steht ganz am Anfang immer die Frage: Was sind eigentlich meine Requirements? Was sind meine Anforderungen, nach denen ich Informationen sammle? Also das ist eine ganz individuelle Sache für eine Organisation, welche Anforderungen sie da hat. Und das kann sich sehr unterscheiden zwischen verschiedenen Akteuren, zwischen Staaten, zwischen großen Firmen, zwischen kleinen Firmen und so weiter und so fort.

00:13:18 Lars Wallenborn: Jetzt hast du natürlich auch schon ein ganz spannendes Thema angesprochen. Weil rein faktisch wird der Schuster in Unterfranken ja ganz schwer nur an gute Cyber Threat Intelligence rankommen. Also, ich weiß nicht, was sein Jahresbudget für Cyber Threat Intelligence vorgesehen hat, aber diese ganzen Unternehmen lassen sich das ja auch noch in Gold bezahlen, was sie da irgendwie so rauspumpen an Wissen.

00:13:41 Christian Dietrich: Ja, da muss man natürlich vielleicht unterscheiden. Also vielleicht beleuchten wir mal, wer macht eigentlich Cyber Threat Intelligence? Und ich glaube, vielleicht hast da jetzt primär so an den kommerziellen Sektor gedacht, Lars. Aber es gibt natürlich auch … also Nachrichtendienste machen ja auch Cyber Threat Intelligence, ganz, ganz massiv und vermutlich auch mindestens genauso lange, vermutlich deutlich länger, als das so im kommerziellen Bereich …

00:14:03 Lars Wallenborn: Und auf die hat der Schuster ja ganz einfachen Zugriff – auf die Nachrichtendienste.

00:14:07 Christian Dietrich: Na ja, aber es gibt ja durchaus Fälle, in denen aus Nachrichtendiensten heraus in bestimmten seltenen Fällen … ja gut okay, vielleicht keine Schuster gewarnt werden oder auf Dinge hingewiesen werden, aber in anderen Kontexten, gerade so im behördlichen Bereich, gibt es das ja schon. Die Frage ist nur – das können wir mal diskutieren – also ist das angemessen, ist das ein gesellschaftliches Verständnis davon, wie Cyber Threat Intelligence vielleicht passieren sollte?

00:14:33 Matthias Schulze: Na ja, aber die Frage, die ja da implizit dahinter steckt, ist die Frage: Wer braucht das? Also für wen ist das sinnvoll? Und das Beispiel des Schusters, was ich jetzt einfach so aus der Luft gegriffen habe, ist wahrscheinlich schon ein Hint darauf, dass ein Schusterunternehmen – unterstelle ich jetzt mal, ich will jetzt keinem zu nahe treten, der oder die Schuster, Schusterin ist – das wahrscheinlich nicht so akut braucht, wie ein großes Unternehmen, was, weiß ich nicht, 50.000 Mitarbeiter:innen hat, und einen gewissen Marktwert und geistiges Eigentum, und Personaldaten und Bankdaten und so weiter betreut. Für die ist die Bedrohungslage und das Risiko, dass was passiert bei einem Cyber Incidence, und Daten zum Beispiel geleakt werden, verschlüsselt werden, et cetera, viel erheblicher als für einen Handwerkerbetrieb in Deutschland. Insofern müssen wir, glaube ich, schon drüber sprechen was sind die verschiedenen Zielgruppen von diesem Bereich?

00:15:21 Christian Dietrich: Cyber Threat Intelligence macht dann Sinn genutzt zu werden, wenn man es eben auch umsetzen kann in einer Organisation, in einer Institution oder in einem Unternehmen. Also man spricht da ja auch einem gewissen Reifegrad, also Maturity auf englisch. Das heißt zum Beispiel, ich brauche eben jemanden, der solche Threat Intelligence Reports lesen kann. Ich brauche vielleicht jemanden, der auch Actionable Intelligence anwenden kann, also zum Beispiel eben so was wie Signaturen oder Indicator Feeds. Und ich brauche vermutlich etwas mehr als das, was die reine IT Abteilung im operativen Betrieb stemmt. Ich brauche vielleicht so was wie ein Security Operations Center. Das heißt, eine dedizierte Abteilung, die sich nur, oder primär um Sicherheitsfragen in der IT oder mit IT Bezug kümmern. Insbesondere wenn man so was hat, dann kann man sich sinnvoll, glaube ich, der Frage widmen: Wie wende ich Cyber Threat Intelligence in meiner Organisation an.

00:16:24 Lars Wallenborn: Vielleicht ist das auch einer der Gründe, warum das so einen schlechten Ruf hat. Dass das irgendwie Leuten verkauft wird, die das überhaupt nicht operationalisieren können. Also ich meine, nehmen wir mal an, man kriegt so ein Indicator Feed mit bösen, in Anführungszeichen, bösen Domains und IP’s. Und wenn ich zum Beispiel noch nicht mal die Netzwerk Infrastruktur in meinem Unternehmen habe, um danach zu filtern, dann kann ich damit schon nix anfangen. Und ich sage mal, Indicator und Domains sind schon das am einfachsten zu verarbeitende, also die am einfachsten zu verarbeiten Datenpunkte, die man erhält. Darüber sind halt noch abstraktere Dinge, wie – wie wir ja gerade schon besprochen haben – Beschreibungen von Incidence, Beschreibungen von ganzen Kampagnen oder ganzen Akteuren und so. Und das muss –  also eventuell ist das in natürlicher Sprache geschrieben, auf Englisch oder Deutsch oder so – und das muss dann auch jemand lesen. Und der oder die muss dann auch verstehen, was damit gemeint ist und so was alles. Und das braucht halt alles immens viel Zeit und damit auch Ressourcen. Und das haben, glaube ich, auch einfach viele nicht. Und vielleicht kommt der schlechte Ruf daher mit dem Schlangenöl und so, dass das einfach Leuten verkauft wurde, die eigentlich nur eine Liste von Domains in ihre Parameter Defence irgendwie reinstecken wollen, und dann kriegen sie da irgendwie diese ganzen Texte, die sie überhaupt nicht verstehen oder auch nur lesen können, weil es zu viel ist.

00:17:38 Matthias Schulze: Ich glaube, das ist eine ganz gute Annahme darüber, warum das bisweilen einen schlechten Ruf hat. Was auch in der Recherche dazu aufgetaucht ist, ist der Punkt, dass viel nicht automatisch gut ist. Also, wenn ich jetzt, nehmen wir mal an, zehn Data Feeds einspeise, dann kriege ich x-tausend Alerts pro Stunde oder pro Minute. Und das überfordert natürlich meine Abteilung, die sich mit um diese Alerts kümmern muss, massiv und gewaltig. Das heißt, es muss eine gewisse Passung dieses Tools, dieser Methodologie zu einer Organisation, zu einer IT Sicherheitseinheit, gewissermaßen zu einem Security Operations Center, wenn man denn eins hat, geben. Anderenfalls ist es wahrscheinlich vergebene Liebesmühe. Und ich brauche natürlich auch eine gewisse technische Infrastruktur, um auch diese Feeds verarbeiten zu können. Und ich brauche wahrscheinlich eine Art Security Incident Event Management System, in irgendeiner Art Intrusion Detection Prevention Lösung. Das wird einem natürlich auch alles verkauft, gerne auch im Bundle mit All Inclusiv Lösungen. Da ist sicherlich auch ein Teil der Kritik drin, dass das Schlangenöl ist. Weil muss es immer das große Bundle sein, mit Shiny Flash Bang Glitzer Etiketten oben drauf? Oder tun es nicht manchmal auch Open Source Lösungen, die es vielleicht auch gibt in diesem Bereich? Das ist sicherlich auch noch ein Teil der Erklärung, warum das Image manchmal als schlecht dargestellt wird. Wobei ich auch gar nicht sicher bin, ob das so ein schlechtes Image hat. Das wisst ihr vielleicht auch besser als ich.

00:18:56 Lars Wallenborn: Kommt, glaube ich, drauf an, wo man so ist. Also ich habe mal auf einer Open Source Konferenz gesprochen, da war das Image auf jeden Fall eher schlecht. Das ist auf jeden Fall ein Nebenschauplatz, und da sollten wir uns, glaube ich, nicht verlieren. Ich möchte aber das Hühnchen trotzdem gerade noch rupfen. Ich hab auch so einen Softwareentwicklungs-Hintergrund, und manchmal rede ich natürlich auch noch mit den Leuten, mit denen ich früher da  zusammengearbeitet habe. Und die haben, was zum Beispiel so Open Source Tooling angeht, so ganz andere Ansprüche, als man irgendwie so in der technischen Analyse hat. In der technischen Analyse, in der Cyber Threat Intelligence, releasen die Leute immer so Tools und so, und da geht es dann, glaube ich, mehr so darum, dass man die released hat, und gar nicht mehr so darum, dass man die dann noch langfristig maintained und so. Das will ich jetzt gar nicht über, weiß ich nicht, solche Tools wie Snort sagen oder so, weil da ist eine Community hinter, und das sind richtige Open Source Communities, die dahinter stehen. Aber diese kleinen Tools, die so von Individuen releast werden, das ist meistens also sehr, sehr schlecht maintained. Und ja, also da gibt’s irgendwie Open Source und Open Source. Wollte ich nur, wie gesagt, dieses Hühnchen wollte ich ganz kurz mal rupfen. Auch wenn das nichts mit irgendwas anderem, was wir hier diskutieren, zu tun hat. Also können wir gerne zurück zurück zum Thema kommen.

00:20:01 Christian Dietrich: Ich würde gerne noch mal zwei Punkte aufgreifen. Also der erste Punkt, der mir so ein bisschen nachhängt, wenn wir uns Gedanken darüber machen, wer braucht eigentlich Threat Intelligence, dann fällt mir das an folgender Stelle nochmal irgendwie auf. Denn wenn wir abgleichen damit, welche Organisationen so in jüngerer Zeit Opfer worden sind von Cyber Angriffen, dann sind das durchaus auch Organisationen, wo nicht ganz klar ist, warum werden die auf die Art und Weise angegriffen? Was ich meine? Wir sehen, dass Stadtverwaltungen angegriffen werden, wir sehen, dass Unis angegriffen werden, Hochschulen angegriffen werden. Wir sehen, dass Uni Kliniken angegriffen werden, und wir sehen, dass KMU’s angegriffen werden. So. Letzteres kann ich vielleicht so ein bisschen noch verstehen. Wenn wir uns im Kontext von Ransomware Angriffen befinden, dann kann ich da eine gewisse finanzielle Motivation vielleicht irgendwie noch verstehen. Aber gerade so für den Bereich der Stadtverwaltungen und Hochschulen sehe ich das eigentlich nicht mehr unbedingt. Und das heißt – für mich drängt sich da massiv die Frage nach Threat Intelligence auf – also quasi, wie können wir solche Organisationen schützen? Und spielt Cyber Threat Intelligence da nicht irgendwie doch auch eine Rolle? Natürlich ist mir klar, dass die meisten dieser Organisationen eben genau nicht diese Infrastruktur haben, die ich vorhin erwähnt habe. Also da gibt es eben keine SOC’s, also keine Security Operation Center, da gibt es kein IT Security Team. Da gibt es manchmal wirklich noch nicht mal eine Person, die irgendwie IT Sicherheit macht.

00:21:27 Lars Wallenborn: Ja. Da gibt es den Hausmeister, und der macht jetzt auch die IT.

00:21:31 Matthias Schulze: IT Sicherheitsbeauftragten, also Hausmeister.

00:21:34 Christian Dietrich: Die werden gerade eingeführt, und trotzdem touchiert das natürlich Bereiche unseres gesellschaftlichen Lebens, wo wir eigentlich nicht damit einverstanden sein können, dass die einfach so irgendwie kompromittiert werden. Das heißt, wir könnten uns da schon auch die Frage stellen: Kann man in dem Kontext sinnvoll Cyber Threat Intelligence machen? Wie sieht es aus, und wie würde das dann eben operationalisiert?

00:21:56 Matthias Schulze: Das ist jetzt natürlich eine schwierige Frage, wenn man so aus einer …  ich versuche jetzt mal die Sozialwissenschaftler Brille hochzuhalten, die du vorhin am Anfang angepriesen hast. Ich meine, insbesondere Stadtverwaltungen sind, glaube ich, ein ganz gutes Beispiel. Weil die zwar für sich rechtlich individuelle Akteure sind, also Stadtverwaltung Berlin oder wegen mir sogar die Bezirke in Berlin, die haben ja zum Teil noch eigene … sind juristisch betrachtet eigene Entitäten. Das heißt, sie haben eigene Rechtsvorschriften, denen sie folgen müssen, und so weiter. Aber für einen Angreifer ist es, glaube ich, wurscht, über welche Stadtverwaltung wir sprechen. Das heißt, so von außen betrachtet sind sie Like Minded Units, wie man das in der internationalen Beziehungstheorieschule sagt. Also sie sind Akteure, die in einer ähnlichen Bedrohungslandschaft sind, und dadurch eine gewisse Ähnlichkeit haben. Das heißt, um die zu schützen, müssten die sich entweder zusammentun und irgendwie gemeinsam eine Lösung entwickeln. Oder es muss jemand für sie machen. Und da würde dann in der bundesdeutschen, vom Föderalismus geplagten Logik wahrscheinlich dann das BSI am Ende stehen. Was wahrscheinlich aber gar nicht das darf, weil die Städte und so weiter eben autonome juristische Konstrukte sind. Und die Bundesländer sowieso nochmal. Und das ist, glaube ich, dann also einerseits eine juristische, rechtliche Frage: Wer hat da welche Befugnisse und darf was machen? Und dann andererseits ist es natürlich auch eine Marktfrage oder eine privatwirtschaftliche Frage dahingehend, nämlich wie entwickelt man eigentlich Lösungen für einen Bereich, wo ich nicht so zahlkräftige Kunden habe – ich meine, die Stadtverwaltungen haben auch nicht super viel Geld – und auch vielleicht gar nicht so viele Abnehmer habe. Aber das ist ja so dieses klassische Thema: Wie kriege ich ein Geschäftsmodell zum Beispiel auf Dörfer, wo ich einfach nicht so viele Leute habe, die da wohnen, die zum Beispiel Elektroscooter fahren könnten, aber genauso Mobilitätsprobleme haben wie Leute in Großstädten?

00:23:45 Christian Dietrich: Ja, ja, genau das finde ich nämlich auch. Da drängt sich einem also auch – selbst wenn man da noch nicht lang vielleicht drüber nachgedacht hat – so ein bisschen die Frage auf, gibt es da sinnvoll irgendwie eine Konsolidierung? Vielleicht einerseits von Infrastruktur, andererseits aber eben auch von Leuten, die so ein IT Security Betrieb stemmen können. Und dazu gehört dann eben auch das Konsumieren von Cyber Threat Intelligence, und das eben auch zu operationalisieren. Nur will man das vermutlich nicht. Oder was heißt, will man – funktioniert das vielleicht eben nicht immer in diesem privatwirtschaftlichen Kontext aufgrund der Constraints, die du gerade genannt hast, Matthias. Ich weiß nicht, ob man da vielleicht an so was wie Genossenschaftsmodelle oder so was denken kann. Ja, müsste man vielleicht nochmal irgendwie ein bisschen länger drüber nachdenken. Aber ich glaube, dass das auf jeden Fall für uns gerade so ein bisschen insofern ein Problem ist, gesellschaftlich, weil das löst sich gerade im Markt eben nicht, und wir sehen aber, dass reihenweise solche Organisationen gerade irgendwie kompromittiert werden.

00:24:48 Lars Wallenborn: Da möchte ich gerade auch noch mal kurz ganz konkret werden. Also, wenn wir hier über Angriffe auf den öffentlichen Sektor reden, dann denken wir wahrscheinlich sehr viel an so Big-Game-Hunting Ransomware Angriffe. Ich sag nochmal kurz, was ich damit meine. Damit meine ich, irgendein Akteur, ein Hacker, eine Hackergruppe verschafft sich Zugriff auf ein Netzwerk, bringt dann da so Verschlüsselungstrojaner raus, verschlüsselt alle Daten, die da vor Ort sind, und verlangt dann Lösegeld dafür, dass die Daten wieder entschlüsselt werden. Das ist natürlich nur so ein Teil der Medaille. Insbesondere weil das halt ausschließlich Akteure jetzt abdeckt, die finanziell motiviert sind, also die irgendwie Geld machen wollen da raus. Es gibt auch noch andere Akteure, die andere Motivationen haben. Aber vielleicht konzentrieren wir uns jetzt einmal ganz kurz auf diese Ransomware Sache. Weil ich habe mich gefragt … und vielleicht könnt ihr mir das beantworten, vielleicht Matthias du. Also nehmen wir mal an, so eine Stadtverwaltung Berlin, irgendeinen Bezirk, wird von einer Ransomware kompromittiert, aber die wollen ihre Daten ganz dringend wieder haben. Wären die überhaupt in der Lage, das Lösegeld zu bezahlen? So juristisch meine ich. Also, ich kann mir halt nicht vorstellen, dass irgendjemand sagt: Ja, mit dem Steuergeld, mit dem haben wir eine Gruppe von Kriminellen bezahlt, damit sie uns unsere Daten wiedergeben. Also ich kann mir vorstellen, dass da irgendwie so ein paar Probleme noch sind.

00:26:04 Christian Dietrich: Es ist immer gut, eine juristische Frage in so eine Runde zu werfen, wo kein Jurist anwesend ist.

00:26:08 Lars Wallenborn: Wo kein Jurist anwesend ist – auch wieder wahr. Aber vielleicht gibt es ja … ich weiß ja noch nicht mal, wie diese ganzen … du hast zum Beispiel gerade, Matthias, einfach so gedropt, dass die ja alle irgendwie unabhängig sind in Berlin, und das wusste ich auch alles nicht so, also, vielleicht hast du ja irgendwie …

00:26:22 Matthias Schulze: Also zu einem gewissen Grad unabhängig. Die sind natürlich dann schon in einem Bundesland und so. Aber wir hatten das ja in der Corona Pandemie. Als wir darüber diskutiert haben: Können die Gesundheitsämter eigentlich Daten austauschen? Und dann kam irgendwie raus, dass die zum Teil alle unterschiedliche Software benutzen, obwohl sie nur 20 Kilometer Luftlinie voneinander bisweilen weit entfernt sind. Und so ein bisschen ist es mit den Stadtverwaltungen und so weiter auch. Die benutzen ja auch nicht standardisierte Hard- und Software. Also wahrscheinlich doch Windows, aber alles, was Hardware Infrastruktur ist, werden die sich ja irgendwann mal selber zurecht geklöppelt haben. Und auch die die E-Government Services, die sie dann vielleicht dann doch schon haben in manchen fortschrittlicheren Bundesländern. Die sind ja dann auch alle custom und nicht: Wir machen es einmal für alle Bundesländer, und dann ist es einheitlich. Insofern, die Frage ist ein bisschen schwierig für mich – weil ich eben nicht Jurist bin – zu beantworten, ob die das bezahlen dürfen. Ich will nur auf das Dilemma hinweisen, was dabei entsteht. Sie werden es uns wahrscheinlich auch gar nicht sagen, weil es sieht nach außen natürlich sehr schlecht aus, wie du schon gesagt hast, wenn bekannt wird, dass Stadtverwaltung XY das Lösegeld bezahlt hat. Ich weiß es gerade gar nicht, ich habe gerade die Wissenslücke, wie das bei Anhalt Bitterfeld beispielsweise war. Ich weiß aber, dass zum Beispiel in anderen Ländern darüber diskutiert wird, ganz konkret in Großbritannien, dass man das Organisationen verbieten will, dass sie das Lösegeld bezahlen. Es macht natürlich das Dilemma auf: Riskierst du, dass ein Unternehmen oder irgendjemand Bankrott geht und nicht mehr weiter geschäftstätig sein kann, weil die Daten nicht mehr da sind? Oder zielst du auf das größere Ziel hin und versuchst, den Kriminellen das Geschäftsmodell durch ein Verbot von Bezahlungen wegzunehmen? Das ist glaube ich, ein ungelöstes Dilemma. Das war jetzt eine lange ausschweifende Antwort auf die Frage. Ich weiß es nicht, ob die das bezahlen dürfen oder nicht.

00:27:58 Christian Dietrich: Also ich kann mal eine Meinung abgeben. Darf man ja im Podcast.

00:28:02 Lars Wallenborn: Ob sie es bezahlen sollten, so normativ jetzt.

00:28:05 Christian Dietrich: Ich kann es mir eigentlich nicht vorstellen. Das sind öffentliche Gelder, und ich kann mir das eigentlich nicht vorstellen, dass man Lösegeld zahlen darf, um Daten wieder freizukaufen. Es ist ja anders vielleicht als mit materiellen Gütern in irgendeiner Form, wo Besitztümer einfacher geregelt werden können, also Eigentumsverhältnisse und so weiter. Also, ich habe die Kontrolle über eine Sache, in dem ich sie besitze oder nicht. Das habe ich halt bei den Daten nicht. Das heißt also, ich bekomme die Daten möglicherweise wieder, aber ich weiß nicht, was mit den Daten sonst noch passiert, und gleichzeitig habe ich wahrscheinlich ein kriminelles Geschäft befeuert. Ich kann mir das eigentlich nur sehr schwer vorstellen, dass dieses Dilemma, wie du es genannt hast, Matthias, zugunsten der Zahlung des Lösegelds aufgelöst wird.

00:28:53 Matthias Schulze: Wir leben ja immerhin in modernen Zeiten, und Doktor Google hat mir gerade  einen Artikel von Netzwelt.de ausgespuckt – das erste was aufgeploppt ist – aus dem Jahr 2020, wo auf Anfrage mitgeteilt wurde vom BSI, dass ihnen ein Fall bekannt sei, indem eine Kommune im Jahr 2016 für eine Entschlüsselung Geld bezahlt hat. Und das BSI rät, dass die Kommunen das nicht tun. Und wenn sie sagen, es rät, heißt das, sie dürfen ihnen nicht verbieten, das heißt, sie dürfen es wahrscheinlich, die Kommunen.

00:29:17 Christian Dietrich: Okay, krass, ja!

00:29:20 Lars Wallenborn: Ja, ich hätte ich auch nicht erwartet.

00:29:22 Matthias Schulze: Haben wir was gelernt hier im Podcast?

00:29:24 Lars Wallenborn: Kann ich mir auch gut vorstellen, wenn man am Anfang so ein Budget erstellt, dann irgendwie so fünf Prozent für Ransomeware Zahlungen, die man in den nächsten fünf Jahren irgendwie alle so abknapsen muss und so. Na ja.

00:29:33 Christian Dietrich: Es muss ein interessanter Beschaffungsantrag gewesen sein, den man da so ausgefüllt hat.

00:29:38 Matthias Schulze: Der Link kommt natürlich in die Shownotes.

00:29:40 Christian Dietrich: Perfekt. Gut, wollen wir mal ein bisschen springen, nämlich in die Geschichte. Wo kommt das Ganze eigentlich her, und warum ist das jetzt auf einmal ein heißes Ding? Und warum war das nicht vor einigen Jahren schon? Also Cyber Threat Intelligence, das haben wir ja eben schon gesagt, das gibt es schon relativ lange. Das kommt irgendwie natürlich so aus dem nachrichtendienstlichen Umfeld, aber es ist von da vielleicht lange Zeit nicht wirklich nach außen getragen worden. Und das änderte sich, glaube ich, so ein bisschen damit, dass es vielleicht irgendwie von Clifford Stoll 1989 in dem Buch Cuckoo’s Egg, also das Kuckucksei auf Deutsch, in dem mal dokumentiert wurde, wie man eigentlich versucht, einen Akteur zu tracken. Damals ging es eben um einen Cyberangriff gegen Lawrence …

00:30:24 Matthias Schulze: Das war eine Uni. Der Clifford Stoll hat an der Uni gearbeitet – ich weiß gerade nicht mehr genau, welche es war – und ist durch einen Buchhaltungsfehler auf einen Angreifer aufmerksam geworden. Irgendwie eine Abrechnung von 50 Cent oder so was, die zu viel drinne war. Und weil man ja damals noch für Services oder für Nutzungsdauer Geld bezahlt hat, war die Frage: Wer hat denn das verursacht? Und dann stellte er fest, da hat jemand von außen einen Nutzeraccount übernommen und hat auf dessen Kosten sozusagen hier unsere Ressourcen verwendet.

00:30:49 Lars Wallenborn: Und was bei dieser Uni damals der Fall war, ist, dass dieser Server quasi nur so als Jumphost verwendet wurde. Also da haben sich Leute eingewählt, um sich von da weiter zu verbinden zu anderen Zielen. Und ich glaube, der Chris recherchiert gerade, was nochmal das Ziel war. Währenddessen kann ich ja noch den, meiner Meinung nach, größten Treppenwitz an der ganzen Geschichte erzählen. Also, dieses Buch ist, ich glaube, einer der ersten gut dokumentierten, ich sag mal, Cyber Threat Intelligence Reports in gewisser Weise. Er hat sich quasi hingesetzt, dieses Buch geschrieben, und man könnte jetzt sagen, das ist ein Cyber Threat Intelligence Report. Klar, der ist ein bisschen outdatet – also 1989, ist schon eine Weile her, dass der veröffentlicht wurde – und damals haben die Akteure halt schon diesen Trick gemacht oder was heißt Trick, haben halt schon Server kompromittiert, um von da sich zu anderen Hosts weiter zu verbinden. Und heute liest man manchmal so in den Medien, ja, das hier ist ein Cyberangriff – irgendwie in schlechten Zeitungen und so – das ist ein Cyber Angriff, und das wurde zurückverfolgt auf eine IP Adresse, die aus Russland kommt. Deswegen war es Russland. Und das treppenwitzige daran ist, dass das schon in diesem ersten Cyber Threat Intelligence Report schon nicht mehr der Fall war, dass man auf Basis von IP-Adressen Attributierung machen konnte, und das triggert mich immer sehr, also wenn man diese Strohmann-Argumente irgendwie macht.

00:32:01 Matthias Schulze: Aber in der Episode ist natürlich eine ganze Menge Zeug drin, was auch heute noch relevant ist. Wen das näher interessiert, ich habe dazu mal eine Podcastfolge gemacht, vor einigen Jahren. Auch hier der Link in die Shownotes und … Shameless Self-Promotion. Aber das Interessante an dem Kuckucksei ist wirklich, dass man da viel für die heutige Zeit auch noch lernen kann. Also die Jump-off Points, die du genannt hast, die Rolle von trojanischen Pferden als Fake Login Screen, der Nutzerdaten abgreift, die Behörden Diffusion, die eingreift, sobald Clifford Stoll versucht, mit dem FBI zu telefonieren. Und dann Fragen wie: Ist das FBI eigentlich in charge oder die CIA oder die NSA? Und dann wird erst mal rumtelefoniert, die Arbeitszeiten von Hackerinnen und Hackern, die am Ende des Tages dabei helfen, als Indikator und Indiz eine Schlussfolgerung zu ziehen, dass der Angriff wahrscheinlich aus einer mitteleuropäischen Zeitzone kommt, die verwendeten Namen von Nutzer Accounts, die durch die Angreifer angelegt werden, die dann einen Hinweis darauf liefern, dass der Angreifer eventuell deutschsprachig ist, und allerlei solche Geschichten, die heute auch noch – also diese Indicators of Compromise – die heute auch noch eine Rolle spielen. Das ist ein ganz bemerkenswerter Aspekt dieses Buchs.

00:33:08 Lars Wallenborn: Auf jeden Fall, und ich meine er als Autor, ist auch einfach … so verrückter Professor Vipes irgendwie … und das ist auch super lustig geschrieben. Ich kann das Buch sehr empfehlen, auch zu lesen, und auch, was er sich dann ausgedacht hat. Ich meine, man könnte auch sagen, er hat eine der ersten Deception Plattformen oder Deception Operations durchgeführt, in diesem Cyberspace. Er hat quasi die so getan, als wäre er … also er hat eine Institution erfunden, von der er gerechnet hat, dass sie in den Zielanforderungen von den Hackern ist. Und dann hat er denen so falsche Dokumente, die er sich einfach ausgedacht hat, gefüttert. Und dann ja, also er war schon sehr kreativ, auch zu seiner Zeit. Also, wie gesagt, ist schon ewig her. Heute sagen Leute, wir haben eine Cyber Deception Plattform und machen damit einen Riesenhaufen Asche, und der hat es damals einfach nur, als, ich weiß es gar nicht, wissenschaftlicher Mitarbeiter an dieser Uni, so zum Spaß gemacht.

00:33:53 Christian Dietrich: Genau. Es war keine Uni, es war eine Forschungseinrichtung des US Department Of Energy, also des Energieministeriums. Aber genau, es ist nicht geheime Forschung die da passiert. Genau, das war das SDI Net. Also das Strategic Defence Initiative, muss man sagen, war zu der Zeit eigentlich ein relativ großer, wichtiger Begriff. Ein von Reagan, glaube ich, initiiertes Programm so in den USA, und das hat er halt irgendwie einfach aufgegriffen und hat halt einfach so getan, als ob dazu irgendwie Inhalte in der Forschung eine Rolle spielen würden. Um das vielleicht noch mal kurz zusammenzufassen. Da werden also viele Attributionsansätze letztlich auch eingesetzt, und damit sind wir vielleicht noch mal bei einem ganz wichtigen Punkt. In der Cyber Threat Intelligence spielt Attribution natürlich eine wichtige Rolle. Also eben die Frage nach dem, wer hat bestimmte Aktionen durchgeführt, wer hat bestimmte Angriffe irgendwie durchgeführt? Und die Folge Zwei von Persepticon, die hier das Buch von Clifford Stoll zum Thema hat, ist auf jeden Fall empfehlenswert. Und wir haben mal zum Thema Attribution eine Folge gemacht, die wir vielleicht auch noch mal kurz als Shameless Plug hier …

00:34:57 Lars Wallenborn: Shameless Self-Ppromotion as well.

00:35:00 Christian Dietrich: Also das ist die Folge Nummer Zwei, Hat-tribution, Attribution von Cyber Spionen.

00:35:01 Matthias Schulze: Verdient, kann ich jetzt von meiner Seite empfehlen.

00:35:06 Lars Wallenborn: Genau, in dem Kontext wollte ich noch gerade sagen, Chris, du hast gerade gesagt: Attribution ist, dass man herausfindet, wer dahintersteckt und so. Ich möchte nur der Vollständigkeit halber noch hinzufügen, dass ich auch sagen würde, dass schon das Zusammenfassen von Incidence, dass man das auch schon als Attribution bezeichnen kann. Nicht unbedingt muss, und vielleicht widersprechen mir auch irgendwelche offiziellen Definitionen da. Aber ich würde auch schon alleine sagen, dass man so Sachmuster wieder erkennt und dann irgendwie Dinge zusammenfasst, die erst unrelated zueinander aussahen. Das würde ich auch schon als Attribution bezeichnen. Also ist nicht immer nur das Ziel, am Ende zu sagen, wer es war, na ja.

00:35:35 Matthias Schulze: Dann biegen wir doch kurz jetzt auf diese Tangente ab, die Attributions-Tangente, die ihr aufgemacht habt. Wenn wir sozusagen jetzt auf der rein technischen Ebene bleiben, dann ist Attribution in erster Linie natürlich die Frage, welche Maschine hat was gemacht? Und dann kommt man häufig nicht weiter als IP-Adressen. Aber dahinter stehen ja noch zwei … ein paar nachgelagerte Fragen. Nämlich a) Wer bedient die Maschine, welcher Mensch? Und dann noch dahinter gelagert die Frage: In welchem Auftrag handelt dieser Mensch? Und da sind wir dann sozusagen bei den komplexeren Ebenen von Attribution, die weitaus schwieriger zu beantworten sind als die Frage, welche IP Adresse hat was gemacht. Nämlich welcher Staat, Fragezeichen? War es überhaupt ein Staat? War es ein privater Akteur? War es ein Rogue Actor? Es gibt ja dutzende cyberkriminelle Gruppen da draußen, die auf eigenen Geheiß agieren. Es soll auch Nachrichtendienste geben, die nicht das machen, was ihr ihr Herr oder ihre Herrscherin so befiehlt, die nach eigenem Gutdünken handeln. Also dann ohne staatlichen Auftrag, bisweilen aktiv sind. Und neben dieser, sagen wir mal, sozialen Attribution und der technischen Attribution gibt’s ja auch noch die ganze juristische Ebene, die rechtliche Attribution. Nämlich die Frage: Wer ist eigentlich zu  belangen juristisch? Wen kann ich anklagen, oder kann ich überhaupt jemanden anklagen? Und dann muss ich das Ganze auch noch gerichtsfest hinbekommen, wenn es zu einer Anklage kommt. Das heißt, wenn wir über rechtliche Attribution sprechen, dann haben wir ganz andere Grade von Informationen, die wir da brauchen, als wenn wir rein über diese technische oder aber auch schon ganz vorgelagert – so wie du Lars gesagt hast – dieses Clustering von Akteuren sprechen, was weniger voraussetzungsvoll ist, aber nicht desto trotz trotzdem schwierig ist.

00:37:13 Lars Wallenborn: Ich hab das nur erwähnt, weil für die meisten oder für viele Unternehmen zumindest ist es ja eigentlich egal, wer es war. Denen ist es völlig egal, ob es der Hans-Peter irgendwo war oder ob es irgendein anderer Krimineller war. Die wollen sich ja nur gegen den wehren. Das müssen schon sehr spezielle Konsumenten von Cyber Threat Intelligence sein, die das dann interessiert. Also in dem Fall halt jetzt irgendwie Strafverfolgungsorgane und Staaten und so was, die das dann noch eventuell strategisch einsetzen wollen. Und bei der Frage, die du auch super … mit den verschiedenen Ebenen … die Person, für welche Institution arbeitet die Person? Ich glaube zum Beispiel, wenn man so Spione irgendwie jagt, ist es gar nicht so wichtig, dass man die Person irgendwie kriegt, die es war, sondern da will man vielleicht als Staat eher nur wissen, welcher andere Staat war es. Egal, ob die Person, die dann da am Keyboard saß, jetzt der Hans oder der Karl war, da geht es eigentlich nur darum – irgendwie sind alle meine Hacker heute deutsch – da geht es irgendwie nur darum, dass man herausfindet, welcher andere Staat hat mich da irgendwie ausspioniert, angegriffen oder so was? Jetzt sind wir hier auf einer wirklich ziemlichen Tangente gelandet.

00:38:14 Matthias Schulze: Ja, wir können ja wieder zurück in die Vergangenheit reisen. Da sind wir ja hergekommen. Wir waren ja mit Clifford Stoll im Jahr 1989 als sozusagen historische Genese aus dem Ei gehoben, aus dem Ei gepellt, die Threat Intelligence, und dann passiert aber kurioserweise lange Zeit nichts. Beziehungsweise, ich habe nichts gefunden, was darauf hindeutet. Threat Intelligence selber taucht dann in meiner Recherche zumindest – ihr könnt mich gerne korrigieren – erst im Jahr 2011 wieder auf, als die sogenannte Lockheed Martin Kill Chain herausgegeben wird. Und die Kill Chain ist in gewisser Weise ein Daten-Ordnungsschema oder ein Analyseschema, um aus individuellen Daten eines Cyberangriffs, einer Cyberoperation, einen Sinn zu extrahieren. Und diese Kill Chain visualisiert mit einer militärischen Logik dahinter – deswegen heißt es Kill Chain, also Tötungskette – die Abfolge von, also ursprünglich von einem konventionellen Angriff. Das fängt dann mit so was an wie: Ich muss erst mal Reconnaissance machen, um zu wissen, was ich überhaupt angreifen will, dann muss ich Targeting machen, dann muss ich meine Waffen drauf einstellen, und dann muss ich irgendwann mal abfeuern, und dann muss ich ein Battle Damage Assessment machen hinterher, ob ich überhaupt getroffen habe. Das ist so eine traditionelle Kill Chain. Und Lockheed Martin, ein US-Verteidigungsunternehmen, hat das ganze Ding dann genommen, dieses Konzept, und hat gesagt, das gibt’s auch im Cyberspace mit einer Cyber Kill Chain. Das wird seitdem benutzt und weiterentwickelt als so eine Analogie, um Angriffe von komplexen Angriffsakteuren zu verstehen, weil diese Angriffe eine gewisse Phase durchlaufen. Und wenn man so Phasen hat, dann kann man sich sozusagen als Defender, als Verteidiger, drauf einstellen. Wenn ich weiß: Okay, jetzt sind wir in dieser Phase, in diesem Schritt, dann wird als nächstes höchstwahrscheinlich das und das oder das passieren.

00:39:50 Lars Wallenborn: Genau. Diese Kill Chain wird natürlich auch viel kritisiert und so was alles. Da möchte ich jetzt aber gar nicht so sehr drauf einsteigen. Also solche Sachen, wie, weiß ich nicht, ich kann mich überhaupt nicht dagegen wehren, dass ein Akteur Reconnaissance gegen mich durchführt oder so. Also, aber was ich eigentlich dazu sagen, noch ergänzen wollte, ist, dass diese Kill Chain auch so ein bisschen die … die war auch so eine Art Hoffnungsschimmer. Also das Versprechen dahinter war ja, das ist eine Kill Chain, also wirklich eine Kette, und ich als Verteidiger …. Man sagt ja klassischerweise immer, so ein Angreifer, der muss nur einmal erfolgreich sein, und ich als Verteidiger muss immer erfolgreich sein. Und diese Kill Chain hat das so umgedreht. Die hat quasi gesagt, na ja, der Angreifer muss so verschiedene Schritte durchlaufen – die hat irgendwie sieben Stück oder so – und ich als Verteidiger muss nur einen dieser sieben Schritte disrupten und verhindern, um den gesamten Angriff zu verhindern. Also fand ich ein ganz nettes Tool, um irgendwie dann doch mal, wie gesagt, einen Hoffnungsschimmer zu haben, dass dieses ganze Verteidigen dann doch was bringt.

00:40:48 Matthias Schulze: Ja, habe ich auch so wahrgenommen.

00:40:51 Christian Dietrich: Ich finde, parallel zu dieser Diskussion, die ja maßgeblich durch das Papier irgendwie hier zur Kill Chain entstanden ist, gab es, fand ich, auch so ein Trend, dass, und das würde ich jetzt mal so 2009 in etwa verorten, dass eben Reports, ich würde schon sagen, Threat Intelligence Reports, öffentlich gemacht wurden. Also zum Beispiel Operation Ghost Net ist was, was mir 2009 so über den Weg gelaufen ist, von dem Information Warfare Monitor, University Of Toronto. Ich glaube, damit begann so ein bisschen – in meinen Augen begann damit so ein bisschen  so ein Trend, dass man CTI Reports eben öffentlich gemacht hat. Etwas, was bis dahin jetzt also mit Ausnahme des Buchs von Clifford Stoll, nicht so häufig passierte. Vermutlich einer der mit am meisten betrachteten Reports in dem Bereich war dann der APT1 Report von Mandiant. Der kam 2013 raus, und der war jetzt, glaube ich, mehr oder weniger zum ersten Mal ein großer Report von so einer kommerziellen Einheit. Also, es gab vorher vielleicht auch schon den ein oder anderen Report in eine ähnliche Richtung – also zu anderen Akteuren – von Symantec und Dell SecureWorks, und McAfee. Aber Mandiant hat halt mit diesem APT1 Report schon einfach nochmal eine andere Größenordnung, kann man, glaube ich schon sagen, erreicht. Einerseits im Hinblick auf die Dokumentation, also es wurde relativ klar, dass hier sehr viel Sichtbarkeit vorliegt,  und dass eben auch in vielen verschiedenen Attributionsdimensionen gearbeitet wurde, um eben möglichst ein verlässliches Urteil nachher fällen zu können. Da kann man sagen, das ist eben ein weiterer Entwicklungsschritt, wenn wir uns diese Geschichte von CTI irgendwie anschauen. Und dass nämlich jetzt auf einmal, kommerzielle Player auftreten und ihre Threat Intelligence öffentlich machen.

00:42:42 Matthias Schulze: Du hast das gerade schon bemerkenswerterweise angesprochen, dass der Ghost Net Bericht, der ist ja von der Uni, vom Citizen Lab in Toronto, das ist ja ein Forschungsinstitut, was quasi den gleichen Slogan hat wie wir, eine technische Expertise und sozialwissenschaftliche Expertise zusammenzubringen. Ich erwähne das deshalb, weil die super Arbeit machen und ich da auch mal die Ehre hatte, mal einen Forschungsaufenthalt zu machen. Deswegen, die machen tolle Arbeit und Ghost Net ist auch eine witzige Operation. Weil da unter anderem auch der Dalai Lama, also das Büro vom Dalai Lama in Indien als Ziel galt, weil das vermutlich eine chinesische Operation war. Insofern ist das ein witziger Report und zeigt auch, dass natürlich aus der Uni-Perspektive, aus der Forschungsperspektive, diese Transparenz wichtig ist. Weil Wissenschaftlerinnen und Wissenschaftler wollen natürlich ihre Daten veröffentlichen und Peer Review aussetzen, also der Kritik der Masse. Und das ist ein interessanter Aspekt, wenn man jetzt den Mandiant APT1 Report nimmt, weil da gab es in der Infosec Community eine heftige Kontroverse darüber, ob das gut ist, was Mandiant da macht. Im Sinne von, die verraten ja die Tools of the Trade gewissermaßen, die verraten ja, wie Verteidiger funktionieren und wie Analysen funktionieren und geben damit ja vielleicht den Angreifern einen Vorsprung und machen das sowieso nur aus Publicitygründen und wollen damit Geld verdienen und FUD verbreiten, also Fear, Uncertainty and Doubt. Und das ist ganz witzig, weil einige von Mandiant dann heftige Blogposts dagegen geschrieben haben, und gesagt haben: Nein, das hilft uns allen, wenn wir diese Informationen teilen und wenn wir das eben nicht zurückhalten, weil wir da alle von lernen können. Also das ist eine interessante Rezeption dieses APT1 Reports, die mir im Zuge der Recherche aufgefallen ist.

00:44:20 Christian Dietrich: Ja.

00:44:22 Lars Wallenborn: Habe ich nichts zu ergänzen, super.

00:44:24 Matthias Schulze: Ich dachte, du sagst jetzt noch was vom Organisations …

00:44:28 Lars Wallenborn: Ich habe gerade gedacht, also, genau, also erst mal 100 Prozent, was du gesagt hast. Wenn so ein Report von so einer Firma öffentlich gemacht wird, ist das ein Marketing Tool. Das Marketing muss aber ja nicht unbedingt in Richtung potenziellen Kunden gerichtet sein. Das kann ja auch Richtung zum Beispiel potenziellen Mitarbeiter gerichtet sein. Guckt mal, was wir für einen coolen Scheiß machen, wollt ihr nicht bei uns arbeiten zum Beispiel. Und natürlich auch zu Werbezwecken. Aber das … da muss man halt so ein bisschen gucken. Wenn man zum Beispiel nur so öffentlich verfügbare CTI konsumiert, gerade von, na ja, von großen Firmen, sind die dann schon auch darauf zugeschnitten, marketingwirksam zu sein. Die sind dann immer besonders flashy, besonders unique, besonders … also halt in irgendeiner Weise besonders. Damit will man irgendetwas zeigen. Entweder möchte man als Firma sich selber besonders gut darstellen: Guckt mal, was wir alles sehen. Wenn ihr uns kauft, seid ihr besser geschützt. Oder, wie gerade gesagt, guckt mal, was wir für einen coolen Kram machen, wollt ihr nicht für uns arbeiten. Und das muss man halt immer, meiner Meinung nach nur so, als caveat halt immer im Kopf behalten. Das ist jetzt nicht ein breiter Überblick über die Bedrohungslandschaft oder so was. Ich glaube nicht, dass viele Firmen Blogposts über irgendwelche langweiligen, aber trotzdem sehr, sehr wirksamen Cyberangriffe schreiben, gegen die man sich verteidigen will, und das dann als Blogpost veröffentlichen. Ja, das noch so oben drauf. Und was dieses Information-Sharing angeht, von wegen, dass dann die Akteure besser werden. Ja, das ist halt so. Aber wenn man glaubt, dass man über Jahrzehnte hinweg die Tools of the Trade vor den bösen Hackern verstecken kann, das halte ich auch nicht für realistisch. Also ich meine, ich würde mal so grob sagen, das war schon ein guter Moment, um so was zu veröffentlichen, wenn ich das jetzt mal auf einen Satz runter brechen muss.

00:46:18 Matthias Schulze: Und es sind ja auch viele dann darauf angesprungen. Das war ja so ein bisschen dieser Wasserscheide Moment. Ich habe ein Zitat gefunden, so sinngemäß, der beschreibt die RSA Conference aus dem Jahr 2014, also große Security Expo in San Francisco, glaube ich, und das Jahr 2014 war voll mit Threat Intelligence Angeboten, die sozusagen da verkauft wurden. Und da haben es die ganzen Unternehmen aufgegriffen, und dann wurde es gewissermaßen massentauglich oder marktfähig mit dem Jahr 2014.

00:46:48 Christian Dietrich: Wenn wir mal nach Deutschland blicken, dann glaube ich, ist 2015 nämlich da der Bundestags-Hack, so ein Erwachensmoment gewesen. Das heißt also … klar war das vorher gerade so in der Infosec Community natürlich bekannt, Cyber Threat Intelligence, damit wusste dann jeder irgendwie was anzufangen. Aber 2015 ist es, glaube ich, in Deutschland so richtig angekommen und eben vielleicht auch so ein bisschen eben in der Gesellschaft, weil natürlich dieser Bundestags-Hack, der dann eben öffentlich auch diskutiert wurde, ja eine gewisse Breite erreicht hat. Und ich bin mir nicht sicher, aber ich glaube, dass sich seitdem vielleicht gar nicht mehr so viel getan hat. Also ich glaube, wenn man was beobachten möchte seitdem, dann ist es vielleicht, dass es weniger Ereignisse gibt, die öffentlich dokumentiert werden. Also ich glaube, dieser Trend, dieser APT1 Trend, sag ich mal, der hat abgenommen. Natürlich machen Companies immer noch Blogposts und hauen irgendwie Reports raus, aber nicht mehr, um zu zeigen: Guck mal, so cool ist unsere Threat Intel, oder so cool sind unsere Attributionsmöglichkeiten. Ich glaube, das hat abgenommen. Und die zweite Entwicklung, kann man vielleicht sagen, ist eben, dass wir mit der Ukraine Auseinandersetzung jetzt nochmal ein bisschen mehr auf potenzielle Cybergefahren gestoßen wurden. Aber das ist halt unheimlich schwer, das zu manifestieren in irgendeiner Form. Also, ich glaube, das ist im Moment noch nicht wirklich gut messbar, das wird noch ein bisschen dauern. Google und Microsoft haben da ja gerade so ein bisschen einen Versuch unternommen, da mal über das erste Jahr seit dem Beginn der Ukrainekrise so ein bisschen ein Fazit zu ziehen, über die unter anderem begleitenden Operationen im Cyberspace. Aber das wird sich noch zeigen, und meine Wahrnehmung ist auch, dass das in Deutschland jetzt nicht nochmal eine neue Entwicklung irgendwie angenommen hat.

00:48:36 Matthias Schulze: Das ist eine interessante Beobachtung. Also ich weiß gar nicht, ob das stimmt oder ob ich das auch so wahrnehme, dass es weniger wird, die Reports. Es kann natürlich sein. Müsste man mal messen, mal erheben. Vielleicht ist es aber auch einfach nur so, dass wir einen klassischen Produktzyklus haben. Das Thema ist hip und in, und 2014 dann ist es etabliert. Und dann muss man nicht mehr so viel Medienbuzz generieren, weil vielleicht auch viel dann schon in Lösungen und Produkte integriert wurde, sodass man diese qualitativen Reports am Ende des Tages vielleicht gar nicht mehr braucht. Ich spiele darauf ab, dass wir ja noch einen weiteren Mile Stone in der Entwicklung haben, und das ist eben, jetzt weiß ich immer nicht, wie man es auf englisch ausspricht, der Mitra ATT&CK Framework.

00:49:21 Lars Wallenborn: Mitra ATT&CK. Das ist die Cyber Kill Chain auf Koks.

00:49:25 Matthias Schulze: Nice. Genau. Also eine Art weitere Heuristik, eine viel ausgefeiltere Heuristik, um Angriffsverhalten zu klassifizieren, zu standardisieren und vergleichbar zu machen. Die heben stark auf Tactics, Technics und Procedures ab, also TTP und nicht mehr nur Indicators of Compromise. Ich weiß gar nicht, wie viele Kategorien haben die – 40 oder was, wie sie das einordnen?

00:49:48 Lars Wallenborn: Mindestens. Also, ich weiß nicht. Ich glaube, keiner kennt die irgendwie auswendig. Also die haben halt so eine riesengroße Tabelle, und ich glaube, was sie halt schon gemacht haben, dass also, so viel man die kritisieren will, was sie halt schon gemacht haben, ist, mal so eine Art Repository an Kram zu erstellen, das jetzt nicht unbedingt vollständig ist, aber das zumindest schon mal da ist, und das dann halt dann auch erweitern und so was.

00:50:10 Christian Dietrich: Also, sie versuchen einfach, alles zu katalogisieren, würde ich mal sagen,. Und das klappt in manchen Fällen gut, in manchen Fällen halt nicht. Aber das ist auch erwartungskonform. Es funktioniert halt nicht immer. Weil du immer die Frage hast, was ist das unterscheidende Kriterium, was du irgendwie anlegst. Du kannst irgendwie relativ gut argumentieren, dass du die Angriffstechnik Spear Phishing E-Mail von Exploitation of Internet Facing Webservers unterscheiden kannst. Das sind zwei irgendwie völlig verschiedene Dinge. Aber aber wie weit treibst du diese Unterscheidung der Techniken beispielsweise? Und genau … aber, wie gesagt, das ist glaube ich erwartungskonform. Damit muss man irgendwie umgehen können. Es ist schon nicht verkehrt, dass mal zu versuchen zu katalogisieren. Aber es hat eben auch seine Probleme.

00:50:56 Lars Wallenborn: Genau. Weil es halt auch zum Beispiel ermöglicht, dass man leichter drüber sprechen kann. Also wenn ich … wenn du das jetzt nennst Exploitation of Internet Facing Webserver, und jemand anders nennt das irgendwie Webserver Exploitation oder irgendwie ganz anders, dann könnte es ja zum Beispiel sein, dass zwei Leute das gleiche Akteurverhalten observieren, was ja interessant ist. Weil wenn man davon viele Overlaps hat, kann man dann vielleicht sagen, vielleicht haben diese beiden Incidence irgendwie ein Bezug zueinander, und das ist so ein bisschen so ein Vokabular, was da dann so vielleicht auch etabliert wird und so was alles genau. Ich glaube, die versuchen immer, vollständiger zu werden. Ich weiß ehrlich gesagt nicht, was da intern passiert. Und dann wird es halt vielleicht auch irgendwann absurd. Aber das geht auf jeden Fall jetzt zu weit. Mitra ATT&CK ist ein Ding, das …

00:51:38 Christian Dietrich: Ja, ich weiß gar nicht, ob ich das so hoch hängen würde. Also wie gesagt, ich glaube, das ist nicht verkehrt, das zu probieren, aber ein anderer Baustein, wo es super problematisch wird: Die versuchen ja auch eben auch, Gruppen und Akteure irgendwie zu katalogisieren. Und dann kommen wir ganz schnell in diese Diskussion, warum vereinheitlichen wir nicht die Akteursnamen über alle irgendwie Anbieter hinweg, und das – ich weiß nicht, ob wir das Feld jetzt hier aufmachen wollen , aber ja – haben wir, glaube ich, schon an verschiedenen Stellen mal diskutiert zumindest.

00:52:01 Lars Wallenborn: Also, ich möchte es aufmachen. Ich möchte dieses Feld aufmachen. Ganz dringend.

00:52:05 Christian Dietrich: Auf jeden Fall hat man eben auch da das Problem, dass unterschiedliche Bezeichner für möglicherweise die gleiche Gruppe oder verschiedene Ausprägungen der gleichen Gruppe, durchaus sinnvoll sein können. Weil sie auch eben die Sichtbarkeit auf die Gruppe abbilden. Allein das kann schon irgendwie ein Vorteil sein. Und wenn du dann katalogisieren willst …

00:52:24 Matthias Schulze: Jetzt hast du das Feld ja doch aufgemacht.

00:52:27 Christian Dietrich: Ich muss es ja irgendwie abholen, wenn ich es hier aufreiße. Ich kann es ja jetzt nicht hier aufreißen und dann irgendwie im Raum stehen lassen. Genau. Gut.

00:52:32 Lars Wallenborn: Genau. Also, Threat Actor Gruppennamen sind mehr ein Par aus der eigentlichen Gruppe und der Visibility, die man auf die Gruppe hat, die sich dadurch ergibt, wo man arbeitet, und so weiter.

00:52:46 Christian Dietrich: Wir haben ja gerade schon über eine ganze Reihe an Erzeugnissen im Kontext von Cyber Threat Intelligence gesprochen, zum Beispiel eben über Indicators of Compromise, aber auch über Reports, und vielleicht können wir uns mal so ein bisschen anschauen, was für Produkte gibt es denn eigentlich so? Also wie konsumiert man denn das? Oder nein, was gibt es denn zu konsumieren im CTI Kontext? Vielleicht kann man das am ehesten an den drei Ebenen von Cyber Threat Intelligence so ein bisschen festmachen, die, wie es sich für ein vernünftiges Modell gehört, natürlich auch nicht unumstritten sind. Also, was ich meine, ist eben die strategische, taktische und die operative Ebene von Cyber Threat Intelligence, die eben unterschiedlich abgebildet werden.

00:53:29 Matthias Schulze: Wir haben drei Ebenen. Fangen wir so an.

00:53:32 Christian Dietrich: Jetzt würden wir in der Informatik vermutlich eher von strategisch, taktisch und operativ sprechen. Die operative Ebene ist für uns so als Informatiker die Ebene, wo eben Indicators ausgetauscht werden, Indicator Feeds verbreitet werden und so weiter.

00:53:48 Lars Wallenborn: Die sind so richtig operativ, man sitzt so richtig am Keyborad und tippt so Tasten und schreibt so Code, der irgendwie so Indicator runterlädt und irgendwo hin kopiert und so weiter.

00:53:57 Christian Dietrich: Ja, genau, aber das sehen nicht alle so.

00:54:00 Matthias Schulze: Nee, da zeigt sich schön der Clash der verschiedenen Disziplinen, die wir hier am Tisch haben. Du sprichst über die Three Levels of Warfare oder Three Levels of War: Strategisch, operativ und taktisch. Das ist also aus dem Militärjargon, der versucht, verschiedene Ebenen von Kriegsführung zu konzeptionalisieren, und das ist so ein bisschen der geistige Ursprung dieser Einteilung. Ich finde immer die Erklärung ganz schön, um das Laien gewissermaßen verständlich zu machen: Strategisch ist die Frage, wie gewinne ich den Krieg? Wenn ich ein General bin oder eine Präsidentin oder ein Präsident, ist die strategische Ebene die Frage: Wie gewinne ich den Krieg? Da geht es um die Fragen wie mache ich meine Materialversorgung, woher kriege ich Öl für meine Kriegsschiffe? Welche Alliierten habe ich, die ich vielleicht mit reinehmen kann? Das ist also auf dieser hohen strategischen, manchmal auch politischen Ebene. Dann haben wir die operative Ebene, das ist gewissermaßen die Ebene der Operationen, der Kampagnen. Wenn wir den zweiten Weltkrieg mal als Beispiel nehmen, dann ist die operative Ebene so was wie die Invasion der Normandie. Operation Overlord ist die operative Ebene. Und die taktische Ebene, die ist dann da drunter, das ist die Ebene des einzelnen Gefechts, des Kampfes. Also, das ist das, was die Soldaten an den Stränden der Normandie für Manöver machen, um dem Maschinengewehrfeuer auszuweichen et cetera pp. Und das ist so eine leicht andere Heuristik als die operative Ebene, wie ihr sie verwendet, im Sinne von Development Operations und IT Operations und so weiter und so fort.

00:55:25 Christian Dietrich: Genau. Trotzdem lässt sich die grundsätzliche Idee, also auf verschiedenen Abstraktionsgraden zu arbeiten, ja übertragen auf CTI. Und da wäre sozusagen die strategische Ebene vielleicht eben so ein breiter Überblick über die Bedrohungslandschaft oder sich irgendwie mit Policy Dokumenten zu beschäftigen, China will die Seidenstraße ausbauen, und so was. Auf der taktischen Ebene würde man vielleicht eben versuchen, so was wie TTP’s zu beschreiben.

00:55:54 Lars Wallenborn: Auf der operativen Ebene.

00:55:57 Matthias Schulze: Es ist schon wieder passiert.

00:56:00 Christian Dietrich: Wir müssen mal bei Mitro ATT&CK nachgucken, wie die das eigentlich nennen. Also wiederkehrende Muster, Verhaltensmuster, die eben mehr Bestand haben als vielleicht eben nur für einen Incident. Und ich würde sagen, so eben auf der operativen – du musst jetzt sagen, taktisch – auf der operativen Ebene, da geht es halt um konkrete Indicators, also vielleicht direkt Operation …

00:56:28 Lars Wallenborn: Die Operationalisierung der Taktik. Bald versteht hier keiner mehr, wovon wir reden. Schön.

00:56:31 Matthias Schulze: Vielleicht hilft es auch nochmal kurz zu erklären, dass diese verschiedenen Ebenen – also es sind ja Heuristiken – um zu verstehen, wie detailliert Informationen sein müssen, und es geht auch darum zu erklären, dass verschiedene Stakes sozusagen existieren. Also die strategische Ebene ist zum Beispiel … wer ist auf der strategischen Ebene von Thread Intelligence? Das sind die CISO’s, die Chief Information Security Officer, das sind die oder der CO  reporten. Also Leadership Entscheidungen. Da geht’s um Management Entscheidungen. Da geht es um die Frage, welchen Business Impact hat der und der Angriff vielleicht, die Ransomware Kampagne? Ist das relevant für mein Business? Das ist so die strategische Ebene. Die operative Ebene, so wie ich sie jetzt verstehe, da geht es dann um die Ebene der Incident Responders, der Security Operations Teams, Verhaltensmusteranalyse, um Abwehrsysteme damit zu füttern. Das ist so das Operative. Welche Angriffsvektoren gibt es? Welche Schwachstellen werden benutzt, welche Command and Control Server werden benutzt et cetera pp. Und die taktische Ebene ist dann die der Indikatoren. Das ist dann die Ebene der Networkdefenders, der Security Operations. Das sind die, die die IOC’s dann blocken müssen, um sozusagen IP Adressen und so weiter auch zu sperren. Habe ich jetzt ganz doof erklärt, ihr wisst es besser als ich, vielleicht könnt ihr noch ergänzen.

00:57:47 Lars Wallenborn: Ganz im Gegenteil, das hast du ganz hervorragend erklärt. Ich hätte es auf keinen Fall so strukturiert über die Lippen gebracht, würde ich sagen.

00:57:53 Christian Dietrich: Und das bedingt natürlich auch, dass die resultierende Cyber Threat Intelligence unterschiedlich dokumentiert wird, nämlich auf einer strategischen Ebene eben genau nicht als Indicator Feed oder so was, sondern das sind eben genau diese geschriebenen Texte, das sind halt Reports. Und die müssen halt auch gelesen und irgendwie verstanden werden. Und jetzt können wir uns vielleicht nochmal so ein bisschen anschauen, was für Produkttypen kommen denn da so raus? Was ist denn … was sind so die Erzeugnisse von Cyber Threat Intelligence?

00:58:23 Matthias Schulze: Ja, da haben wir auf der auf der einen Seite natürlich schon mal die – du hast es ja gerade schon angesprochen – die, sagen wir mal, qualitativen Reports, also die Schriftprodukte, wie der APT1 Report von Mandiant, über die wir schon gesprochen haben. Die dienen also unter anderem auch der der Unterstützung der Entscheidungsträger:innen, von Unternehmen beispielsweise, oder von CISO’s. Und die sind also auf einer anderen Abstraktionsebene als zum Beispiel Indicator Feeds. Wollt ihr was zu Indicator Feeds sagen? Da kennt ihr euch definitiv besser aus als ich.

00:58:55 Christian Dietrich: Also da muss ich mal kurz …

00:58:56 Lars Wallenborn: Fürchterlich!

00:58:56 Christian Dietrich: Da muss ich mal kurz was anbringen,. Und zwar, ich habe mich natürlich gefragt, also jetzt, wenn man so ein Akademiker ist und so, da muss man natürlich mal gucken, was ist da so eigentlich wissenschaftlich publiziert?  Und es ist schon auffällig, dass finde ich zumindest, dass relativ wenig wissenschaftlich publiziert wird aus dem Bereich der Informatik, im Cyber Threat Intelligence Kontext. Natürlich ein paar Publikationen gibt es. Aber was machen die? Die versuchen, die Frage der Vergleichbarkeit von Threat Intel, dieser Frage nachzugehen, und was machen sie dann? Na ja, sie vergleichen im Prinzip resultierende Mengen an Indicators, die aus solchen Feeds irgendwie kommen. Das ist natürlich eine interessante Frage, aber das deckt ja eben bei weitem nicht jegliche Aspekte der Vergleichbarkeit von Threat Intelligence ab. Weil das ist jetzt wahrscheinlich spätestens klar geworden, wo wir diese klare Unterscheidung zwischen strategisch, operativ und taktisch gemacht haben.

00:59:55 Lars Wallenborn: Ganz klare Unterscheidung.

00:59:57 Christian Dietrich: Ich decke damit eben nur eine Ebene ab, anders geht’s halt nicht. Und natürlich ist es vielleicht eine ganz interessante Frage, wer hat mehr Indicators in seinem Feed? Aber so wirklich interessant ist die auch nicht. Denn je nachdem, was für eine Bedrohungsart ich mir anschaue, kann ich natürlich relativ leicht viele Indicators haben oder oder eben weniger. Also das ist halt unheimlich schwer und ist für mich so ein Ausdruck dessen, dass wir da möglicherweise in der Informatik auch nochmal viel überlegen müssen: Wie können wir so was messen, wie können wir vielleicht auch versuchen, Wissen aus diesen Reports irgendwie wieder raus zu ziehen? Das finde ich eigentlich, ist so technologisch vielleicht ganz interessant. So! Aber kommen wir mal zurück zu diesen Produkttypen. Was gibt’s denn da noch? Was wird denn noch so irgendwie auf den Markt geworfen und nennt sich Threat Intelligence?

01:00:45 Matthias Schulze: Oder Lars, wolltest du noch was zu Indicators sagen?

01:00:48 Lars Wallenborn: Ja, doch! Ich sage noch was zur Indicators. Das muss jetzt noch raus. Also, ich glaube, ein Problem, was da so ist: Manche Leute sagen, sie verkaufen Cyber Threat Intelligence oder sie kaufen jetzt auch Cyber Threat Intelligence ein, oder sie machen Cyber Threat Intelligence jetzt hausintern und so. Und alles, was da passiert, ist, IP’s blocken oder so. Und ich glaube, das ist eine Gefahr, wenn man quasi diesen Cyber Threat Intelligence Strohmann immer nur vor Augen hat, der nicht mehr kann als IP Adressen blocken oder Domains blocken oder so. Wobei das halt, wie wir jetzt gerade schon ziemlich gut ausgearbeitet haben, das adressiert immer nur die taktische Ebene. Und auch da ist es so …

01:01:24 Matthias Schulze: Also operativ.

01:01:24 Lars Wallenborn: Was? Ja, ja genau … da ist es auch so – ich glaube, es gibt kein gutes deutsches Wort dafür – Whac-A-Mole ist dieses Spiel, wo man mit so einem Hammer immer auf diesen Maulwurf draufschlagen muss, der aus einem Loch raus kommt. Und das ist das so mit Indicators. Also, man, man hat sich irgendwie überlegt, ich blocke jetzt diese IP Adresse. Dann stellt sich raus, so eine IP Adresse wird auch mal re-asigned an den anderen Server, dann kann man die nicht mehr blocken. Oder ich blocke jetzt diesen Domainnamen. Für einen Akteur ist super leicht, einfach einen anderen Domainnamen zu registrieren. Vorher war’s, wir blocken jede Datei, die exakt so aussieht. Das ist natürlich super leicht zu umgehen. Dann sagt man, wir schreiben irgendwie Signaturen für Dateien, die versuchen zu umschreiben, wie die Datei aussieht. Dann entwickeln Akteure halt Gegenmaßnahmen dagegen, um ihren Code zu obfuscaten und so, um so um Signaturen herumzukommen und so weiter. Und das ist nur, meiner Meinung nach, ein sehr simpler, sehr low hangig fruit Aspekt von Cyber Threat Intelligence, der aber natürlich sehr leicht zu verstehen ist, also relativ leicht. Also, man kann vielen Leuten schon sagen: Block diese IP Adresse, und dann blocken die diese IP-Adresse. Und diese Leute können dann vielleicht nicht so viel damit anfangen, wenn man denen sagt, ja, eine komplett flache Netzwerkinfrastruktur ist ungünstig, weil der Akteur dann sofort das gesamte Netzwerk kompromittiert, oder was weiß ich. Also, weil das vielleicht auch einfach dann Handlungsanweisungen impliziert, die sehr viel schwerer umzusetzen sind, als diese Liste von IP’s in meine Network Defence Produkte reinzukippen. So, jetzt bin ich fertig mit IOC’s.

01:02:55 Matthias Schulze: Hervorragend, da hast du noch ein gutes Stichwort gerade genannt. Also glaube, man kann diese CTI Produkte unterscheiden hinsichtlich der Quellen, die sie verwenden, also was die Grundlage ist. IOC Feeds, irgendwelche Darknet Market Analysen oder halt Auswertungen von Data Leaks beispielsweise, oder das Tracken von Cyberkriminellen Diskussionen im Darknet und in IOC Chanels, und was da sonst noch so benutzt wird. Telegramm, et cetera pp. Die Produkte unterscheiden sich hinsichtlich ihres Kontextreichtums. Also habe ich bloße Daten oder habe ich tatsächlich auch politische strategische Erwägungen mit drin? Und natürlich auch der Frage, ist das Handlungswissen? Also kann ich damit tatsächlich was machen, oder ist es einfach nur nice to know?

01:03:33 Lars Wallenborn: Genau. Das frage ich mich halt doch manchmal auch. Ich meine, ich weiß jetzt, über meine Firma wird im Darknet gesprochen. Ja, und jetzt? Was mache ich jetzt? Sage ich meinen Mitarbeitern jetzt, ihr werdet im Darknet besprochen, seid jetzt extra vorsichtig. Waren die vorher unvorsichtig? Dieses ganze Darknet Scraping Thema, da bin ich kein Fan von, sage ich mal. Sorry, aber ich hab dich unterbrochen, Matthias.

01:03:51 Matthias Schulze: Nee, ist ja ein absolut richtiger Einwand, das treibt ja wilde Blüten bisweilen. Also, ich habe hier eine Liste recherchiert von verschiedenen Intelligence Products. Das kommt, glaube ich, aus dem Recorded Future Handbuch, wenn ich mich richtig erinnere, und da gibt es einen ganzen bunten Blumenstrauß an verschiedenen Intelligence Produkten. Also ich liste mal auf: SecOps Intelligence, Vulnerability Intelligence, Threat Intelligence auf die Angreifer fokussiert, Threat Intelligence mit einem Risiko basierten Ansatz, Supply Chain und Third Party Intelligence, Geopolitical intelligence, Identity intelligence, also wenn es um Personendaten geht, Industrial Control System Threat Intelligence, et cetera, et cetera, et cetera. Also gibt es eine ganze Menge Zeug. Und dann stellst du konkret richtig die Frage: Brauche ich das wirklich alles? Oder ist da ist da auch einfach viel heiße Luft mit dabei?

01:04:39 Lars Wallenborn: Alles heiße Luft. Nein.

01:04:40 Matthias Schulze: Das ist natürlich auch so ein Marketing Handbuch, das geben sie frei verfügbar raus, das muss man, glaube ich, noch als Disclaimer mit dazu sagen. Das hat natürlich eine konkrete Werbefunktion für die CTI Plattform von Recorded Future. Ich habe aber noch einen schönen Spruch gelesen von Sans und – das ist ein Education Unternehmen in diesem Bereich – die haben gesagt, es geht gar nicht ums Produkt. Cyber Threat Intelligence is not a product, it’s a process. Also es ist am Ende des Tages ein Business Verarbeitungsprozess, und da ist es egal, welches Produkt ich dafür verwende. Ob das jetzt Open Source ist und frei verfügbar, oder irgend eine kommerzielle Lösung, ist am Ende des Tages egal, weil es um die Information und um die Handlungsfähigkeit dabei geht.

01:05:17 Lars Wallenborn: Ja, ich glaube, das bringt es schon so ein bisschen auf den Punkt. Ich meine, viele von den Begriffen sind wahrscheinlich auch einfach Marketingbegriffe, muss ja auch rein in so einen Marketing Pamphlet irgendwie, und das kann halt alles Mögliche heißen. Also, ich meine klar, Industrial Control Systems Threat Intelligence bezieht sich wahrscheinlich irgendwie auf Threat Intelligence für ICS, also für die Dinger, die unsere Trinkwasser Produktion steuern und so. Aber was das dann konkret heißt, ist natürlich eine andere Frage. Und auch, ob ich jetzt als Konsument davon damit was anfangen kann. Klar, wenn ich ein Trinkwasser Kraftwerk irgendwie betreibe, kann ich damit wahrscheinlich was anfangen, und dann ist das coverage hoffentlich auch gut. Aber wenn ich eine Bank bin, halt auf keinen Fall. Und wenn ich irgendwie noch ein kleineres Unternehmen bin, wahrscheinlich auch nicht. Ja, das sind halt alles sehr breite Begriffe, muss ich sagen. Also kann ich wirklich wenig mit anfangen, und ich kann mich überhaupt nicht in die Lage versetzen, wie schlimm das sein muss, wenn man noch nicht ich mal in der Branche arbeitet und entscheiden muss, ob man das kauft oder nicht. Da werden dann Entscheider irgendwie mit diesen Begriffen konfrontiert, und die müssen dann entscheiden, ja, das kaufen wir jetzt, und dafür geben wir signifikante Summen an Geld aus oder nicht. Und also, das muss eine sehr schwere Entscheidung sein, und da bin ich dankbar, dass ich die nicht treffen muss.

01:06:27 Matthias Schulze: Du hast ja jetzt eben schon beschrieben, dass wir also diesen ganzen Blumenstrauß an verschiedenen Produkten haben. Wir haben Feeds, wir haben Threat Intelligence Plattformen mit All Inclusive mit verschiedenen Features, und natürlich diese ganzen Genres, die auf bestimmte Branchen und Sektoren zugeschnitten sind, kritische Infrastrukturen, Industrial Control  Systems und so weiter und so fort. Wie geht man da jetzt wirklich ran, also wenn ich jetzt sagen würde, ich will oder ich brauche so was. Oder wie treffe ich denn die Entscheidung, brauche ich das? Und das bringt uns wieder zurück zur Frage: Ist das Ganze dann wirklich so sinnvoll? Und das ist die Frage, mit der wir eingestiegen sind. Vielleicht ist das auch ein ganz guter Weg, um da jetzt sozusagen langsam zum Schluss zu kommen. Brauchen wir das, oder hat sich das verändert, dass wir sagen: Nee, ist alles Quatsch?

01:07:10 Lars Wallenborn: Ich würde sagen, dass es bei diesem ganzen Computersicherheits … so ganz pragmatisch geht es bei der Computersicherheit ja gar nicht unbedingt darum, dass ich irgendwie perfekt sicher bin. Ich glaube, das wird man auch nicht erreichen. Also jeder Computer, der irgendwie mit dem Internet verbunden ist, und auch alle anderen sind allen möglichen Risiken ausgesetzt. Aber vielleicht geht es gar nicht so sehr darum, jetzt aus einer ganz pragmatischen Perspektive, dass man perfekt ist oder der in Anführungszeichen schnellste Büffel ist. Es geht nur darum, dass man nicht der langsamste Büffel ist. Weil die Büffel, die ganz hinten rennen in der Herde, die werden vom Löwen gefressen. Und vielleicht kann einem Cyber Threat Intelligence da so einen kleinen Boost geben, sodass man dann plötzlich doch nicht mehr der langsamste Büffel ist. Das wäre mein Fazit.

01:07:55 Matthias Schulze: Ja, also ich würde, glaube ich, das Argument kaufen, das in einem von diesen Broschüren gemacht wurde, dass es einer gut integrierten Organisation, die ein gut funktionierendes und finanziell ausgestattetes IT Team hat und Security Operations Center hat, dass es den Organisationen vielleicht in bestimmten kritischen Aspekten hilft, diesen kleinen zeitlichen Vorsprung von einem Angreifer zu haben. Das Argument kaufe ich. Aber da müssen natürlich viele Bedingungen erfüllt sein, damit das der Fall ist. Also, das Team muss effizient arbeiten, es muss genügend Ressourcen geben, damit auch wirklich dann ein Mehrwert draus generiert werden kann aus diesen Informationen. Für das jetzt auf ein kleines Unternehmen drauf zu werfen, die vielleicht gerade so die basalen IT-Sicherheitsfunktionen erfüllen können, für die ist es wahrscheinlich nicht sinnvoll. Was ich nicht weiß, und das ist wahrscheinlich die offene Frage, wie die Reise weitergeht. Ob das so diesen gängigen Markttrends folgt, dass man sagt: Okay, irgendwann wird das Zeug frei verfügbarer, es wird billiger, die Produkte werden diversifiziert, und am Ende des Tages können auch kleine und mittelständische Unternehmen diese Technologien nutzen, wie man es in allerlei anderen defensiven Technologien ja auch über die Jahre gesehen hat. Das mag ich, kann ich gerade noch nicht abschätzen. Vielleicht ist es so, vielleicht auch nicht.

01:09:11 Christian Dietrich: Für mich ist ein bisschen das, was ich aus der Folge heraus … ein Punkt, über den wir vorhin gesprochen haben, nämlich wie sieht es mit Threat Intel für, ich sag mal, kleine Organisationen aus? Also Organisationen, die eigentlich nicht groß genug sind, um selber Threat Intel verarbeiten zu können, weil sie einfach zu wenig Ressourcen haben, zu wenig Personal,  wie auch immer, und man das auch nicht aufbauen will, weil das irgendwie nicht wirtschaftlich ist? Was machen wir mit denen jetzt so aus so einer gesellschaftlichen Perspektive? Und da wird wahrscheinlich gerne mal der Ruf nach dem Staat irgendwie laut. Das ist vielleicht ja auch eine berechtigte Frage. Wie wird sich staatliche Threat Intel vielleicht verändern? Vielleicht, wie wird sie sich verändern müssen, wenn an manchen Stellen der Druck irgendwie mehr wird? Oder wird es andere Institutionen geben? Also wie gesagt, so was Genossenschaftliches oder irgendwie so Vereinigungen, Zusammenschlüsse, Vereine wie auch immer, die dann versuchen, vielleicht Threat Intel für bestimmte Bereiche, für bestimmte Arten von Organisationen wie Stadtverwaltungen irgendwie zu machen? Geht das überhaupt? Das ist für mich so eine offene Frage, die man vielleicht hier herausnehmen kann.

01:10:18 Matthias Schulze: Das ist der Call to Action. Wenn ihr dazu Ideen habt, dann dann lasst die uns bitte wissen, weil wir tappen hier im Dunkeln. Und das ist ja vielleicht auch eine schöne Frage für die Expertinnen und Experten da draußen, die da vielleicht auch ganz viele tolle Ideen oder vielleicht sogar ein Business Case für haben.

01:10:34 Christian Dietrich: Ja, wir hoffen, euch hat diese kollaborative Folge gefallen, und wir würden uns freuen, wenn ihr uns ein bisschen Feedback da lasst, vielleicht auf Twitter unter @armchairgators oder unter @perception mit  … das ist zu kompliziert. Wir machen es einfach in die Shownotes.

01:10:53 Lars Wallenborn: Irgendwo ist eine eins?

01:10:54 Matthias Schulze: Genau ja! Oder www.percepticon.de für die oldfashioned People unter euch, die gerne noch URL’s und Websites ansurfen.

01:11:03 Lars Wallenborn: Mir hat es jedenfalls Spaß gemacht. Es würde mich freuen, wenn ihr uns alle Folgen auf allen Plattformen, die ihr irgendwie habt, liked und subscribed und weiß ich nicht Sterne da lasst und Bewertung bei Apple … Ich weiß überhaupt nicht, wie dieser ganze Content Producer Kram geht, aber wäre cool, wenn ihr uns da was da lasst. Und ja, hat mir jedenfalls Spaß gemacht, und ich wünsche euch einen schönen Tag, oder Abend.

01:11:24 Matthias Schulze: Das Wichtigste ist, alle Armchair Investigators Folgen noch mal zu hören und am besten doppelt und dreifach auf allen verschiedenen Plattformen. Das wäre meine Empfehlung. Spaß beiseite. Mir hat es auch ganz viel Spaß gemacht. Ich glaube, das war eine ganz gute Mischung, die technische und die sozialwissenschaftliche Perspektive hier zusammenzubringen, war eine gute Sache. Vielen Dank dafür.

01:11:43 Lars Wallenborn: Danke dir auch.

01:11:44 Christian Dietrich: Danke auch von meiner Seite. Vielen Dank war echt lustig mit euch, hat Spaß gemacht, und bis bald.

#8 Close Access Operations — Cyberspionage Hautnah

Wenn Cyberagenten im gleichen Hotel wie ihre Ziele unterkommen und das Hotel-WLAN kompromittieren, dann fehlt die sonst übliche Distanz des Internets. In dieser Folge gehen wir auf eine Reise durch die Niederlande, die Schweiz und das Vereinigte Königreich. Wir folgen den Spuren der Cyberspionen, beleuchten wie sie vorgehen und welche Werkzeuge sie benutzen.

Shownotes

Transkript anzeigen…

00:00:20 Christian Dietrich: Hallo liebe Cyberfreunde. Mein Name ist Chris und ich bin Professor für Cybersicherheit an der Westfälischen Hochschule.

00:00:28 Lars Wallenborn: Und hallo, ich bin Lars. Ich arbeite als Softwareentwickler und Reverse Engineer bei CrowdStrike.

00:00:34 Christian Dietrich: Wir haben uns heute ein Thema rausgesucht, das ein bisschen weniger mit Malware, aber dafür mehr mit Spionage zu tun hat. Dazu versetzen wir uns noch mal in die Lage der Olympischen Sommerspiele 2016. Die waren nämlich in Rio, in Brasilien. Das Besondere an diesen Olympischen Sommerspielen war – und dazu müssen wir noch mal ein paar Jahre zurückschauen, nämlich zwei Jahre zurück zu den Olympischen Winterspielen, die 2014 in Sotschi in Russland stattfanden, – dass hier eine relativ wichtige Entscheidung noch ausstand. Nämlich die, ob russische Athletinnen und Athleten teilnehmen dürfen an den Olympischen Sommerspielen. Denn zwei Jahre vorher, also bei den Olympischen Winterspielen, war Russland die mit Abstand erfolgreichste Nation, also über 30 Medaillen insgesamt, davon elf Goldmedaillen. Aber durch Ermittlungen im Zusammenhang mit Doping sind insgesamt dann 48 Medaillen von russischen Athletinnen und Athleten zurückgezogen worden. Mehr als nur für die Olympischen Winterspiele 2014.

00:01:41 Lars Wallenborn: Und das war schon ein ziemlich großes Ding. Das ist zentral rausgekommen durch so eine ARD Dokumentation, die hieß „Geheimsache Doping. Wie Russland seine Sieger macht.“

00:01:49 Christian Dietrich: Von Hajo Seppelt.

00:01:51 Lars Wallenborn: Es gibt von dieser Dokumentation auch so eine Transkription, die wurde dann auch übersetzt. Wahrscheinlich, damit sie irgendwie in Anklageschriften verwendet werden kann und so weiter. Und die kam halt dann im Dezember 2014 raus und hat rausgebracht, dass Russland im großen Stil Doping bei den Olympischen Spielen unterstützt. Von staatlicher Seite. Und das hat wahrscheinlich viele Gründe. Ich denke mal, die Olympischen Spiele sind für viele Staaten ein richtiges wichtiges Ding – und gerade für Russland. Das spielt da, glaube ich, eine große Rolle. Das hat mit Nationalstolz zu tun, und hat man auch, glaube ich, viel genutzt damals, um von anderen innenpolitischen Problemen abzulenken. Und deswegen kam das gar nicht so gelegen, dass jetzt öffentlich wurde, wie da gedopt wurde und dass da gedopt wurde.

00:02:37 Christian Dietrich: Und weil dieses Thema eben von so hohem Interesse ist, also auch von politischem Interesse, macht es natürlich aus russischer Perspektive Sinn, dass man hier die Nachrichtendienste darauf ansetzt, als erste zu wissen, ob Russland denn jetzt ausgeschlossen wird oder nicht von den Olympischen Sommerspielen.

00:02:54 Lars Wallenborn: Genau. Ich fasse das noch mal kurz auf der Zeitleiste zusammen. 2014 waren die Olympischen Winterspiele in Russland in Sotschi, dann kamen die Dopingvorwürfe und dann musste entschieden werden, ob bei den Olympischen Sommerspielen zwei Jahre später, Russland überhaupt noch mitmachen darf oder nicht.

00:03:11 Christian Dietrich: Genau. Und in dem Moment betritt im Prinzip die erste Person die Bühne, die heute in der Folge noch mehrmals zutage treten wird. Und hier handelt es sich um einen russischen Agenten mit dem Namen Serebriakov, der eben auch zurzeit der Olympischen Sommerspiele in Rio vor Ort war. Das war nicht das erste Mal, dass er da war. Denn etwa einen Monat vorher war er schon mal für neun Tage in Rio. Und wir wissen gar nicht genau, was er da vor Ort gemacht hat, aber es ist ziemlich klar, dass er hier im Auftrag des russischen Nachrichtendienstes GRU nach Rio gereist ist. Die Olympischen Sommerspiele fanden statt und russische Athletinnen und Athleten durften teilnehmen, wenn auch unter etwas kuriosen Bedingungen, durften also nicht wirklich Russland vertreten in allen Disziplinen. Die Details ersparen wir euch da jetzt. Auf die wollen wir nämlich gar nicht unbedingt näher eingehen. Der interessante Teil der Geschichte, der beginnt nämlich nochmal etwa einen Monat später und der findet maßgeblich in Lausanne in der Schweiz statt.

00:04:18 Lars Wallenborn: Und dafür müsste man vielleicht wissen, auf welcher Basis so jemand überhaupt ausgeschlossen wird von den Olympischen Spielen. In dem Fall war es so, dass die WADA – das ist so eine weltweit operierende Organisation gegen Doping – die hat gegenüber dem Komitee, das die Olympischen Spiele ausrichtet, empfohlen, Russland komplett auszuschließen. Und in Lausanne – das was du jetzt ansprechen möchtest – da hat die nämlich eine Konferenz veranstaltet. Und da spielte Russland eine große Rolle. Wir haben uns mal so ein Meeting Protokoll runtergeladen. Wenn man darin nach Russland sucht oder nach Russia sucht, dann sind da auch 33 Hits. Also ich vermute mal, in diesem Meeting wurde da viel drüber gesprochen, auch wenn ich dieses ewig viele Seiten Dokument gar nicht komplett selber gelesen habe.

00:05:00 Christian Dietrich: Und der vorher benannte russische Agent Serebriakov war natürlich auch in Lausanne. Und zwar war er hier vom 18. September bis zum 22. September. Das ist eben genau der Zeitraum, in dem auch die von der WADA organisierte Anti Doping Konferenz stattfand. Und zwar in einem Hotel mit dem Namen Alpha Palmiers. Genau in diesem Hotel haben eben Serebriakov und ein Kollege von ihm sich auch zu dieser Zeit aufgehalten. Also die haben sich quasi aufgeteilt, einer war in dem Palmiers und einer war in dem anderen Hotel, das direkt um die Ecke war.

00:05:38 Lars Wallenborn: : Oder es waren einfach zwei russische Spione zufällig in der Schweiz im Urlaub, während eine Anti Doping Konferenz stattgefunden hat. Ein weiteres Event, das ein paar Monate nach dieser Konferenz und nach diesem Aufenthalt dieser beiden Spione in der Schweiz stattgefunden hat, oder was sich ereignet hat, war, dass das Canadian Centre for Ethics in Sport seine Netzwerke abgeschaltet hat. Das war im November 2016, also wie gesagt kurz danach. Wir können jetzt nicht nachweisen, dass das was damit zu tun hatte, aber man vermutet, dass da ein Hackerangriff stattgefunden hat. Und es ist möglich, sage ich mal, dass diese beiden Sachen irgendwas miteinander zu tun haben. Und eine Sache, die da passiert sein könnte, ist, dass diese beiden Spione in diesem Hotel in der Schweiz – da waren ja alle möglichen Abgesandten von allen möglichen Ländern da, auch aus Kanada – dass die da vielleicht Informationen akquiriert haben oder sogar Zugangsdaten irgendwie eingesammelt haben von den Leuten, die da in dem Hotel waren. Um dann einen Hackerangriff, einen Angriff auf dieses Canadian Centre for Ethics in Sport zu ermöglichen, zu einem späteren Zeitpunkt. Und solche Operationen, dass man einen Angreifer irgendwo hinschickt, in die physische Nähe seiner Ziele, solche Operationen nennt man Close Access Operations. Und darüber wollen wir heute reden.

00:07:00 Christian Dietrich: Du hast das gerade so vorsichtig formuliert, dass es möglicherweise diesen Zusammenhang geben kann zu der Abschaltung des Netzwerks, da im Canadian Centre for Ethics in Sport. Ich glaube, das ist tatsächlich ziemlich belastbar. Ich glaube, man hat da den Kausalzusammenhang tatsächlich herstellen können, indem man eben beobachtet hat, dass die beiden Agenten – unter ihnen eben einmal hier Serebriakov und sein Kollege – tatsächlich versucht haben, hier Malware auf dem Notebook eines Offiziellen des Canadian Centre for Ethics in Sport zu platzieren. Genau. Aber das ist eben Kern einer Close Access Operation, wenn man in physikalischer Nähe zur Zielperson ist.

00:07:44 Lars Wallenborn: Also um die Zeitlinie jetzt noch mal so ein bisschen ordentlich aufzubereiten: 2014 Olympische Winterspiele in Russland. Kurz danach kommt raus, dass Russland ein staatlich organisiertes Dopingprogramm hat. 2016 werden sie so semi ausgeschlossen von den Olympischen Spielen in Rio. Dort taucht dann unser Hauptakteur auf, Serebriakov. Kurz danach, im gleichen Jahr – auch 2016 – in der Schweiz, taucht er wieder auf: Auf einer Anti Doping Konferenz mit einem Kollegen zusammen. Und kurz danach werden wahrscheinlich Daten, die da gesammelt wurden, gegen eine kanadische Organisation eingesetzt, um da einzufallen. Kommen wir zur zweiten Geschichte.

00:08:20 Christian Dietrich: Im Folgejahr betritt ein anderer Agent – aber am selben Ort, nämlich auch in Lausanne – die Bühne, nämlich Sergejew. Und diesmal fand das WADA Annual Symposium in Lausanne statt. Es geht also wieder um Anti Doping. Und wieder ist ein vermeintlicher russischer Agent in der Nähe. Und dieser Agent Sergejew, der verknüpft das Ganze noch mal mit einem weiteren Vorfall, mit einem größeren Vorfall, über den wir jetzt als zweites sprechen wollen. Nämlich den Anschlag, den Vergiftungsanschlag gegen Sergej Skripal und seine Tochter.

00:08:55 Lars Wallenborn: So, und dieser Sergejew, der verknüpft jetzt ganz leicht diese beiden Ereignisse. Also der war 2017 in Lausanne und 2018 war er sehr zentral in die Vergiftung der Skripals verwickelt. Also man sagt, er hat da irgendwie die Operation on the Ground irgendwie vor Ort koordiniert. Ich glaube, also man vermutet, dass er nicht selber den Giftstoff ausgebracht hat, aber dass er irgendwie dabei geholfen hat oder das irgendwie koordiniert hat da, und war auch vor Ort in England.

00:09:26 Christian Dietrich: Jetzt müssen wir vielleicht noch mal kurz aufrollen, wie die Skripal Vergiftung und wie auch die Aufklärung danach so ein bisschen passiert ist. Sergej Skripal und seine Tochter wurden am 4. März 2018 in Salisbury in England mit Nowitschok vergiftet. Das ist ein Nervengift. Beide überleben nur knapp. Und dazu muss man vielleicht sagen, Skripal war Doppelagent. Also ehemaliger Agent des russischen Militärnachrichtendienstes GRU, der ja eben schon mal zur Sprache kam, ist dann angeworben worden vom britischen MI6, also quasi Doppelagent. Und na ja, es wurde berichtet, unter Berufung auf einen ranghohen Mitarbeiter der NATO Spionageabwehr, dass Skripal bis 2017 für insgesamt vier Nachrichtendienste von NATO Staaten gearbeitet habe. Also Skripal war da vielleicht …

00:10:16 Lars Wallenborn: Ziemlicher „busy beaver“ irgendwie.

00:10:17 Christian Dietrich: Genau.

00:10:18 Lars Wallenborn: Das war ein Riesending damals, 2018. Das war richtig in den Massenmedien. Und das Besondere an diesem Nowitschok Nervengift ist auch, dass ist so eine russische Entwicklung. Inzwischen steht das wahrscheinlich vielen Akteuren zur Verfügung aber es hat immer eine ganz starke Signalwirkung. Wenn heutzutage noch jemand mit Nowitschok vergiftet ist, dann kann man lapidar sagen „Die Russen waren’s und wollen auch signalisieren, dass sie es waren.“ Und das ergibt ja in dem Fall auch Sinn, dass da quasi der russische Geheimdienst ein Zeichen setzen wollte, dass das mit diesem Doppelagent sein, dass das nicht läuft.

00:10:49 Christian Dietrich: Natürlich läuft nach so einem Anschlag die Aufklärung an. Und da muss man eben sagen, gibt es hier vielleicht zwei wichtige Teile. Nämlich zum einen, da das Ganze in England passiert, gibt es natürlich englische, also britische Institutionen, Polizei und so weiter, die das versuchen aufzuklären. Und darüber hinaus gibt es aber noch eine ziemlich wichtige Organisation, die hier auch involviert ist, nämlich die OPCW. Und die OPCW, also wofür steht das? Das ist die Organisation for the Prohibition of Chemical Weapons. Oder auf Deutsch, die Organisation für das Verbot chemischer Waffen. Das ist eine unabhängige internationale Organisation, die durch die Vertragsstaaten der Chemiewaffenkonvention begründet wurde. Also eine internationale Organisation, keine direkte UN Organisation. Die ist 1997 gegründet, sitzt in Den Haag in den Niederlanden, und so kommen eben auch die Niederlande hier so ein bisschen ins Spiel. Und die Niederlande als Gastgeber haben eben die Aufgabe, die OPCW zu beschützen. Und jetzt ist eben folgendes passiert: Man hat eben nicht nur das Ganze durch britische Institutionen aufklären lassen, sondern man hat eben auch die OPCW involviert. Oder die OPCW hat sich ins Spiel gebracht, weil sie eben sehr viel Expertise hinsichtlich der Analyse von chemischen Kampfstoffen hat. Und darunter fällt eben auch Nowitschok, das hier verwendete Nervengift. Die OPCW scheint ein Geheimlabor zu betreiben, aber bedient sich durchaus auch anderer akkreditierter Labore. Und eins davon ist das Labor Spiez in der Schweiz. Und es ist gut möglich, dass das Labor Spiez auch mit einer Analyse von Nervengiftproben beauftragt wurde. Kommen wir zurück zu unserer Person Serebriakov. Denn was bringt diese Person hier ins Spiel? Bis jetzt muss man sagen, gibt es eigentlich noch keinen Link zwischen Serebriakov und dem Skripal Anschlag. Außer, dass Serebriakov für die selbe Organisation arbeitet wie Sergejew. Das ändert sich aber, als Serebriakov im April 2018 – am 10. April, also knapp einen Monat nach der Vergiftung von Skripal – in Amsterdam mit dem Flugzeug landet, mit dem Ziel, nach Den Haag weiterzufahren. Zu dem Zeitpunkt war aber auch schon relativ klar, dass es etwa sieben Tage später weitergehen sollte. Nämlich nach Basel, in die Schweiz.

00:13:23 Lars Wallenborn: Gut, dann wollen wir uns jetzt mal Serebriakov und sein in Anführungszeichen soziales Netzwerk anschauen, also die Leute, mit denen er da wahrscheinlich unterwegs ist. Denn wie sich rausstellt, war er weder in der Schweiz, noch die paar Jahre später in Den Haag alleine unterwegs, sondern hatte da einige Leute dabei, oder mindestens irgendeine andere Person dabei.

00:13:45 Christian Dietrich: Wir wollen uns dabei insbesondere auf den Vorfall in Den Haag konzentrieren, denn hier waren vier russische Agenten im Einsatz. Serebriakov und ein Kollege, der ähnlich wie Serebriakov technisch ausgelegt war. Also ein IT-affiner Agent, ein Cyberagent, könnte man sagen. Die beiden waren aber nicht alleine unterwegs, sondern die hatten eben HUMINT Support, also zwei weitere Agenten an ihrer Seite, die ebenfalls namentlich bekannt sind. Genau. Die zum Beispiel den Wagen gemietet haben, mit dem man dann irgendwie vom Flughafen Amsterdam Schiphol nach Den Haag gefahren ist, und so weiter. Die immer zugesehen haben, dass man den Müll irgendwie einsammelt und mitnimmt, damit man vielleicht nicht irgendwo Spuren hinterlässt und so weiter.

00:14:33 Lars Wallenborn: Du hast jetzt gerade einfach mal so en passant HUMINT verwendet. Vielleicht sollte man dann noch ganz kurz kommentieren, was du meintest. Die hatten zwei Leute dabei als HUMINT Support. Also HUMINT – es gibt ganz viel -INT, und HUMINT ist eine Form davon. Das bezeichnet verschiedene Formen von Intelligence und HUMINT steht für Human Intelligence, und das ist dieser ganze Klischee-Spion-Kram. Also Leute, die undercover irgendwo hingehen und wie du gerade gesagt hast, ihren Müll nirgendwo zurücklassen und falsche Papiere dabei haben. Also dieser Hollywoodfilm-Spion-Stuff mit Leuten mit Aktenkoffern voller Geld, und verschiedenen Ausweispapieren für verschiedene Länder, und so weiter und so fort. Und zwei davon waren dabei, die hießen Minin und Sotnikov. Und diese vier sind dann in Amsterdam gelandet. Am Flughafen haben sie sich dann ein Auto gemietet – da sind doch irgendwie so Quittungen rausgekommen – und sind mit diesem Auto dann zur OPCW gefahren.

00:15:36 Christian Dietrich: In Den Haag angekommen, ja, wie geht man da jetzt vor? Also es wird relativ offensichtlich aus dem Folgenden, dass es eben wieder eine Close Access Operation werden soll. Warum? Weil sie zunächst mal im Marriott Hotel direkt neben dem OPCW Gebäude einchecken. Das ist relativ gut und detailliert dokumentiert, weil eben die niederländischen Behörden hier diese Personengruppe observiert haben. Das heißt, die sind denen gefolgt. Und die haben eben alle Aktionen im Auge gehabt, haben diese Gruppe aber erst mal gewähren lassen. Jetzt muss man sich vorstellen, die fahren also mit ihrem Auto auf den Parkplatz vorm Hotel – das kann man sich vielleicht wirklich ganz gut aus so einer Vogelperspektive vorstellen – und da gibt es so einen relativ durchsichtigen Zaun, der … das ganze also im April, Anfang April, da waren die Bäume noch nicht wirklich grün … man konnte also ziemlich gut durch diesen Zaun sehen, auf das OPCW Gebäude. Und wo stellen die hier Auto hin? Ja natürlich in den Spot des Parkplatzes, wo sie irgendwie mit dem Kofferraum in Richtung OPCW zeigend parken können.

00:16:45 Lars Wallenborn: Und der Kofferraum? Der ist vollgestopft mit Hacker Tools. Da sind so Wi-Fi Antennen mit großer Reichweite drin, Batterien um Laptops und Computer zu betreiben, ein kleiner Transformer, um da irgendwie von den Batterien den Strom umzuspannen, und so weiter und so fort.

00:17:02 Christian Dietrich: Einige Handys …

00:17:04 Lars Wallenborn: Handys auch noch. Genau. Dieses ganze Equipment wurde dann später untersucht und man hat versucht wieder zu rekonstruieren, wofür das gedacht war. Und so wie das aussieht, waren quasi die Leute vor Ort dafür verantwortlich, dieses Equipment da auszurichten und zu betreiben, damit dann weitere Cyber Operateure aus der Ferne darüber dann das OPCW Netz kompromittieren können.

00:17:27 Christian Dietrich: Jetzt muss man sich eben vorstellen, das Auto ist geparkt, der Rechner wird hochgefahren oder die Rechner werden hochgefahren, die LTE Verbindung wird hergestellt, die Wi-Fi Antenne wird irgendwie in Position gebracht, noch so ein bisschen mit so einem Mantel abgedeckt, und jetzt schlagen die niederländischen Behörden eben zu. Also jetzt erfolgt ein Zugriff und die werden eben in flagranti erwischt. Jetzt muss man sich vorstellen: Mindestens einer von den Betroffenen checkt sofort, was Sache ist, schmeißt Handys auf den Boden, tritt drauf, also versucht auf die Art und Weise irgendwie Beweise zu vernichten. Aber die Lage ist eigentlich unmissverständlich jedem klar. Genau. Und in der Folge wird eben auch alles an Material dokumentiert durch die Niederländer. Und ein Großteil dieses Materials, würde ich sagen, ist eben auch öffentlich zugänglich. Oder unter anderem gibt es hier eine ganze Reihe an Spuren, die belegen, dass Serebriakov eben auch in Rio war. So schlägt sich der Bogen zu der Geschichte, die wir am Anfang erzählt haben. Und dass bereits Zugtickets gebucht waren, in die Schweiz. Nämlich nach Basel. Und von da aus möglicherweise weiter in Richtung Labor Spiez.

00:18:35 Lars Wallenborn: Und das war so richtig … also hat man so richtig Computerforensik gemacht. Also da kann man sich so richtig vorstellen, dass das, was wir Techies machen, dass das da eine Rolle spielt. Also hat sich jemand hingesetzt und den Laptop analysiert und herausgefunden, zu was für Wi-Fis der vorher connected war. Und da sind halt diese ganzen Sachen aufgeploppt, die du gerade erwähnt hast, Chris. Irgendwie das Palace Hotel in Lausanne und dann noch irgendwelche Wi-Fis, die man in Rio irgendwie zugeordnet hat, aber auch so was wie das Wi-Fi vom von einem russischen Flughafen und so weiter. Also da hat man so richtig schön technische Analysen gemacht, die dann da diese ganzen Fälle wieder zusammengezogen haben. Genau. Um das nochmal gerade so ein bisschen zusammenzufassen, weil es waren jetzt viele Namen, viele Zeiten, viele Personen: 2016, Serebriakov und ein Kollege, der Morenets, sind in Lausanne. Wahrscheinlich um für Russland da entweder Zugang zu besorgen zu Leuten, die an dieser Konferenz teilnehmen oder vielleicht auch einfach als Rache dafür, dass da Russland von den Spielen ausgeschlossen wurde und so. Und zwei Jahre später sind sie wieder für eine ähnliche Operation, aber in einem anderen Auftrag unterwegs, und zwar diesmal in den Niederlanden. Da sind sie beim OPCW und sollen da auch wieder so eine Close Access Operation durchführen und naja, also wurden da quasi in flagranti, kurz bevor sie wirklich losgelegt haben, erwischt und die Operation wurde abgebrochen. Und auch die darauffolgend geplante Operation, die wahrscheinlich dann auf das Labor Spiez es abgesehen hatte, wurde auch direkt mit vereitelt. Also ich ziehe meinen Hut vor den niederländischen Ermittlern hier, die da den Sack zugemacht haben.

00:20:18 Christian Dietrich: Richtig schön Gegenspionage gemacht. Ja, vielleicht beleuchten wir jetzt mal so ein bisschen, warum macht es überhaupt Sinn, Close Access Operationen zu machen?

00:20:29 Lars Wallenborn: Weil erst mal ist das natürlich super aufwendig. Also ich kann mir vorstellen, dass erst mal ich persönlich, wenn ich ein Hacker wäre, dann würde ich viel lieber vor meinem Computer sitzen, als dass ich durch die Weltgeschichte gondle, mit meinem eigenen Körper, der dann vielleicht verhaftet wird und ich in einem Gefängnis lande oder solche Dinge. Da bleibe ich doch lieber zu Hause vor meiner Tastatur sitzen.

00:20:51 Christian Dietrich: Vor allem, wenn man das vergleicht mit den sonstigen Infektionsvektoren, die wir so vorgestellt haben im Cyberbereich. Also sprich Spear-Phishing Mails verschicken. Hört euch dazu vielleicht noch mal die Folge zu Olympic Distroyer an…

00:21:03 Lars Wallenborn: Das heißt, es ist also viel billiger in gewisser Weise, diese Cyberoperationen aus der Ferne durchzuführen. Warum überhaupt Close Access? Warum überhaupt Leute mit einem Flugzeug durch die ganze Weltgeschichte gondulieren?

00:21:16 Christian Dietrich: Vermutlich auch viel weniger Risiko behaftet.

00:21:18 Lars Wallenborn: Genau. Man hinterlässt viel weniger Spuren. Also auch, wenn man meiner Meinung nach Spuren im Cyberspace hinterlässt. Wenn man im physischen Raum sich bewegt, hinterlässt man viel mehr Spuren, da hinterlässt man Zeugenaussagen, da hinterlässt man vielleicht irgendwelche Quittungen und eventuell auch seinen Müll, wenn man nicht aufpasst und so weiter.

00:21:38 Christian Dietrich: Trotzdem gibt es natürlich Ziele, die mit solchen Close Access Operationen verfolgt werden. Das kann zum Beispiel eben sein: Typische Collection Requirements. Also quasi, dass man einfach Informationen sammelt, an die man vielleicht auf anderem Wege eben nicht unbedingt kommt. Oder man hat es probiert und es funktioniert vielleicht nicht so. Das heißt Spear-Phishing Mails funktionieren vielleicht aus irgendwelchen Gründen nicht oder funktionieren nicht in time. Also man hat ja auch einen gewissen zeitlichen Rahmen, in dem man vielleicht so ein Ziel einer Mission erfüllen muss. Und wenn das nicht klappt, macht es vielleicht Sinn, auf eine Close Access Operation zurückzugreifen. Und dieses Informationen gewinnen kann zum Beispiel ja bedeuten, dass man Netzwerkverkehr mitschneidet. Das heißt, wenn ich in dem Hotel Wi-Fi bin, in dem gleichen Hotel Wi-Fi wie mein Ziel, dann habe ich vielleicht andere Möglichkeiten, den Verkehr mitzuschneiden, als ich das aus der Ferne hätte.

00:22:32 Lars Wallenborn: Und Verkehr mitschneiden ist natürlich attraktiv, aus ganz vielen verschiedenen Gründen. Also erst mal, wenn sich da jemand über eine unverschlüsselte Verbindung irgendwo einloggt – und das ist früher mehr passiert als heute, aber ich meine, selbst heute passiert das noch – dann kann man vielleicht die Zugangsdaten, die da verwendet wurden, mitschneiden. Man kann, wenn über diese unverschlüsselten Netzwerkverbindungen so sensitives Material übertragen wurde wie irgendwelche Dokumente oder E-Mails, kann man die auch mitschneiden und für alle möglichen Dinge verwenden. Zum Beispiel um sie zu leaken oder um sogenannte Tainted Leaks durchzuführen. Das sind Leaks, in denen man noch so ein paar Falschinformationen reinpackt, sodass das insgesamt sehr glaubwürdig und whistleblowy aussieht, aber letztendlich dann doch die Ziele von dem Akteur verfolgt, der das geleakt hat. Oder zu guter Letzt, oder wie sagst du immer?

00:23:21 Christian Dietrich: Das jute alte Kompromat. Was ist das denn eigentlich?

00:23:27 Lars Wallenborn: Das sind nicht öffentliche Informationen, die rufschädigend sind. Das ist auch, ich glaube, das ist sogar irgendwie ein Begriff, der…

00:23:35 Christian Dietrich: Ein russischer Begriff, glaube ich.

00:23:37 Lars Wallenborn: Ein russischer Begriff. Und das bezeichnet halt einfach, du hast irgendwie belastendes Material …

00:23:42 Christian Dietrich: Kompromittierendes Material.

00:23:44 Lars Wallenborn: … kompromittierendes Material, Urlaubsfotos von einem Politiker mit seiner Geliebten am Strand oder so was halt. Aber die Hoffnung ist halt, dass wenn man jetzt vor Ort ist, dann ist man da im gleichen Wi-Fi und kann eventuell diese ganzen Daten mitschneiden. Diese Daten, die verlassen dieses Wi-Fi eventuell nicht, oder verlassen es erst und sind dann verschlüsselt, oder sind dann halt im Internet als Ganzes, wo man sehr viel schwerer rankommt als direkt vor Ort. Und eine zweite Sache, die man da eventuell machen kann, neben diesem Collection, wäre auch Access. Also Zugang zu Computersystemen sich zu verschaffen, indem man da irgendwie versucht Rechner zu infizieren. Und das ist jetzt noch nicht mal unbedingt der berühmte USB-Stick wie in einem Film, der reingesteckt wird, um dann irgendwie Malware auf dem Computer zu installieren, während der Besitzer des Laptops gerade auf dem Klo ist oder so was. Da kann man vielleicht auch noch ganz andere Dinge tun. Also wie gesagt, ich habe ja noch nie irgendwas offensives gemacht. So cool es auch wäre, es gemacht zu haben. Aber ich könnte mir vorstellen, was man alles machen kann, wenn man so ein Wi-Fi, so ein WLAN kompromittiert. Da gibt es ja meistens so Dinger, wenn man sich in Wi-Fi einloggt, wo man dann noch bestätigen muss: Hier, ich akzeptiere die AGBs, und meine Zimmernummer ist die und die. Diese Dinger nennt man Captive Portals. Und man könnte die zum Beispiel manipulieren, sodass da dann, weiß ich nicht, ein Text draufsteht, der so was heißt wie: Um ins Internet zu kommen, musst du das hier downloaden und ausführen. Und dann laden die Leute das runter und führen es aus. Weil das ist ja das Captive Portal vom Hotel, die werden schon nichts machen.

00:25:15 Christian Dietrich: Jetzt können wir vielleicht noch mal kurz ein bisschen den Bogen schließen. Was wir nämlich wissen ist, dass unsere russischen Agenten in Lausanne Access, also Zugriff, auf andere Systeme bekommen haben. Sie haben eben mindestens das WLAN in dem Hotel, in dem sie waren, kompromittiert. Und sie haben eben mindestens einen Computer kompromittiert, nämlich den von diesem kanadischen Offiziellen. Wir wissen aber nicht, wie sie genau technisch vorgegangen sind. Das ist also nicht öffentlich dokumentiert. Aber da hast du ja gerade schon so ein paar Ideen in den Raum geworfen und vielleicht können wir da noch mal ein paar weitere Beispiele sammeln, um einfach so ein bisschen zu verdeutlichen vielleicht, was man da so tun kann und was da vielleicht so die Gefahren sind.

00:25:57 Lars Wallenborn: Und was überraschend daran ist, man braucht gar nicht so viel Equipment. Also man muss nicht den Kofferraum voller Hacker Tools haben, um so was zu tun. Also ich sage mal, für so eine Low Key Close Access Operation reicht eigentlich schon ein Laptop mit einer guten WLAN Karte. Die WLAN Karte muss so was können, das nennt man Promiscuous Mode, und dann kann man schon sehr viel Wi-Fi Traffic mitschneiden. Das heißt nicht unbedingt, dass man allen Wi-Fi Traffic kriegt. Gerade heutzutage, da wird doch alles immer immer besser mit dem Datenschutz und so. Aber damit kommt man schon ein ganzes Stück weiter. Und du hast dir, glaube ich, auch so ein paar Sachen ganz konkret angeguckt, oder?

00:26:31 Christian Dietrich: Ja, ich habe mir mal eine Sache angeschaut. Genau. Super Interessant finde ich folgendes: Die ganzen Pentester kennen das wahrscheinlich, klar, das ist irgendwie altbekannt. Aber Windows, das Betriebssystem, was vermutlich ja viele auf ihren Rechnern irgendwie zum Einsatz bringen, das hat so einen Mechanismus, der nennt sich Link Local Name Resolution. Das heißt, das vertraut unter gewissen Voraussetzungen seinen Nachbarn, sag ich mal. Und damit meine ich die Rechner, die im selben Netzsegment liegen. Und das ist vermutlich bei einem WLAN auch erfüllt. Im Internet ist das aber nicht erfüllt, diese Voraussetzung. Und jetzt gibt es halt folgenden Trick: Man kann als Angreifer im selben Netzwerksegment – also als jemand, der so eine Close Access Operation fährt und das Hotel Wi-Fi irgendwie kompromittiert hat oder zumindest im selben Wi-Fi ist – kann man mit einem Tool, das nennt sich Responder, solche lokalen Namensauflösungen umleiten oder da gespoofte Antworten irgendwie zurückschicken.

00:27:28 Lars Wallenborn: Und das coole an diesem Responder Tool in diesem Kontext ist auch, dass wir auch wissen, dass das zum Einsatz kam von von unseren beiden russischen Spionen. Also wir wissen, Responder wurde von denen eingesetzt, um da Netzwerke, um dieses Netzwerk da anzugreifen.

00:27:40 Christian Dietrich: Genau, für die Techies unter euch, man muss sich das so vorstellen: Also das Windows des Zielsystems wird getriggert, um bestimmte Namensauflösungen vorzunehmen. Der Angreifer erfüllt diese Namensauflösung, das heißt also liefert da eine Antwort zurück. Und dann versucht Windows mit dem Zielsystem, also mit dem Zielsystem des Angreifers, irgendwie eine Verbindung aufzubauen. Und in den Schritten gibt es eben Protokollnachrichten, die man abgreifen kann. Und wenn man Glück hat, kann man daraus Zugangsdaten, so was wie Benutzername und Passwort rekonstruieren. Klappt nicht immer, aber das kann man versuchen. Und das ist eben ein Weg, den man aus der Ferne nicht durchführen kann, sondern den muss man lokal machen, so in der Form, wie wir ihn hier beschrieben haben.

00:28:22 Lars Wallenborn: Eine weitere Sache, die man lokal machen kann, wenn man bereit ist, sich dafür spezialisierte Hardware anzuschaffen, zum Beispiel – also muss man nicht, aber das macht es einfacher – sind sogenannte Rogue Access Points. Eine klassische, fertige Hardwarekomponente davon heißt Wi-Fi Pineapple. Das erwähnen wir jetzt hier auch noch, insbesondere, weil wir auch von den Fotos, die da in dieser niederländischen Untersuchung rausgekommen sind, wissen, dass die russischen Agenten so einen Pineapple dabei hatten im Kofferraum. Wir wissen nicht, ob er eingesetzt wurde und wofür und ob er überhaupt eingesetzt werden sollte. Vielleicht haben sie ihn nur mitgenommen als Option. Aber das ist so ein typisches Tool, was da zum Einsatz kommt. Und was macht das? Das kann man sich so vorstellen. Dann gibt es da so ganz viele Wi-Fi’s, die heißen dann …

00:29:05 Christian Dietrich: Du kommst hier net rein.

00:29:07 Lars Wallenborn: Genau. Und so ein Rogue Access Point, der macht sich quasi das zunutze. Der macht sich das zunutze, indem er selber unter dem gleichen Namen ein WLAN aufmacht. Und den kann man dann auch so konfigurieren, dass er die Clients von dem ersten, von dem echten WLAN dazu überredet, sich neu zu authentifizieren und so, sodass dann dieser Access Point so tut, als wäre er das Wi-Fi, mit dem man sich eigentlich verbinden wollte. Aber eigentlich ein ganz anderer ist. Also man kann – wenn man sich Mühe gibt – dann kann man halt nach hinten raus auch das Internet anbinden. Das heißt, die Leute haben die normale Experience, sie connecten sich zu dem Wi-Fi, haben Internet. Aber was dann in Wirklichkeit passiert, ist, dass dieser Pineapple dazwischen sitzt, so als Man in the Middle, und dann halt auch den ganzen Traffic mitschneiden kann.

00:29:51 Christian Dietrich: Lars, das war ja in der Vergangenheit, würde ich sagen, mal erfolgversprechender. Also heute hat sich das ein bisschen geändert, würde ich sagen. Oder? Also der Angriff, den kann man immer noch machen. Es ist vielleicht fraglich, ob man damit heute noch so wahnsinnig viel Informationen rauskriegt.

00:30:08 Lars Wallenborn: Ja, ich denke auf jeden Fall weniger weniger als früher. Also irgendwann gab es ja diese große Initiative von Let’s Encript und so, die gesagt haben, wir verschlüsseln jetzt mal das ganze Internet. Das war der Zeitpunkt, wo dann plötzlich – das haben vielleicht viele gar nicht mitbekommen – anstatt http:// oben in der Zeile plötzlich https:// steht. Ja, das ist ein einziger kleiner Buchstabe, aber ein Riesenunterschied. Der sorgt nämlich dafür, dass der ganze Netzwerk Traffic verschlüsselt wird. Von dem Computer, der da durch das Internet browsed, bis zu dem Server, der das Internet zur Verfügung stellt, der ist dann komplett verschlüsselt und auch authentifiziert. Das heißt, wenn da dann so ein Rogue Access Point in der Mitte ist, dann kann der nicht in den Traffic reingucken und kann den insbesondere auch nicht manipulieren. Also eine Sache, die man dann zum Beispiel auch machen könnte bei unverschlüsselten Traffic, wäre halt, dass man einfach so was macht wie: Jedes Mal, wenn jemand eine executable Datei runterlädt, liefere ich stattdessen Malware aus. Also dann ist man auf microsoft.com, lädt ein Windows Update runter, aber in Wirklichkeit ist es Malware. Dann sieht es so aus dann für die Person, dass man von der Microsoft Seite Malware heruntergeladen hat. Und eigentlich vertraut man microsoft.com ja. Solche Angriffe sind heute so ohne Weiteres nicht mehr möglich …

00:31:14 Christian Dietrich: Du Optimist.

00:31:15 Lars Wallenborn: … weil das ganze Internet verschlüsselt ist. Und wer seine Website nicht mit HTTPS anbietet, der ist selber schuld. Ja.

00:31:27 Christian Dietrich: So. Das heißt, wir haben jetzt so ein paar Beispiele genannt, was man technisch tatsächlich machen könnte, wenn man Close Access hat und insbesondere, was man vielleicht eben nicht aus der Ferne machen kann. Warum sich Close Access also lohnt. Wenn man das mal versucht so ein bisschen zu abstrahieren, ist Folgendes: Man verlässt sich eben nicht so sehr darauf, dass ein Mensch social engineered werden muss. Also wenn ich das noch mal kontrastiere, vielleicht zu Spear-Phishing E-Mail, dann brauche ich da in jedem Fall immer noch so die Interaktion des Benutzers. Und durch immer mehr Aufklärungskampagnen, Awareness, kann es natürlich sein, dass die Zielperson, auf die man es abgesehen hat, die Phishing E-Mail als solche enttarnt, und einfach dieser Vektor nicht funktioniert. Das mag vielleicht bei Close Access Operationen auch zu einem gewissen Grad gelten, aber wenn ihr euch mal so vielleicht ein bisschen dran erinnert, wenn ihr euch in WLANs einloggt, dann sehen ja irgendwie diese Captive Portals überall anders aus. Also es ist total schwer, den Sollzustand von einem Captive Portal im Vorhinein irgendwie abzusehen.

00:32:28 Lars Wallenborn: Ja, also bei den meisten Hotels in denen man ist, da sieht das Captive Portal einfach schon so aus, als wäre es kompromittiert, aber ist es gar nicht. Das sieht immer so aus. Das Hotel will einfach, dass man in dieses komische Feld da seinen Namen einträgt und auf Absenden drückt. Und in gewisser Weise, du hast gerade gesagt, das verlässt sich nicht so sehr darauf, dass Leute gesocialengineered werden. Wenn man sich doch noch darauf verlässt, sind es quasi auch leichtere Ziele. Weil die Leute da auch quasi ja bereit sind, mehr Risiken einzugehen. Die sind da irgendwie im Ausland, brauchen jetzt dringend Internetzugang, weil sie, weiß ich nicht, noch wichtige Emails verschicken würden. Die sind ja alle so super wichtig und deswegen brauchen sie jetzt Internet. Und deswegen klicken sie da überall drauf, und laden alles runter und führen alles aus, was da irgendwie nicht bei drei auf den Bäumen ist. Ja, und dagegen vorzugehen ist halt super schwer. Weil du hast ja gesagt, es gibt da so ganz viele E-Mail Kampagnen, und auch von Google diese Kampagne, wo man irgendwie raten soll, ob es Spam ist oder nicht und so was. Und das geht halt viel besser. Weil der E-Mail Client immer gleich aussieht und die E-Mails, die man bekommt, die sehen grob alle gleich aus. Da kann man den Leuten leichter beibringen: Hey, wenn da was ungewöhnlich ist, wenn da was phishy aussieht, dann ist es vielleicht auch phishy. Aber so was kann man bei Captive Portals nicht machen. Die sehen sowieso immer anders aus.

00:33:39 Christian Dietrich: Das bringt mich wieder zu deiner Büffeltheorie.

00:33:43 – 00:34:39

Lars Wallenborn: Ja, wobei die Büffeltheorie hier nicht ganz passt. Die passt hier nicht ganz, aber gut. Okay, wir können noch mal gerade über die Büffel reden. Ja, ja, die Büffeltheorie, die passt hier nicht so ganz. Aber ich dehne sie mal ein bisschen aus. Also, warum Close Access? In gewisser Weise, weil alle Büffel plötzlich lecker sind. Also, wenn ich so im Internet bin und versuche, Ziele zu kompromittieren, dann sind da ja alle anderen Leute auch da im Internet und dann – das hat natürlich Vorteile, das heißt also, alle Leute sind da, auch die Dummen – und dann kann man sich die leichtesten Ziele aussuchen. Aber die leichtesten Ziele sind vielleicht doch nicht die interessantesten. Dann wäre es doch vielleicht ganz gut, so eine Art Vorauswahl zu haben, dass man nur noch interessante Ziele hat. Zum Beispiel nur noch hochoffizielle Persönlichkeiten, die irgendwas mit Anti Doping zu tun haben. Und bei so einer Close Access Operation muss ich mir diese Ziele nicht suchen. Da setze ich mich in das Hotel, wo die WADA diese Konferenz organisiert und warte, bis meine Ziele zu mir kommen, bis mir quasi die Büffel in den Mund fliegen.

00:34:42 Christian Dietrich: Ich habe noch nie Büffel gegessen. Ich weiß gar nicht, ob die so lecker sind, aber wie auch immer.

00:34:46 Lars Wallenborn: So, dann versuchen wir jetzt mal unter dem Ganzen einen Strich drunter zu machen und nochmal so ein bisschen aufzuzählen, worüber wir geredet haben. Eine Sache, die für mich hier sehr zentral ist – hatten wir eben ganz kurz angesprochen, als wir darüber geredet haben – was man mit Close Access Operation erreichen kann. Also wir hatten da zwei mögliche Ziele, nämlich Access oder Collection. Und wir wissen hier in dem Fall, dass einige dieser collecteten Daten dann auch später verwendet wurden. Da ist jetzt so ein bisschen verworren, aber bleibt bei mir. Es gab so eine Webseite, die hieß fancybaer.net, war das glaube ich. Darauf hat sich quasi eine selbsternannte Hacktivistengruppe dargestellt. Die hat sich Fancy Bear’s Hackteam genannt, und hat da quasi Dokumente von so Anti Doping Organisationen und von Doping Kontrollinstanzen geleakt. Stellt sich raus: Diese Hacktivistengruppe war gar keine Hacktivistengruppe, sondern wahrscheinlich eine staatlich gesteuerte Organisation. Und die haben halt im Rahmen dieser Close Access Operationen, die wir heute beschrieben haben, Daten gesammelt von solchen Doping Kontrollinstanzen, haben die so ein bisschen modifiziert und dann geleakt. Um halt in dem Fall die Interessen Russlands zu unterstützen. Und das ist halt sehr fies, sag ich mal. Weil dann denkt man so: Ah ja, das ist ja ein Whistleblower. Und die sind da irgendwie … die leaken einfach nur Sachen – Informationen sind frei – in die Öffentlichkeit. Dann werden die Materialien analysiert und dann stellt sich raus, da hat jemand gedopt.

00:36:31 Christian Dietrich: Okay, das Ganze soll abstrakt also so aussehen: Guck mal, es gibt zig andere Sportler von anderen Nationen, die hier auch dopen. Und das versucht man ja mit solchen Dokumenten zu untermauern. Ein weiteres Ziel für Nachrichtendienste, insbesondere hier vielleicht so was wie die Collektion, ist eben, dass man eben in andere Organisationen pivoten kann. Man könnte sich vorstellen, wenn man jetzt von solchen sportbezogenen Institutionen hier Zugangsdaten abgreift und Identitäten annehmen kann, dann könnte man das wiederum verwenden, um dann zum Beispiel politische Ziele, ich sage mal zum Beispiel im Innenministerium oder so was anzugreifen. Also politische Institutionen, die dann wieder einen Bezug zu der Sportinstitution haben. Wo es vielleicht bestehende Kommunikationskanäle gibt oder wo man sich irgendwie kennt. Und das erlaubt eben dem Nachrichtendienst dann, sich in solche Kommunikationskanäle einzuklinken und eben Zugriff zu bekommen auf weitere Ziele. Also das, was man eben so als Pivoting vielleicht auch bezeichnen könnte. Und das macht natürlich Sinn, weil klar, für so einen Nachrichtendienst gibt es immer viele verschiedene Targeting Requirements gleichzeitig. Während wir jetzt hier vielleicht maßgeblich so diesen Sportsektor beleuchtet haben, gab es natürlich für die GRU die ganze Zeit über natürlich auch weiterhin die Anforderung, hier militärische Ziele nach Möglichkeit auszukundschaften.

00:37:52 Lars Wallenborn: Kommen wir dann wieder zurück zu dem ersten Charakter, der heute aufgetaucht ist Serebriakov. Der ist nämlich, seitdem er dann da erwischt wurde, nicht mehr irgendwie öffentlich aktenkundig geworden. Also wir wissen nicht, was mit ihm passiert ist. Er ist bisher nirgendwo noch mal angeklagt worden, vielleicht auch nicht mehr verreist. Der ist völlig in der Dunkelheit verschwunden.

00:38:14 Christian Dietrich: Was mir so ein bisschen hängengeblieben ist, wenn man jetzt diese Story von dem OPCW Vorfall in Den Haag so hört: Das heißt, da sind irgendwie vier Agenten, die sitzen in einem Auto und dann werden die da auf frischer Tat ertappt. Dann fragt man sich doch: So, was ist jetzt? Die werden doch bestimmt verhaftet. Und jetzt gibt es vielleicht zwei Fragen. Die erste Frage ist vielleicht: Ist das, was sie bisher gemacht haben, nämlich diese Vorbereitung da, ist das überhaupt strafbar? Ich denke, vermutlich schon. Also zumindest das, was da dokumentiert ist, da gehe ich schon davon aus, dass das irgendwie strafbar wäre. Obwohl ich jetzt auch das niederländische Strafrecht natürlich nicht so kenne. Aber was viel wichtiger ist: Man hat dem Ganzen versucht so ein bisschen vorzubauen, indem nämlich diese vier Agenten, die hier eingereist waren, mit Diplomatenpässen eingereist waren. Und das bedeutet, die genießen vermutlich diplomatische Immunität. Das bedeutet, dass sie eben größtenteils nicht der Strafbarkeit unterliegen. Und das wiederum bedeutet, dass eben so ein staatlicher Akteur – oder generell staatlich gestützte Akteure – solche Close Access Operationen prima vorbereiten können, oder mit einem etwas anderen Risiko möglicherweise fahren, wenn sie ihre Leute noch unter Diplomatenschutz stellen können.

00:39:29 Lars Wallenborn: Weil staatliche Akteure halt Diplomatenpässe drucken können. Was hier auch passiert ist, was hier auch absurderweise passiert ist, mit direkt aufeinanderfolgenden Passnummern und so. Also ich habe hier manchmal das Gefühl, hier wurde alles so ein bisschen übers Knie gebrochen.

00:40:02 Christian Dietrich: Wir hoffen, wir haben euch mit dieser Folge mal ein bisschen Einblicke geben können in Close Access Operationen. Natürlich haben wir auch ein bisschen das Glück gehabt, dass diese Operationen relativ gut dokumentiert waren. Man findet nämlich gar nicht so wahnsinnig viele öffentlich gut dokumentierte Close Access Operationen.

00:40:19 – 00:40:41

Lars Wallenborn: Aber wie immer: Alles, was wir verwendet haben für die Recherche zu dieser Folge, packen wir auch wieder in die Shownotes. Das heißt, wenn ihr da selber ein paar Spuren verfolgen wollt, dann könnt ihr das gerne mal alles durchlesen. Da sind auch bestimmt noch ganz viele weitere Details und ungeschliffene Diamanten drin versteckt, die wir jetzt komplett übersehen haben in der Vorbereitung. Dabei wünsche ich euch viel Spaß und dann hören wir uns beim nächsten Mal wieder. Ich freu mich drauf.

00:40:43 Christian Dietrich: Bis zum nächsten Mal. Tschau.

#7 Olympic Destroyer — Der Cyber-Angriff auf die Olympischen Winterspiele 2018

Was ist eine False-Flag-Operation? Wie bereiten staatliche Cyberkräfte eine Sabotage-Aktion mittels Wiper-Malware vor? Wie erleben Betroffene einen solchen Angriff und wie wehren sie ihn ab? In dieser Folge bereiten wir den Cyberangriff gegen die Olympischen Winterspiele 2018 in Südkorea auf und versuchen Antworten auf die oben genannten Fragen zu geben. Folgt uns auf eine Reise in die Welt der Cybersabotage und die Herausforderungen der Attribution.

Shownotes

Transkript anzeigen...

„In der Zielumgebung der olympischen Winterspiele schaffen es die Agenten, einen Administrationsaccount zu ergattern. Sie nutzen diesen Account, um auf mehr als 16.000 Computern in der Zielumgebung Passwörter abzugreifen. Insgesamt bekommen sie somit die Zugangsdaten zu 400 verschiedenen Accounts.“

00:00:40 Christian Dietrich: Hallo liebe Cyberfreunde. Mein Name ist Chris. Ich bin Professor für Cybersicherheit an der westfälischen Hochschule…

00:00:46 Lars Wallenborn: …und hallo, ich bin Lars. Ich arbeite als Softwareentwickler und Reverse Engineer für CrowdStrike.

00:00:51 Christian Dietrich: Den Einspieler, den wir gerade gehört haben, der bezieht sich auf Inhalte aus einem relativ großen Vorfall, über den wir heute sprechen wollen. Und das Ganze bezieht sich auf die Olympischen Winterspiele 2018, die in Südkorea stattfanden. Und zwar in der Stadt Pyeongchang.

00:01:09 Lars Wallenborn: Nicht zu verwechseln mit Pjöngjang. Das ist eine ganz andere Stadt natürlich. Ja, und warum spielt das eine große Rolle? Na ja, gut, es sind erst mal Olympische Winterspiele, das heißt also ein weltweit riesen Event. Ja, also jeder kriegt das mit, wenn Olympische Winterspiele sind.

00:01:22 Christian Dietrich: Zum zweiten war es ein destruktiver Angriff. Also es ging um Sabotage.

00:01:25 Lars Wallenborn: Und das ist immer was ganz besonderes. Wenn man nur unseren Podcast hört, könnte man denken, dass jeder zweite oder dritte Cyberangriff ein Sabotageangriff ist, aber das ist mitnichten so. Wir finden die nur besonders interessant. Deswegen machen wir dazu so viele Folgen. Wie zum Beispiel die Folge Nummer Fünf, über die destruktive Malware Shamoon. Genau. Und das hier war auch so ein Sabotage Fall.

00:01:42 Christian Dietrich:  Und das dritte Argument ist vielleicht, wir haben ja so ein gewisses Faible für Attribution oder Fragen der Attribution, und auch vor dem Hintergrund ist dieser Vorfall besonders interessant. Man könnte sich nämlich hier im Kontext die Frage stellen: Was ist eigentlich eine False Flag Operation?

00:01:57 Lars Wallenborn: Und wir werden unter anderem auch jetzt gleich abdecken, wie lange so eine Vorbereitung auf so einen Angriff oder einen Hack überhaupt ist. Also da gibt es ja verschiedenen Filme oder Serien, die das verschieden gut oder schlecht darstellen. Also wie sich nämlich herausstellen wird – oh Wunder –  ist es nicht eine Person, die vor vier Monitoren sitzt und wild auf einer Tastatur herum tippt, sondern es ist eine monatelange Vorbereitung von vielen Leuten, die daran Vollzeit arbeiten. Und das kann man hieran auch gut erkennen.

00:02:25 Christian Dietrich: Ja. Außerdem ist für diesen konkreten Fall ganz interessant, dass kürzlich ein Kopfgeld ausgesetzt wurde oder eine Belohnung. Nämlich in Höhe von 10 Millionen US Dollar – durch das FBI –  für Hinweise zur Ergreifung der betroffenen Personen, der Beschuldigten hier. Und das unterstreicht nochmal, dass der Fall auch heute noch – also mehr als vier Jahre später – noch wichtig zu sein scheint. Lars, wie lange dauert denn eigentlich so eine Vorbereitung von so einem Hack?

„Der Agent beginnt mit der Reconnaissance. Er recherchiert, welche Firmen die Olympischen Winterspiele unterstützen. Unternehmer, die als Partner oder Sponsor auf der Webseite genannt werden, geraten so ins Fadenkreuz. Er verfasst Spear-Phishing E-Mails und schickt sie an 29 Adressen bei diesen Partnerunternehmen. Darunter befinden sich auch IT Dienstleister. Der Agent fälscht den Absender der E-Mail, sodass sie angeblich vom IOC Commission Chairman kommt. Der Anhang ist eine schadhafte Word Datei, die den Computer infiziert, auf dem sie geöffnet wird. Außerdem wird die Domain msrole.com registriert.“

00:03:36 Lars Wallenborn: So, und das ist alles passiert – du hattest ja gerade gefragt – im November 2017. Also es geht um die Olympischen Spiele 2018 und das ist jetzt im Vorjahr und da im November. Da sind also verschiedenen Dinge passiert. Und wie wir gerade gehört haben, da ist etwas, das nennt man, wenn man sich edel ausdrücken will Reconnaissance. Also da hat eine Person recherchiert, was überhaupt gute Ziele sind. Ja, also in dem Fall was IT Dienstleister sind, die die olympischen Spiele versorgt haben.

00:04:02 Christian Dietrich: Genau. Und das ist der Startpunkt. Das heißt also, das war scheinbar der Zeitpunkt, wo der der Angreifer, also die Akteure begonnen haben, diesen Angriff, den wir später noch kennenlernen werden, vorzubereiten. Und bei solchen öffentlichen Veranstaltungen ist ganz praktisch, dass die natürlich auch ihre Sponsoren darstellen wollen. Das heißt, in der Reconnaissance wurde hier eben ausgelotet, welche Dienstleister gibt es denn? Man muss sich das im Prinzip so vorstellen, dass es natürlich Partnerunternehmen gibt, die da bestimmte Dienstleistungen erbringen. Das ist also nicht die Kernorganisation für Olympische Spiele, die jetzt da zum Beispiel die IT Infrastruktur macht, sondern das sind natürlich Zulieferer. Also große IT Unternehmen beispielsweise, vielleicht auch kleine, die da bestimmte Aufgaben eben übernehmen.

00:04:49 Lars Wallenborn: Und dabei geht es halt darum, dass man da so als Angreifer, ich sage immer gern den langsamsten Büffel identifiziert. Also man will halt nicht den sichersten von den sichersten IT Dienstleistern kompromittieren, sondern man will halt unter all denen die es gibt, quasi den Schwächsten finden und den dann kompromittieren. Einfach aus Effizienzgründen.

00:05:05 Christian Dietrich: Ja, und was wurde von den Akteuren hier maßgeblich gemacht? Es wurden jede Menge Spear-Phishing E-Mails verfasst und mit einem schadhaften Word Dokument im Anhang verschickt.

00:05:15 Lars Wallenborn: Und das ist so ein Word Dokument, wie man das sich vorstellt. Das ist so eine Datei, die macht man auf, dann fragt die einen, ob man Makros aktivieren möchte und dann klickt man auf „Ja“ – also wenn man im Sinne des Angreifers handelt. Und dann macht diese Word Datei ihre bösen Dinge auf dem Computer, auf dem sie geöffnet ist.

00:05:33 Christian Dietrich: Wir haben uns mal eine E-Mail rausgesucht, die hier verschickt wurde, eine solche Spear Phish E-Mail. Und wenn euer Podcast Player das unterstützt, dann zeigt er den Text oder den Screenshot einer solchen E-Mail, wie sie in einem E-Mail Programm angezeigt werden würde, jetzt an. Ich lese das mal kurz vor. Also der Text ist relativ kurz in dieser Mail. Sie soll angeblich kommen von einem Absender, der da ‚IOC Info‘ heißt. IOC steht eben für International Olympic Committee. Und der Text lautet: „Dear Partners, the preparations for the Olympic Winter Games have successfully ended and in this connection, we would like to express our gratitude to you. We would be happy to foster our cooperation and present a list of our commercial offers. Looking forward to further cooperation…“ Und so weiter und so fort. Und da ist dann eine Signatur und auch so ein bisschen das Logo des IOC und so weiter drunter.

00:06:27 Lars Wallenborn: Das fällt jetzt natürlich direkt auf, dass das nicht so perfekt englisch ist. Man könnte jetzt sagen: Ja, das erkennt man doch sofort. Aber andererseits selbst im richtigen Business Kontext sprechen ja nicht alle immer perfekt englisch. Also hier fällt einem vielleicht dieses „…in this connection, we would like to express our gratitude…“, also das hat man wahrscheinlich aus einer anderen Sprache so was übersetzt wie „..in Bezug darauf möchten wir unsere Dankbarkeit aussprechen.“

00:06:49 Christian Dietrich: Genau. Man brauchte halt einfach nur irgendwie Text, der den Empfänger dazu verleitet, diesen Anhang zu öffnen. Es geht eigentlich gar nicht so sehr um den Text der da drin steht, und man könnte eben auch provokant sagen: Na ja, also jemand der bei so einem Text hier schon irgendwie stutzig wird, und gar nicht erst den Anhang öffnet, der würde wahrscheinlich bei so einer internationalen Organisation wie dem IOC oder in diesem Kontext gar nicht klar kommen, weil da wahrscheinlich eine ganze Menge solcher E-Mails irgendwie verschickt werden. Das heißt, die Wahrscheinlichkeit, dass die Adressaten, diese E-Mail hier entsprechend öffnen und den Anhang öffnen ist vermutlich recht hoch.

00:07:24 Lars Wallenborn: Ja, das würde ich eigentlich auch sagen. Genau. Dann das letzte, was wir gerade noch gehört haben, wie gesagt, wenn man sich wieder vornehm ausdrücken möchte, so wie man eben sagt, jemand googelt, nennt man das Reconnaissance. Jetzt wurde hier eine Domain registriert, msrole.com, das könnte man auch als Infrastruktur Setup bezeichnen. Also auch auf so einer Ebene, man registriert eine Domain, die man vielleicht später verwenden will, damit Malware mit der Domain kommuniziert, die bereitet man jetzt auch schon vor. Also man setzt die Infrastruktur auf, die dann für diesen Cyberangriff vielleicht nötig werden wird.

00:07:55 Christian Dietrich: Wenn wir uns ganz kurz noch einmal den zeitlichen Verlauf vor Augen führen: Im Februar fanden die Olympischen Winterspiele statt. Wir haben jetzt gehört, was im November passiert ist, springen wir mal in den nächsten Monat, nämlich den Dezember.

„Für die folgenden drei Monate werden das Verfassen und Versenden von  Spear-Phishing E-Mails eine immer wiederkehrende Tätigkeit. Am 06. Dezember 2017 alleine, wurden etwa 220 E-Mails auf diese Weise verschickt. Zwei Tage später 98 weitere. Ein Agent beginnt mit der Vorbereitung für die Entwicklung einer Wiper Schadsoftware. Andere Agenten führen einen Scan des Zielnetzwerkes durch, mit dem Ziel, Schwachstellen zu finden.“

00:08:37 Lars Wallenborn: So, was ist jetzt passiert? Das war jetzt einen Monat später, also das deckt jetzt schon einen Teil des Dezembers ab, 2017. Da wurde also angefangen, eine Schadsoftware zu entwickeln. Also Malware zu entwickeln. Und zwar eine Wiper Malware. Das ist eine Malware, die sich darauf fokussiert, Dateien von einem Computer zu löschen. Also da geht es nicht darum, Dateien irgendwie zu verschlüsseln oder so, sondern da geht es so um Schaden verursachen, Computer beschädigen, im Sinne von Daten davon löschen, sodass sie zum Beispiel nicht mehr booten oder so was.

00:09:06 Christian Dietrich: Wenn ihr dazu mehr wissen wollt, hört euch vielleicht mal Folge Fünf an, da reden wir ein bisschen über Wiper.

00:09:10 Lars Wallenborn: Und das kann man sich jetzt wirklich so ganz konkret vorstellen. Also da setzt sich jetzt so eine Person hin und will eine Windows Software programmieren, und macht dafür die Entwicklungsumgebung auf…

00:09:21 Christian Dietrich: Wahrscheinlich Microsoft Virtual Studio.

00:09:23 Lars Wallenborn: …und dann wird da Programmiercode in diese Entwicklungsumgebung rein getippt, so in C oder C++, dann wird das kompiliert und dann kommt da eine ausführbare Datei bei raus. Also dieser Programmiervorgang dauert jetzt natürlich etwas länger, aber na ja, jetzt im Dezember wird damit halt schon mal angefangen. Auch vielleicht bezeichnend: Bevor man überhaupt Zugriff auf irgendwelche Systeme hat.  Klar, da wurden schon Spear-Phishing E-Mails verschickt und so, aber die Akteure die dahinter stecken, die sehen halt voraus, dass sie  wahrscheinlich irgendwann auf irgendwas Zugriff bekommen, und bereiten sich dann schon mal vor, Malware zu schreiben, die sie dann da ausbringen können.

00:09:56 Christian Dietrich: Genau. Das sind halt Leute, die das nicht zum ersten Mal machen und die wissen, dass sie hier parallele Aktivitätsstränge haben müssen. Also die haben Reconnaissance im letzten Monat gestartet, dann Infrastruktur begonnen und jetzt fangen sie eben auch schon mit der Malware Entwicklung an. Und was machen sie noch? Sie betreiben Vulnerability Scanning. Das heißt, sie suchen nach Schwachstellen in der Ziel-Infrastruktur. Das kann man sich so vorstellen, also vielleicht so eine Metapher wäre, dass man mal die ganzen Häuser in einer Straße abgeht und überall die Türklinke mal so runter drückt, so auf gut Glück, um zu gucken, ob die Tür offen ist. Ist sie vielleicht gar nicht abgeschlossen, sondern kommt man irgendwo rein? Man drückt mal gegen jedes Fenster und guckt ob man da irgendwie reinkommt. Wenn man da so ein bisschen versucht zu übertragen, dann wäre das so ein bisschen was wie Vulnerability Scanning. Das heißt man weiß vielleicht auch schon so in etwa, wie man welches Fenster am besten drückt, damit es irgendwie aufspringt. Und das machen die eben.

00:10:47 Lars Wallenborn: Und in welchem Stadtteil man das macht, oder sogar bei welchem Haus man das machen will und solche Dinge.

00:10:51 Christian Dietrich: Genau. Vielleicht kann man an der Stelle sagen, also das wirkt alles jetzt nicht virtuos, aber wir können festhalten: Diese Akteure beherrschen die Klaviatur der Offensivtechniken.

„Zwei schadhafte Smartphone Apps mit dem Namen „Seoul Bus Tracker” und „HanMail“ werden entwickelt und jeweils ein paar Tage später veröffentlicht. Die entsprechenden App Stores verhindern aber eine Verbreitung. Der Agent scannt die Webseite des Komitees für Sport und Olympische Spiele Korea nach Schwachstellen. Das gleiche passiert auch bei einem koreanischen Energieunternehmen und einem koreanischen Flughafen. Am 19. Dezember erlangen die Agenten Zugriff auf das Netzwerk eines Partners der Olympischen Spiele. Drei Tage später auf das Netzwerk eines weiteren Partners. Sie erzeugen außerdem eine Kopie von Teilen der Webseite des koreanischen Landwirtschaftsministeriums. Dann erhält ein Agent zum ersten Mal Zugriff auf einen Computer in der Zielumgebung der Olympischen Winterspiele.“

00:11:54 Lars Wallenborn: So, das war jetzt also immer noch Dezember. Da wurden jetzt zwei Smartphone Apps entwickelt. Das finde ich ganz kurios. Vor allem weil das halt auch so erfolglos ist, und vor allem weil es auch zwei sind. Also man entwickelt irgendwie eine Smartphone App und bringt die auf dem App Store raus, die wird sofort geblockt und dann entwickelt man noch eine Smartphone App, bringt die wieder auf dem App Store raus, und die wird wieder sofort geblockt. Also erst mal Kudos zu den entsprechenden Leuten, die dafür gesorgt haben, dass die so schnell geblockt wurde. Aber da ist ja ein System hinter. Also da hat wahrscheinlich sich schon jemand überlegt, es lohnt sich, diese Apps zu entwickeln. Und ich vermute, das liegt so daran, dass – man könnte sagen, Handys sind der neue Computer. Also es gibt ja auch Leute heutzutage, die haben halt überhaupt keinen Computer mehr. Die machen all ihre Kommunikation im Internet über ihr Smartphone. Ja, also E-Mails verschicken und irgendwelche Nachrichten und so. Also das ist nicht so ganz mein Fall. Also ich finde diese Handy Tastaturen einfach zu klein um sie zu bedienen. Aber ja, Handys spielen schon eine sehr zentrale Rolle und haben ja vor allem eine ganze Menge sehr leckere und interessante Daten für Angreifer. Also Handys haben immer direkt Geolocation Funktionalität, und darüber läuft dann auch immer viel Kommunikation ab, das heißt also man kann auch in die privatesten privaten Nachrichten von Leuten rein gucken.

00:13:07 Christian Dietrich: Ja, trotzdem finde ich, ist das irgendwie merkwürdig. Also man könnte jetzt sagen, irgendwie klar, so eine App zu entwickeln, das ist eben wieder eine weitere Technik in dieser Klaviatur der Offensivtechniken. Aber man kann sich natürlich schon fragen: Okay, in welche Richtung geht das ganze hier eigentlich gerade? Denn wenn ich so eine App entwickle, und es auf diese Daten absehe, wie du gerade beschrieben hast, dann würde sich das ja besonders lohnen, wenn ich über Close Access Operationen rede. Das heißt, wenn ich es auf bestimmte Leute abgesehen habe und denen möglicherweise vielleicht auch irgendwie physikalisch nahe kommen will oder wissen will, wo die sind. Das sind Dimensionen, die können wir, glaube ich, hier nicht abschließend bewerten. Aber es ist eben zweifelsfrei belegt, dass diese Apps entwickelt wurden. Der zweite Punkt ist, dass in diesem Zeitfenster das erste Mal Zugriff auf Computer in der Zielumgebung passierten. Das heißt also, jetzt sechs Wochen nach dem Kickoff haben wir den ersten Zugriff in der Zielumgebung.

00:14:05 Lars Wallenborn: Cool würde ich sagen. Also sechs Wochen um Zugriff auf die Olympischen Spiele zu bekommen – also ich könnte das nicht, sage ich mal.

00:14:12 Christian Dietrich: Ja genau, man könnte jetzt denken: Mission accomplished! Ganz soweit sind wir ja noch nicht. Man muss sich da vielleicht auch noch mal eins vergewissern: Nur in der Zielumgebung zu sein, heißt ja noch nicht, dass man am Ziel ist, ja in Bezug auf die Mission die man da vielleicht hat. Das heißt, jetzt hat man irgendeinen Computer bei einem – beziehungsweise mehreren der Dienstleister haben wir ja gehört – kompromittiert als Angreifer, und na ja, jetzt muss man halt so ein bisschen gucken: Okay, was gibt es da zu holen und wie durchwandere ich im Prinzip die Zielumgebung, bis ich an dem Ort bin, wo ich wirklich hin will.

00:14:45 Lars Wallenborn: Genau. Und das Durchwandern ist halt super wichtig, weil wenn ich nur den Computer, den ich jetzt kompromittiert habe zum Beispiel, wipe, dann kriegt das vielleicht jetzt noch nicht mal jemand mit. Und wenn man so eine Wiping Kampagne macht, dann zielt man immer auf einen großen Impact. Dann zielt man immer auf einen Knall ab. Also man will, dass das in die Medien kommt. Man will, dass da Leute nicht mehr ihre Arbeit machen können und so weiter. Und wenn man einfach nur einen Computer kaputt macht, das ist ganz normal, manchmal gehen Computer auch kaputt, ohne dass es einen Malware Angriff gibt. Und damit können Firmen ziemlich gut umgehen heutzutage.

00:15:17 Christian Dietrich: Okay. Das heißt, der Akteur ist jetzt in der Zielumgebung auf mindestens einem Rechner – wahrscheinlich sind mehrere kompromittiert – aber noch nicht so viele. Und jetzt ist die Frage: Was sind denn jetzt die nächsten Schritte?

„Weitere Spear-Phishing E-Mails werden verfasst. Wieder wird der Absender gefälscht. Dieses Mal sieht die E-Mail so aus, als ob sie von Koreas nationalem Anti-Terror Zentrum käme. In Wirklichkeit hat sie erneut eine schadhafte Word-Datei im Anhang, die den Computer des Empfängers infizieren soll. Die Malware tarnt ihre Kommunikation dabei als Bild, mittels Invoke PSImage. Einer Software, die nur wenige Tage vorher auf GitHub veröffentlicht wurde.“

00:15:57 Lars Wallenborn: Auf jeden Fall busy, diese Angreifer. Also immer weiter Spear-Phishing E-Mails schicken ist quasi so, ich sage mal, die langweiligste Art und Weise, wenn man mich fragt, wie man eine Organisation angreift. Also ganz viele Spear-Phishing E-Mails schicken, in der Hoffnung, dass irgendeine davon mal angeklickt und ausgeführt wird.

00:16:16 Christian Dietrich: Genau, ich meine das Interessante ist auch, die haben ja eigentlich schon Zugriff, aber die schicken trotzdem weiter Spear-Phishing E-Mails. Also man versucht sich möglicherweise Fall Back Möglichkeiten zu schaffen…genau, also man macht einfach immer weiter…

00:16:26 Lars Wallenborn: Und diese Sache mit Invoke PSI finde ich hier besonders interessant. Das war so ein Tool, das ist damals – also wir sind ja jetzt irgendwie Weihnachten herum, im Dezember – und Mitte Dezember hat das irgendjemand auf Twitter gepostet. Wir können den Tweet nachher auch mal in die Shownotes tun. Das war jetzt keiner, der mit den Angreifern zu tun hat oder so. Da hat einfach jemand ein Tool entwickelt, um mit Power Shell – das ist so was, das ist bei Windows immer dabei, so eine Scripting Sprache – um mit Power Shell in Bilddateien Schadsoftware oder bösartige Komponenten zu verstecken.

00:16:56 Christian Dietrich: Steganografisch, glaube ich.

00:16:58 Lars Wallenborn: Ja, ich glaube auch. Und dieses Tool hat er halt veröffentlicht, so Open Source auf GitHub, und hat dann darüber getwittert. Und jetzt kurz danach wird das schon eingesetzt hier. Das hat jetzt natürlich viele Implikationen. Also erst mal vermute ich, dass dieser Agent der dahinter steckt, das wahrscheinlich – so wie ich auch – auf Twitter gelesen hat. Und das dann heruntergeladen hat, und gedacht hat: Das ist eine coole Idee, das probiere ich jetzt mal aus. Und ja, hat das dann einfach benutzt.

00:17:25 Christian Dietrich: Gewisse interessante Risikobereitschaft eigentlich, das in so einer laufenden Mission irgendwie so zu probieren.

00:17:31 Lars Wallenborn: Ja gut, andererseits heißt es aber auch, dass man am Puls der Zeit bleibt. Also ich glaube, das ist halt auch wichtig, als Angreifer, dass man immer wieder auch neue Tools ausprobiert und neue Sachen macht und…ja.

00:17:41 Christian Dietrich: In einer laufenden Mission? Na ja, vielleicht hat man in den 8 Tagen auch irgendwo getestet, das kann natürlich sein.

00:17:46 Lars Wallenborn: Irgendeine Mission läuft immer, also ich meine…vermute ich zumindest. Ja und das Zweite, das soll jetzt nicht irgendwie die Moralkeule sein, aber Open Source, wenn man so was in Open Source veröffentlicht, dann heißt das halt schon, dass es wirklich öffentlich ist, und dass es jedem zur Verfügung steht auch. Jetzt in dem Fall hier den Angreifern. Also man könnte sagen, die Person hat dann da halt ein Tool veröffentlicht – ich will da keinen Vorwurf machen – das ist halt…Open Source ist Open Source. Ich bin da eher so ein bisschen liberal. Aber ja, das kann dann halt schon passieren, dass es dann eingesetzt wird, um so ein weltweites Event zu beeinflussen, wie zum Beispiel die Olympischen Spiele.

00:18:21 Christian Dietrich: Okay. Wie geht die Geschichte weiter?

„Der Agent veröffentlicht die kurz vorher entwickelte Hmail App auf dem Google Play Store. Die App wird auf mindestens 47 Accounts installiert, bevor sie geblockt wird. Das Versenden von E-Mails mit gefälschtem Absender geht weiter. Dieses Mal geraten die Athlet:innen selbst ins Fadenkreuz, mit einem Betreff von „Accommodation Conditions in Hotel.“ In der Zielumgebung der Olympischen Winterspiele schaffen es die Agenten, einen Administrationsaccount zu ergattern. Sie nutzen diesen Account, um auf mehr als 16.000 Computern in der Zielumgebung Passwörter abzugreifen. Insgesamt bekommen sie somit die Zugangsdaten zu 400 verschiedenen Accounts. Der Agent exfiltriert wichtige Unterlagen zum Aufbau des Netzwerks. Unter anderem Dateien, mit dem Namen „PyeongChang 2018 – Network architecture.docx“ oder „PyeongChang LAN Network Diagram.vsd“. Der Agent verschickt drei weitere Spear-Phishing E-Mails, die behaupten, eine Bewerbung auf eine Stelle als Zeitnehmer im Stadion zu enthalten. Tatsächlich aber enthalten sie aber bösartige Makros, die die im November registrierte Domain msrole.com verwenden. Auf diese Weise wird versucht, weitere Computer zu infizieren. Diesmal in einem anderen Unternehmen, nämlich einem Zeitmessungsunternehmen.“

00:19:51 Christian Dietrich: Okay, was haben wir hier gehört? Die machen mit dieser Smartphone App Entwicklung immer noch weiter. Und nachdem sie zweimal gescheitert sind, diese App in den entsprechenden Store zu bringen, da in den Play Store zu bringen, und sie schaffen es, dass die App 47 mal heruntergeladen wird. Also wahrscheinlich auf 47 verschiedenen Geräten zum Einsatz kommt.

00:20:11 Lars Wallenborn: Ja gut, aber ich würde mal sagen, um eine App zu entwickeln, sind 47 jetzt nicht so erfolgreich. Also ich würde sagen, die ersten beiden Versuche diese App im Play Store zu vertreiben waren erfolglos und der dritte war relativ erfolglos.

00:20:25 Christian Dietrich: Die Frage ist, welche 47 damit infiziert wurden. Also wenn du quasi irgendwie das Steuerungskomitee, das IOC oder so was…ja, dann hast du die richtigen 47. Ja, vielleicht reicht dir das ja. Aber das wissen wir nicht. Darüber hinaus, also wir sehen, es geht immer noch weiter mit Spear-Phishing E-Mails, also auch jetzt wo die Angreifer Domain Controller Admin Access haben – das ist also die höchste Stufe des Zugriffs, mehr oder weniger in so einer Windows Umgebung –  machen die trotzdem weiter und verschicken diese Spear-Phish E-Mails und sie richten ihre Angriffe eben auch auf andere Unternehmen.

00:20:57 Lars Wallenborn: Und was sie mit diesem Domain Controller Access hier anscheinend gemacht haben, ist, dass sie Credentials hier abgreifen. Also man kann sich einen Domain Controller vorstellen, wie so einen Computer, einen Administrationscomputer für Computer. Also das ist ein Computer im Netzwerk, der kann quasi Befehle auf allen anderen Computern ausführen und die generell einfach administrieren. Das heißt also, das ist ein richtig guter Ort, um auf all diesen Computern, die unter dem Domain Controller quasi darunter hängen, zum Beispiel Passwörter und User Accounts und so was alles abzugreifen. Und das machen die hier bei richtig vielen Computern. Ja, also…

00:21:29 Christian Dietrich: 16.000!

00:21:30 Lars Wallenborn: Ich würde sagen: Fette Beute. Also das war sehr erfolgreich. Und es ist jetzt erst Januar.

00:21:34 Christian Dietrich: Genau. 16.000 Computer und sie haben 400 verschiedene Zugangsdaten. Das ist halt auch eine Nummer. Also es geht hier nicht um einen Account, den man mal irgendwie blocken müsste. Nee, du müsstest hier 400 Accounts blocken, wenn du die Angreifer da irgendwie aussperren wolltest.

00:21:51 Lars Wallenborn: Ja, und vor allem müsstest du auch erst mal merken, dass diese 400 Accounts geklaut wurden. Also das ist natürlich auch die Herausforderung.

00:21:56 Christian Dietrich: Und du müsstest eben auch den Domain Controller Zugang sperren. Was bedeutet, dass deine legitimen Administratoren wahrscheinlich gar nicht mehr so einfach Zugriff auf diese Infrastruktur haben. Das heißt, jetzt kann man sagen, ist ein Großteil der Infrastruktur kompromittiert. Und nochmal zur Erinnerung, wir sind jetzt am 12. Januar. Das heißt also einen knappen Monat vor Eröffnung der Spiele. Soweit könnte man sagen, läuft alles nach Plan.

„Die Agenten verschicken eine weitere Spear-Phishing E-Mail an einen auf der Sponsorenseite aufgeführten Partner. Außerdem gehen weitere 20 E-Mails an das koreanische Anti-Terror Zentrum. Ein Agent registriert eine E-Mail Adresse, die der Adresse des Chefs, des eben erwähnten Zeitmessungsunternehmen nachempfunden ist, und verwendet sie, um E-Mails an 13 Adressen eben dieses Zeitmessungsunternehmens zu verschicken. Sie alle enthalten einen Link auf eine mit Malware infizierter Datei, mit Namen bonuses.xls. Am Tag der Eröffnungsfeier wird um 18:24 Uhr Ortszeit, etwa 1,5 Stunden vor Beginn der Feierlichkeiten die zerstörerische Schadsoftware in die Zielumgebung übertragen, aber noch nicht aktiviert. Achtzehn Minuten vor Beginn der Feier, um 19:42 Ortszeit, wird diese Wiper Malware in der Domain verteilt und aktiviert. 23 Minuten nach Beginn der Eröffnungsfeier sucht der Agent aktuelle Nachrichten rund um das Zeiterfassungsunternehmen und einen russischen Server aus. Die Zuliefererfirmen für IT und das Zeiterfassungsunternehmen melden seltsames Verhalten und Ausfälle ihrer Systeme.“

00:23:38 Lars Wallenborn: Genau. Das ist jetzt der Moment, wo die Bombe geplatzt ist. Also diese Malware wurde dahin übertragen und ausgeführt. Das ist so die Kurzzusammenfassung. Aber hier ist was passiert, das ist vielleicht nicht so ganz klar bei so einem offensiven Angriff. Ich meine, man könnte sich fragen: Warum wird diese Wiper Malware erst so kurz vorher dahin übertragen? Und auf der anderen Seite könnte man auch sagen, Na ja, warum wird sie – Computer sind ja super schnell und Internetverbindungen sind auch schnell – warum wird sie ganze 17 Minuten vorher übertragen, wenn es irgendeinen Grund dafür gibt, sie nicht zu früh zu übertragen? Warum macht man es dann nicht genau in dem Moment wo man sie ausführen will?

00:24:10 Christian Dietrich: Also drei Sekunden vorher. Und das ist super spannend. Weil genau diese Balance muss der Angreifer hier natürlich finden. Denn er darf nicht zu früh sein, sonst riskiert er, dass sein Wiper entdeckt wird, und gar nicht irgendwie aktiv werden kann. Aber er darf halt auch nicht zu spät kommen. Sonst hat er irgendwie sein Ziel verfehlt.

00:24:30 Lars Wallenborn: Ja, und er darf auch nicht zu spät kommen, weil eventuell läuft ja noch etwas schief. Ich meine, das mit den Computern ist schon kompliziert genug, wenn alle zusammenarbeiten wollen und hier arbeitet ein Software Entwickler, sage ich mal – in dem Fall der Angreifer – gegen das System, auf dem er sich installieren möchte. Das heißt, da kann auch noch alles mögliche schief gehen. Und dann hat man das, ich weiß nicht, für das falsche Betriebssystem kompiliert und muss es nochmal übertragen. Da sollte man sich auch so ein bisschen Zeit nehmen um noch irgendwelche Bugs zu fixen.

00:24:54 Christian Dietrich: Man kann vielleicht nochmal betonen, dass man so was nicht testen kann. Also diese Systeme, in der Komplexität, kann man nicht wirklich abbilden. Also klar, man kann die Ausführung einer Wiper Instanz testen, aber man kann halt nicht wirklich testen, wie sich so eine Infrastruktur verhält. Schon gar nicht, wenn gerade irgendwelche Spiele und Eröffnungsfeiern laufen oder vorbereitet werden. Das kann man nicht wirklich vorher evaluieren oder prüfen. Das heißt, in dem Moment hat man tatsächlich auch ein gewisses Risiko. Und das scheint hier ja aus Angreifer Perspektive geklappt zu haben. Man hat es also geschafft, den Wiper da in die Zielumgebung zu bringen und auch zu verteilen, sodass er eben auf verschiedenen Rechnern dann zugeschlagen hat.

00:25:38 Lars Wallenborn: Und was hier auch noch besonders nasty ist, ist, dass die Angreifer das mit der Eröffnungsfeier getimed haben. Also der Plan war wahrscheinlich, da irgendwie so einen Wiper auszuführen, dann gehen diese ganzen Computer während der Eröffnungsfeier irgendwie kaputt – wahrscheinlich in der Hoffnung, dass es dann besonders medienwirksam ist.

00:25:53 Christian Dietrich: Ja. Man wollte also sicherstellen, dass die Welt zuschaut, wenn das Chaos beginnt. Wenn wir mal kurz zusammen fassen: Was haben wir aus dieser Vorbereitungsphase gelernt? Also wir haben gelernt, Spear-Phishing geht immer…

00:26:04 Lars Wallenborn: Ja, und zwar richtig viel. Also je mehr Spear-Phishing desto besser. Immer weiter Spear-Phishing. Also egal, wenn du nicht weißt – when in doubt – Spear-Phishing.

00:26:12 Christian Dietrich: Es gibt mehrere, ich sag mal Baustellen, gleichzeitig. Das heißt also mehrere Aktionsstränge seitens des Akteurs. Es wurde gerade mal drei Monate vor der Eröffnungsfeier angefangen mit dieser Mission. Einen Monat vorher – Pi mal Daumen –  war man drin, war man in der Zielumgebung drin. Und zwei Wochen vorher hat man dann das Credential Dumping gemacht auf den 16.000 Rechnern mit 400 Accounts, die man dann eben zum Zugriff hatte. Eineinhalb Stunden vorher wurde die Malware in das Zielnetz geladen, etwa 20 Minuten vorher wurde sie verbreitet und zur Eröffnung der Eröffnungsfeier schlug sie dann eben los.

00:26:47 Lars Wallenborn: Also selbst wenn man sich damit beschäftigt – und retrospektiv weiß man ja, was dann passiert ist – bleiben so ein paar Fragen offen. Zum Beispiel: Warum diese Smartphone Apps, die so schlecht funktioniert haben? Und auf wen hatte man es damit abgesehen? Also das ist ein riesen Fragezeichen für mich.

00:27:07-9 Christian Dietrich: Man könnte sich natürlich auch fragen, war es eigentlich von Anfang an klar, dass das eine Sabotage Aktion wird? Ich würde mal vermuten ja, weil die Wiper Entwicklung auch so früh begonnen hat.

00:27:17 Lars Wallenborn: Gut, aber Wiper auf Smartphones? Klar, also ich meine Wiper auf Smartphones ist ja immer technisch…

00:27:22 Christian Dietrich: Nein, nicht auf Smartphones.

00:27:22 Lars Wallenborn: Ja, ist schon klar. Also Wiper auf Smartphones? Man könnte ja sagen es ist eine Wiper Aktion, dann will man vielleicht mit diesen Smartphone Apps auch Smartphones wipen. Das geht erst mal technisch halt natürlich nicht, das wissen wir ja beide, aber man kann auf dem Smartphone ganz andere Sachen machen. So Screen Locker irgendwie schreiben, das sind dann so Fenster, die sind dann so groß wie der ganze Bildschirm des Smartphones und verhindern, dass das Smartphone noch funktioniert. Das wäre halt auch schon, wenn man das auf richtig vielen Geräten installiert, wahrscheinlich schon auch ein krasser Impact. Weil für viele Leute ist das Smartphone das Ding. Also wenn das Smartphone kaputt ist, dann ist der Tag oder die Woche gelaufen. Und na ja, wenn jetzt zu den olympischen Spielen gehen heißt, dass das Smartphone kaputt ist, hätte das natürlich auch viel Impact. Aber wie gesagt, da stehe ich sehr im Dunkeln. Ich weiß nicht, was diese Apps konnten oder können wollten, und die waren ja jetzt auch nicht so erfolgreich. Aber ansonsten stimme ich dir zu. Das war glaube ich von Anfang an als destruktive Aktivität geplant. Vielleicht nicht nur, du hast ja auch gesagt, es gibt da so verschiedene Handlungsstränge, die die verfolgen. Aber insbesondere ist die Wiper Malware schon ziemlich früh in der ganzen Operation angefangen worden zu entwickeln, und das würde ich sagen, spricht dafür, dass zumindest eine Komponente des Angriffs, destruktiv sein sollte.

00:28:30 Christian Dietrich: Okay. Wir haben verstanden, die Angreifer wollen möglichst nah ran kommen, an die TV Übertragung und das ganze eben so versuchen negativ zu beeinflussen. Aber zurück zur Story, und wir wechseln jetzt mal so ein bisschen die Perspektive. Schauen wir uns doch mal an, wie das für Betroffene sich gestaltete:

„Practice makes perfect. So, before the opening ceremony of the Pyeongchang Winter Olympic Games, we have prepared. We had worried about the Cyber Attacks by the North Korean hackers. „

Wir haben hier Wansik Kim gehört, ein Südkoreaner, nämlich der Deputy Manager des International Broadcast Centers. Der sozusagen verantwortlich oder mitverantwortlich war für die Medienübertragung.

00:29:22 Lars Wallenborn: Und insbesondere hat er so eine verteidigende Rolle in dieser ganzen Olympischen Spiele Situation gespielt. Und er hat gerade, in diesem Ausschnitt den wir eingespielt haben, ja auch gesagt „Practice make perfect.“, also Übung macht den Meister. Die haben sich also vorbereitet. Die haben sich halt vorbereitet auf einen Angriff von nordkoreanischen Hackern, also diese beiden Länder sind ja historisch…haben ja eine etwas schwierige Beziehung, und da wollte man halt vorbereitet sein. Und dann hat man wahrscheinlich so Drills gemacht und so weiter. Und irgendwann ist es dann wahrscheinlich aufgefallen, dass da dieser Wiper sein Unwesen treibt und dann na ja, war es keine Übung mehr.

00:29:59 Christian Dietrich: Und da merkt man halt, Südkorea ist halt ein hochtechnologisches Land, die können das schon vernünftig einschätzen. Die haben realistische Bedrohungen auch schon in der Vergangenheit gehabt, zum Beispiel in Form von Cyber Angriffen, wie du  ja auch gerade erwähnt hast. Zum Beispiel aus Nordkorea, aber mutmaßlich natürlich auch aus vielen anderen Staaten. Und das ist der Grund, dass die eben versucht haben, sich vernünftig vorzubereiten. Trotzdem gab es da einen gewissen Effekt. Und man muss sagen, außerhalb der Umgebung bei den Olympischen Winterspielen haben es auch Leute gemerkt. Allen voran zum Beispiel Sicherheitsforscher.

00:30:31 Lars Wallenborn: So wir haben jetzt auch mal versucht so ein bisschen zusammenzutragen, was denn öffentlich so an Impact überhaupt herausgekommen ist zu dem Zeitpunkt. Und da gibt es erst mal so ein YouTube Video von so einer Sicherheitsfirma Talos, die hat irgendwie in dem YouTube Video erwähnt, dass die Website nicht erreichbar war. Dass vor Ort auf den Olympischen Spielen Tickets nicht ausgedruckt werden konnten und einige Besucher eben keinen Zugriff auf die Event Informationen hatten, die da irgendwie verteilt wurden. Was auch wohl irgendwie war, dass in irgend so einem Journalismus Center das Wi-Fi nicht funktioniert hat – ah ja, Main Press Center, heißt das irgendwie und das wohl für mehrere Stunden.

00:31:09 Christian Dietrich: Okay. Das ist aber alles irgendwie nicht wirklich dramatisch. Also wahrscheinlich hat die Übertragung an sich immer noch funktioniert. Das ist ja wahrscheinlich so mit das Wichtigste, also die Millionen die da vor den Bildschirmen sitzen, zu Hause, die sehen also irgendwie noch was. Das Pyeongchang Organizing Committee hat dann später auch verlautbart, dass 50 Server impacted wurden, also betroffen waren durch dieses Wiping. Da waren allerdings Aktiv Directory und Datenbankserver dabei. Also man kann sagen, dass waren dann auch schon durchaus auch zentrale Server, die da betroffen waren. Insgesamt gab es wohl etwa 300 Server. Genau. Lass uns vielleicht mal noch weiter reinzoomen, nämlich in die erste Nacht. Also um 20:00 Uhr Ortszeit beginnt die Eröffnungsfeier, um 19:42 Uhr, also etwa knapp 20 Minuten vorher wurde der Wiper aktiv. Was ist dann eigentlich passiert?

00:31:59 Lars Wallenborn: Ja, dann waren wohl am Anfang direkt neun Domain Controller betroffen, also die wurden dann wahrscheinlich irgendwie gewiped. Und was man dann halt machen kann, so als Verteidiger, ist die neu aufzusetzen.

00:32:09 Christian Dietrich: Erstmal ist ja vielleicht völlig unklar, warum so Domain Controller auf einmal ausfallen, oder? Ist das sofort klar, dass das irgendwie eine Malware ist? Wahrscheinlich nicht unbedingt?

00:32:19 Lars Wallenborn: Nein, aber Domain Controller fallen, glaube ich, nicht so oft…also anders, wenn dir der Domain Controller häufiger mal so ausfällt, dann bist du glaube ich eh an einem sehr schlechten Ort. Und ich glaube die waren an einem guten Ort. Also die haben sich glaube ich auf viel vorbereitet.

00:32:31 Christian Dietrich: Okay, aber du könntest vielleicht auch denken, die sind vielleicht überlastet oder keine Ahnung. Es ist schon wichtig, du weißt, glaube ich, in dem Moment noch nicht, dass du hier einen Wiper Angriff gerade eigentlich hast. Sondern was machst du? Du setzt Ersatz Domain Controller auf, und versuchst das Problem dadurch vielleicht dadurch in den Griff zu bekommen.

00:32:46 Lars Wallenborn: Aber was da wohl passiert ist, ist, dass sie das Problem gar nicht in den Griff bekommen haben. Also die haben die Domain Controller ausgetauscht, und durch neue ersetzt, neu installiert, und irgendwie sind dann andere wieder kaputt gegangen und so weiter. Und dann hat man halt kurz vor Mitternacht eine relativ drastische Entscheidung getroffen, nämlich dieses ganze Netz vom Internet zu trennen. Und das ist relativ drastisch, weil das halt viele, viele Implikationen hat. Das heißt, dass man das Netzwerk nur noch von innen administrieren kann zum Beispiel…

00:33:12 Christian Dietrich: Die ganzen Journalisten können nicht mehr nach Hause mailen oder telefonieren…

00:33:16 Lars Wallenborn: Genau, also da spielt man quasi – wenn man zu dem Zeitpunkt schon denkt, dass es sich um einen Angreifer handelt, der einen destruktiven Angriff durchführen möchte – dann spielt man dem quasi in die Hände, weil man selber auch destruktive Entscheidungen trifft. Nämlich die Internetverbindung selbst zu trennen. Kann aber natürlich auch eine gute Idee sein, falls der Akteur dann noch aktiv ist auf den Computern, ja also den buchstäblichen – oder in dem Fall den virtuellen –  Stecker zu ziehen, ist auf jeden Fall schon mal ein Schritt, der dafür sorgt, dass die gesamte Situation so ein bisschen deterministischer wird. Also man hat nicht auch noch jemanden, der da aktiv Dinge auf den Computern macht.

00:33:52 Christian Dietrich: Ja, weil man eben verhindert, oder hofft zu verhindern, dass der Angreifer die Malware überhaupt noch kontrollieren kann. Die Angreifer sind ja nicht vor Ort, sondern sie kontrollieren eben die Malware aus der Ferne, eben über das Internet. Und diese Möglichkeit will man ihnen halt nehmen, in der Hoffnung, dass sie dann nicht eben sich weiter verbreitet. Aber, die Malware agiert eben autonom.

00:34:11 Lars Wallenborn: Die Malware braucht überhaupt keinen Akteur, der sie steuert. Also…

00:34:15 Christian Dietrich: Zu dem Zeitpunkt.

00:34:16 Lars Wallenborn: Genau. Zu dem Zeitpunkt. Die wurde ausgebracht und hat von da an quasi autonom ihr Werk verrichtet. Und was die Malware auch gemacht hat, dass sie sich auch selber in dem Zielnetz weiter verteilt hat. Und auch neue Computer infiziert hat und auf denen dann auch wieder Dateien zerstört hat und so weiter.

00:34:31 Christian Dietrich: Was es aber schon verhindert, ist, dass die Akteure jetzt irgendwie weitere Malware nachschieben können oder irgendwie halt das Verhalten der Malware beeinflussen können. Das heißt, auch die Akteure müssen sich jetzt drauf verlassen, dass das, was sie da vorher hinein programmiert haben, an Verhalten in die Malware, dass das halt irgendwie wirkt.

00:34:48 Lars Wallenborn: Und jetzt nerde ich gerade mal ein bisschen über das, was die Malware da gemacht hat. Also da gab es irgendwie viele Theorien darüber, was da passiert ist. Wir haben uns das jetzt mal…ich habe mir das jetzt noch mal selber angeguckt und so, was nämlich ganz interessant ist, wenn man sich Samples, wenn man sich Dateien von dieser Malware anguckt, und dann einfach mal guckt, was sind da so für Zeichenketten drin. Dann fällt einem auf, da sind so User Namen und Passwörter und so Domain Namen von den betroffenen Organisationen, von den Zielumgebungen in der Malware drin. Und es kann natürlich erst mal daran liegen, oder es liegt wahrscheinlich auch daran, dass der Akteur diesen Malware Samples dann ein Startset an Credentials an Benutzernamen und Passwörtern dann mitgegeben hat. Das liegt aber auch noch daran, dass die Malware nämlich folgendes macht. Wenn die ausgeführt wird, die enthält nämlich noch so ein paar andere Unterdateien, die sogenannten PE Ressourcen. Da sind zwei dabei, die sind dafür da, noch Credentials von dem Computer auf dem sie ausgeführt wird, einzusammeln. Das heißt, diese Malware sammelt auf dem Computer auf dem sie ausgeführt wird, erst mal weitere Benutzernamen-Passwort-Kombinationen ein. Und erzeugt dann eine Kopie von sich selber und erweitert diese Liste, die in ihr drin ist, um diese gerade eingesammelten Benutzernamen und Passwörter. Und verteilt sich dann mit denen weiter im Netzwerk. Und die Intention dahinter ist halt, na ja, ein Computer, der auf andere Computer Zugriff hat, der hat auf die ja wahrscheinlich auch Zugriff. Also der hat da wahrscheinlich auch irgendwie gespeicherte Passwörter und gespeicherte Benutzernamen. Die werden da alle mit eingesammelt. Und bei der nächsten Iteration, wenn die Malware sich auf den nächsten Computern verteilt hat, dann hat die halt jetzt noch mehr von diesen Usernames und Passwords zur Verfügung. Und das kann sie alles alleine machen.

00:36:23 Christian Dietrich: Genau. Das hat sie auch gemacht. Und jetzt würde man eben meinen, alles klar, man kann eigentlich irgendwie aufgeben, Handtuch werfen und man kann nichts mehr machen. Aber so waren die Südkoreaner hier an der Stelle eben nicht drauf. Sondern die haben natürlich eben versucht, den Kampf da weiter zu führen. Die haben um 5:00 Uhr morgens – also die haben die ganze Nacht durchgemacht –  um 5:00 Uhr morgens hatten sie es geschafft, eine Signatur für diese Schadsoftware, also für diesen Wiper, zu schreiben. Die hatten da wohl Unterstützung von einem koreanischen Antiviren Unternehmen, AhnLab. Und mit Hilfe dieser Signatur konnten sie eben die Schadsoftware auf allen Computern erkennen und auch blockieren. Und in dem Moment gab es auch wieder Hoffnung.

00:37:00 Lars Wallenborn: Und jetzt kommt noch das zum Tragen, was wir eben gesagt haben. Das hat jetzt den Vorteil, dass diese Computer nicht mehr mit dem Internet verbunden sind, weil jetzt gibt es eine Signatur für diese Malware, die wird jetzt hoffentlich geblockt von der Antiviren Software die auf den Computern läuft, und der Akteur hat jetzt keine Möglichkeit mehr, noch was anderes hinterher zu schieben. Was die jetzt wahrscheinlich auch gemacht haben, ist dafür zu sorgen, dass der Akteur auch seinen Zugriff verliert, wahrscheinlich indem sie ganz viele Usernames und Passwords resettet haben.

00:37:24 Christian Dietrich: Dieser Wiederaufbau, der war um 08:00 Uhr morgens abgeschlossen. Das ist halt phänomenal. Also das heißt, um etwa 20:00 Uhr am Vorabend beginnt die Eröffnungsfeier, das Chaos nimmt seinen Lauf, um 05:00 Uhr am nächsten Morgen gibt es irgendwie den Hoffnungsschimmer am Horizont, und um 08:00 Uhr morgens läuft die komplette Infrastruktur im Prinzip wieder so, wie sie vorher lief. Sodass man also sozusagen mit Tagesanbruch eigentlich schon fast nicht mehr gemerkt hat, dass da in der Nacht vorher so ein destruktiver Sabotageakt passiert ist.

00:37:56 Lars Wallenborn: Man könnte sich jetzt fragen, war das jetzt ein erfolgreicher Angriff oder nicht?

00:38:00 Christian Dietrich: Ganz genau. Das hängt davon ab, was der Angriff wirklich bezwecken sollte. Vermutlich sollte es bezwecken: Die ganze Welt schaut zu, und dann fällt irgendwie die Medienübertragung aus. Schwarze Bildschirme, die Leute an den Fernsehern wissen nicht, was los ist. Aber diesen Ausfall der Medienübertragung, den gab es nicht, oder zumindest war der wiederum nicht medienwirksam. Es waren wahrscheinlich nur lokal die Journalisten betroffen, die haben den Ausfall irgendwie mitbekommen. WLAN ging nicht, Tickets konnten irgendwie nicht gedruckt werden, aber das schlägt, glaube ich, nicht so wirklich große Wellen. Und insbesondere die Tatsache, dass es eben am nächsten Morgen schon wieder alles funktioniert hat und die Spiele selbst, also die sportlichen Wettkämpfe, scheinbar eben ohne jede Beeinträchtigung starten konnten, ja, das lässt mich eigentlich so ein bisschen eher schließen, dass die Operation eigentlich fehlgeschlagen ist. Aber Lars, ich meine, mal ganz ehrlich, wenn man das mal so ein bisschen aus der Distanz betrachtet, das machen doch keine Leute mit Verstand? Oder? Also ich meine, warum reagieren die Angreifer nicht?

00:39:02 Lars Wallenborn: Ja, ich weiß es nicht. Ich steck da in deren Schuhen nicht. Also, ich meine, was will man denn auch machen? Also man hat jetzt Monate und Wochen gebraucht, um Zugriff auf irgendwelche Systeme zu kriegen. Jetzt kann man nicht innerhalb von einem Tag in dem das jetzt nicht geklappt hat, was man versucht hat, nochmal Zugriff auf irgendwelche Systeme kriegen. Insbesondere nicht, in der Situation, wo jetzt quasi das Cyber-Immunsystem der Olympischen Spiele schon so aktiviert ist, dass da jetzt wahrscheinlich jeder noch so kleine Netzwerkalarm genau nachverfolgt wird und so weiter.

00:39:41 Christian Dietrich: In einem Film würde man jetzt sagen: Da muss man halt noch härter hacken.

00:39:47 Lars Wallenborn: Genau. Dazu kommt aber noch etwas ganz anderes, was ich an Wiper Angriffen immer ganz interessant finde. Also als Angreifer hat man ja jetzt ein Strategie-inhärentes Problem. Also in dem Moment, wo man nämlich erfolgreich ist, beim Ausführen des Angriffs, hat man überhaupt keine Ahnung mehr darüber, ob man erfolgreich war. Also, aus der Angreifer Perspektive ist das ja quasi so eine Blackbox, so ein Netzwerk, und jetzt verliert man plötzlich Zugriff. Und das kann jetzt entweder daran liegen, dass man erwischt wurde und man ausgesperrt wurde, oder dass diese Wiper Malware so erfolgreich war, dass in dem Netzwerk halt kein Computer mehr funktioniert und ich deswegen den Zugriff verloren habe. Also das ist eine ganz schwierige Situation als Angreifer, da überhaupt noch einzuschätzen, ob das erfolgreich ist. Und ich vermute mal, der einzige Weg, den man da hat, ist, dass man guckt, ob irgendwelche News…ob die Bild Zeitung darüber schreibt, dass die Olympischen Spiele gehackt wurden.

00:40:45 Christian Dietrich: Na ja man könnte es theoretisch natürlich anders entwerfen. Man könnte zum Beispiel den Wiper durchaus so programmieren, dass er vielleicht ab einer bestimmten Menge an Systemen, eben vielleicht nicht komplett aktiv wird. Also das heißt, man könnte, wenn man das wirklich komplett durchdenkt, was dann passiert, in dem Moment wo so ein Wiper da eben so die Infrastruktur plättet, wie du das gerade ja gut beschrieben hast, das könnte man vermutlich schon irgendwie versuchen hin zu bekommen. Aber auch da muss man halt sagen: Klar, gut, du musst die Infrastruktur einfach richtig gut kennen, und du läufst natürlich auch Gefahr, wenn du die falschen Systeme sozusagen am Laufen lässt. Dann erzeugst du eben vielleicht auch keinen Impact. Also es ist gar nicht so trivial wahrscheinlich aus Angreifersicht.

00:41:28 Lars Wallenborn: Nein, überhaupt nicht. Man muss natürlich hier sagen, die Angreifer kannten die Infrastruktur glaube ich ganz gut, das hatten wir auch in einem der Einspieler vorhin gehört. Die haben da auch auf den Zielcomputern so Infrastruktur Diagramme gefunden und so. Die kann man ja dann verwenden. Andererseits ich meine, sich in eine Infrastruktur einzuarbeiten, ist schon genug Arbeit, wenn man bei einer Firma neu anfängt. Und hier hat niemand bei einer Firma neu angefangen. Hier versucht man das zu hacken. Also das heißt, man kann nicht irgendeinen Kollegen, in Anführungszeichen, fragen, wie das hier funktioniert und wie das gemeint ist und so weiter. Da ist einfach schon auch ein Informationsungleichgewicht vorhanden zwischen Angreifer und Verteidiger. Und es ist ja auch richtig, dass die Verteidiger es dann auch ausnützen.

00:42:08 Christian Dietrich: Wenn wir jetzt mal versuchen, so ein bisschen rauszuzoomen. Also wir haben uns jetzt ganz viel auf die Geschehnisse vor Ort fokussiert, und wie sich die Verteidiger da eben irgendwie verteidigt haben, in dieser Nacht. Da muss man eben sagen, auch außerhalb Pyeongchangs wurde das wahrgenommen. Und zwar schon am Samstag, also einen Tag nach der Eröffnungsfeier ist diese Schadsoftware Security Researchern aufgefallen, die gar keinen direkten Bezug zur Organisation der Olympischen Winterspiele hatten. Und man kann sagen, ich glaube im Laufe des Wochenendes war schon klar, es handelt sich um eine destruktive Malware. Also unabhängig von den lokalen Analysen vor Ort, kamen eben die anderen Forscher zu der Einschätzung, es handelt sich hier um einen Wiper. Und der Bezug zu den Olympischen Winterspielen war da.

00:42:54 Lars Wallenborn: So, das heißt, wir haben uns jetzt kurz die Perspektive des Angreifers angeschaut, die Perspektive des Verteidigers angeschaut und jetzt wollen wir mal die Perspektive des Cyber Thread Intelligence Analysten anschauen. Und das ist eine die…ich meine, das ist vielleicht nicht so offensichtlich was die für ein Problem haben. Weil diese Perspektive hat noch ein ganz anderes Problem: Die sind nicht in einem Netzwerk und finden da Malware und müssen verstehen was diese Malware in diesem Netzwerk macht. Sondern die haben irgendwie meistens Zugriff auf irgendeinen Strom von Malware Samples, die so vorbei fliegen, und das sind halt unangenehm viele. Das sind unübersichtlich viele…

00:43:27 Christian Dietrich: Millionen. Pro Tag.

00:43:28 Lars Wallenborn: Ja, genau. Auf jeden Fall viel zu viele, um sich die von Hand irgendwie alle einzeln anzugucken. Und die müssen jetzt halt ein anderes Problem lösen. Die haben jetzt irgendwie Echtwelt Ereignisse, wie zum Beispiel die Olympischen Spiele, und müssen jetzt in diesem Strom von Malware versuchen zu raten, welche Malware betrifft diese verschiedenen Echtwelt Events. Dann, wenn sie glauben, das hat was damit zu tun, was machen sie? Und das ist halt hier wahrscheinlich an dem Wochenende passiert. Da haben wahrscheinlich Leute nicht so auf ihre Work-Life-Balance geachtet – kann man vielleicht auch mal ausnahmsweise machen, wenn  Olympische Spiele sind – ja haben da wahrscheinlich Malware analysiert und auch diesen Bezug zu den Olympischen Spielen hergestellt.

00:44:01 Christian Dietrich: Insbesondere haben sie sich eben die immer interessante Frage gestellt, wer war es? Das heißt, sie haben sich um die Frage der Attribution gekümmert. Und um uns jetzt mal so ein bisschen der Attribution zu nähern, versuchen wir mal, hier so ein paar Hypothesen durch zu spielen. Die erste wäre, dass wir Nordkorea…

00:44:17 Lars Wallenborn: Nordkorea ist ja jetzt hier der Elefant im Raum. Also wir haben ja eben schon in dem Einspieler von Wansik Kim gehört, das ist der Angreifer, gegen den sie sich auch vorbereitet haben, weil sie Cyberangriffe aus Nordkorea erwartet haben.

00:44:30 Christian Dietrich: Und beim ersten Blick hat man auch direkt einen Treffer, denn der Code der Malware, also der Code in dem Wiper, der weist Ähnlichkeiten mit einer Malware auf, die man in der Vergangenheit schon Nordkorea zugeordnet hat. Das heißt, wir sprechen hier von Code Overlap, und zwar in dem Wiping-Modul, also wirklich auch in einem charakteristischen, zentralen Modul dieses Angriffs. So, dann würde man vielleicht erst mal sagen: Okay, Check. Also an der Stelle haben wir hier an der Stelle ein Match.

00:44:56 Lars Wallenborn: Genau, man könnte jetzt sagen, man hat einen technischen Overlap mit Nordkorea.

00:44:59 Christian Dietrich: Die ganze Sache ist aber nicht so einfach. Denn wenn man weiter schaut, und vielleicht so eine Nation wie China irgendwie ins Auge fasst, dann findet man auf einmal auch Ähnlichkeiten. Es gab andere Forscher, die haben nämlich hier Ähnlichkeiten – nicht in dem Wiper Modul, sondern in dem Teil, der das Stehlen von Benutzername und Passwort macht, also in dem Credential Theft Modul – gefunden. Und da eben konkret eine Routine zur Schlüsselerzeugung von AES…

00:45:27 Lars Wallenborn: Nein, das war nicht in dem Credential Theft Modul.

00:45:30 Christian Dietrich: Stimmt.

00:45:30 Lars Wallenborn: Also diese Credential Theft Module, die waren halt enthalten in dieser Malware, in dieser Dropper, in dem darüber stehenden. Und es gab zusätzlich noch – der hat halt diese Module geschützt, über Verschlüsselung, und zwar über AES. Das ist so ein Standard Verfahren zur symmetrischen Verschlüsselung. Und da muss man Keys generieren, und der Code, um diese Keys zu generieren, der hatte Overlap mit Code, den man vorher chinesischen Akteuren zugeordnet hat.

00:46:00 Christian Dietrich: Ah ja stimmt, Lars. Danke, genau, so war das – dann gab es aber noch eine Funktion, die sowohl in der hier betrachteten Malware vorkam, als auch in einer Malware, die eben in der Vergangenheit China zugeordnet war. Es gibt nur ein Problem…

00:46:12 Lars Wallenborn: Und die war überraschend gleich. Die war überraschend gleich.

00:46:16 Christian Dietrich: Es gibt nur ein Problem.

00:46:16 Lars Wallenborn: Da muss man aber auch dazu sagen, die war auch nur dafür da, die Größe von einer Datei zu bestimmen.

00:46:21 Christian Dietrich: Genau.

00:46:23 Lars Wallenborn: Und ich sage mal, wenn du mich jetzt fragen würdest, Code zu schreiben, um die Größe einer Datei zu bestimmen, würde ich Code schreiben und der sieht dann vielleicht genau so aus. Also dieser Code Overlap, den würde ich dieser Tatsache zuschreiben, dass –  also auch der Code Overlap in der AES Schlüsselgenerierung würde ich der Tatsache zuschreiben – dass es für solche Sachen halt nur eine Handvoll Methoden gibt, das zu tun. Und mit bestimmter Wahrscheinlichkeit schreiben zwei völlig unabhängige Leute da was, was ziemlich ähnlich aussieht.

00:46:49 Christian Dietrich: Wir wollen eigentlich Code Overlap in charakteristischem Code haben. Das was wir aber jetzt hier im Fall des Bezugs zu China bisher nur gesehen haben, ist eigentlich relativ generischer Code, in dem wir diesen Code Overlap haben. Und ich meine es war auch so, dieses Credential Theft Modul basierte ja, glaube ich, auch auf Methoden aus Mimikatz. Einem Tool, was wiederum öffentlich verfügbar ist, sodass man hier eigentlich ja eben von sehr generischem Code quasi sprechen kann. Also dieser Code Overlap wiegt vermutlich nicht so wirklich schwer. Schauen wir uns einen weiteren Kandidaten an, der vielleicht hier so ein bisschen ins Fadenkreuz käme: Russland.

00:47:28 Lars Wallenborn: Da haben wir auf jeden Fall einen Overlap im technischen Verhalten, sage ich mal. Also dieses Credential Theft machen und Dumping, und dann das in die Binary schreiben, das was ich vorhin so ein bisschen erklärt habe. Das hatten wir vorher schon mal gesehen, in der NotPetya Malware, die wird Russland auch mit hoher Wahrscheinlichkeit zugeschrieben. Und es gab auch eine Domain, die da in diesem Kontext, ich glaube von den Word-Dateien verwendet wurde: account-loginserv[.]com. Und die hat man auch wohl vorher Russland zugeordnet. Das konnten wir jetzt aber nicht unabhängig bestätigen, das hat jemand im Internet gesagt.

00:48:04 Christian Dietrich: Und jetzt sehen wir hier halt einen ganz interessanten Fall, also wir haben bisher eben maßgeblich Code Overlap gesehen. Aber hier, im Fall von Russland, haben wir also TTP Overlap. Das heißt also Ähnlichkeiten in der Vorgehensweise, aber keine detaillierte Gleichheit sozusagen im Code. Und wir haben aber auch in einer anderen Dimension eine Ähnlichkeit, einen Overlap, nämlich in der Infrastruktur. Das haben wir eben bei den anderen beiden bisher auch noch nicht gesehen. Und das ist ein ganz wichtiger Punkt. Nämlich bisher haben im Prinzip viele eigentlich nur auf Code Overlap geachtet. Das heißt, sie wollten Ähnlichkeiten, sehr detaillierte Ähnlichkeiten in der Malware finden und haben eben maßgeblich Malware-Analyse gemacht.

00:48:43 Lars Wallenborn: Und das ist als Techie auch eine naheliegende Sache die man macht, ja. Also man kennt sich mit Malware aus, man kennt sich mit Reverse Engineering aus, dann ist es auch komfortabel und innerhalb meiner Komfortzone, wenn ich mich darauf konzentriere und dann ganz, fast wissenschaftlich fundierte Aussagen machen kann. Oder was heißt fast? Also, dass ich da quasi da so ganz harte Zahlen habe, mit denen ich meine Aussagen untermauern kann und so.

00:49:03 Christian Dietrich: Was ja aber die Attribution insgesamt ein bisschen verlässlicher machen kann, ist eben so eine strukturierte Vorgehensweise, in der man mehrere Dimensionen betrachtet, als nur die Malware…

00:49:13 Lars Wallenborn: Ist hier ja auch dringend notwendig. Weil wir haben bisher drei Akteure gehabt, und bei allen dreien – oder drei Länder gehabt, mit jeweils Akteuren da drin – bei allen dreien haben wir gesagt: Ja, die könnten es eigentlich sein. Es gibt technische Indikatoren, dass die es waren. Also das reicht anscheinend hier nicht.

00:49:26 Christian Dietrich: Genau. Und das können wir jetzt nochmal machen. Also wir fangen jetzt nochmal vorne an, und fragen uns, was denn in den anderen Dimensionen – man könnte hier zum Beispiel das MICTIC Framework von Timo Steffens heranziehen – ja, was wir denn da so an Merkmalen haben. Also Nordkorea, ja, warum ist Nordkorea hier an dieser Stelle für diesen Angriff eigentlich unerwartet. Und da gibt es aus politikwissenschaftlicher Sicht eine ganz interessante Beobachtung, denn Politikwissenschaftler haben gesagt, die beiden Staaten, Nord- und Südkorea, die sind sich so nah, wie seit langem nicht. Also die befinden sich in einer Phase der Annäherung. Die sind sogar gemeinsam ins Stadion eingelaufen bei der Eröffnung der Olympischen Winterspiele. Genau, also an der Stelle wäre es halt unerwartet, wenn jetzt diese Annäherung von einem eben in der Form sabotiert wird, wie wir es hier gesehen haben. Oder versucht wird zu sabotieren.

00:50:16 Lars Wallenborn: Genau. Also das ist schon, also ich sage mal, anscheinend ist es okay, zwischen Staaten die befreundet sind, so ein bisschen Spionage zu machen. Das ist anscheinend so ein Agreement, auf das sich alle geeinigt haben, und das wird wahrscheinlich auch keinem vorgeworfen werden…

00:50:27 Christian Dietrich: Nein. Die werden sich nicht geeinigt haben, die machen einfach.

00:50:30 Lars Wallenborn: Aber Sabotage ist halt was anderes. Das ist halt…das will halt eine Message senden und das ist dann hier die Frage: Welche Message wollte Nordkorea Südkorea dann da senden. Da würde ich sagen, da spricht eher nicht so viel dafür.

00:50:44 Christian Dietrich: Ja, man könnte vielleicht sagen, was sollte Sabotage an dieser Stelle eigentlich für ein politisches Ziel verfolgen? Und ich weiß nicht, ob man dafür eine gute Antwort findet. Es gibt noch mal eine technische Besonderheit und die macht den ganzen Fall glaube ich noch mal richtig interessant aus technischer Perspektive. Und zwar ist das der Byte-gleiche PE-Header.

00:51:03 Lars Wallenborn: Genau, wir hatten vorhin gesagt, es gibt einen Overlap zwischen der Wiper Malware, die hier zum Einsatz gekommen ist, und einer vorher betrachteten Malware aus Nordkorea. Und das kann man sich so vorstellen, so eine Windows-Executable-Datei, die fängt mit so was an, das nennt man den PE Header, und das sieht immer ungefähr gleich aus, aber normalerweise halt eben nicht exakt gleich. Wenn man so eine Datei zweimal kompiliert, dann sorgt das für sehr ähnliche oder vielleicht sogar gleiche PE Header, aber wenn man eine Malware schreibt, später eine andere Malware schreibt, dann ist die Wahrscheinlichkeit, dass exakt der gleiche rauskommt, schon eher klein. Aber was in diesem PE Header auch drin ist, sind sogenannte Rich Header. Zumindest wenn man die Microsoft Tool Chain verwendet. Und diese Rich Header, die enthalten eine Beschreibung der Entwicklungsumgebung, die da verwendet wurde.

00:51:49 Christian Dietrich: Und in dem Spezialfall hier war es eben so, dass der Compiler, den man aus diesem Rich Header rekonstruieren konnte, überhaupt nicht zu dem generierten Code gepasst hat. Das heißt, das ist ein Artefakt und das ist auffällig. Konkret ist es nämlich so, dass man im Kontext von Nordkorea maßgeblich ältere Compiler Versionen beobachtet hat. Aber hier in diesem Sample, das bei den Olympischen Winterspielen eingesetzt wurde, waren es eben neuere Compiler und passte eben insbesondere nicht zu den Angaben im Rich Header.

00:52:19 Lars Wallenborn: Genau, also der Code der dabei herauskommt, dafür braucht man relativ viel Erfahrung, das zu erkennen und so…der Code, der dabei rauskommt, der wurde wahrscheinlich mit einem neuen Compiler generiert. Aber der Rich Header, der da drin stand, hat darauf hingewiesen, dass es eigentlich eine alte Compiler Tool Chain ist, die da zum Einsatz gekommen ist. Das hat also nicht zusammen gepasst.

00:52:36 Christian Dietrich: Okay. Können wir denn jetzt diese anderen beiden Hypothesen, also China und Russland, was können wir denn damit machen? Schauen wir uns nochmal vielleicht den Bezug zu China an. Also ja, wir haben irgendwie gesehen, es gibt hier Code Ähnlichkeit – sogar in drei Fällen. Das Problematische an der Geschichte war nur, das war mit drei verschiedenen Akteuren. Nämlich APT3, APT10 und APT12. Also drei verschiedene Akteure, die zwar alle China zugeordnet werden, aber eigentlich muss man sich fragen: Moment, wer war es denn jetzt? Also eine gemeinsame Aktion von diesen dreien im spezifischen ist eigentlich eher unplausibel. Die Granularität Land, hinsichtlich der Attribution, die ist ja jetzt nicht irgendwie naturgegeben. Also man fängt vielleicht erst mal an, in Ländern zu denken. Und was wir damit oft meinen, ist gar nicht so sehr die Herkunft aus dem Land in irgend einer Form, sondern mehr, ob die Interessen – also gerade so bei gezielten Angriffen – ob die Interessen der Regierung oder der staatlichen Verwaltung in irgendeiner Form aus dem entsprechenden Land umgesetzt werden. Und jetzt sehen wir eben hier, wenn wir mal in der Granularität feiner werden wollen, als nur den Bezug zu einem Land, dann wird es halt super problematisch – in Bezug auf China.

00:53:46 Lars Wallenborn: Und ich finde, das ist auch ein Beispiel wo man gut erkennt… also man wird gelegentlich mal gefragt, ja wen interessiert es denn, welcher Akteur aus Russland das war, oder welcher Akteur aus China das war. Na ja, das interessiert eigentlich aus einer politischen Sicht nicht so viele Leute, aber in so einem Fall interessiert es jetzt schon. Wenn man sagt, diese drei Kriterien die wir gerade hatten, die sind alle China zugeordnet, dann hört sich das so an, als könnte es vielleicht China sein. Aber wenn man jetzt ein feineres granulares Tracking hat, von verschiedenen chinesischen Akteuren, kann man so eine Aussage tätigen wie: Na ja, das erste Kriterium, das wir beobachtet haben, gehört zu dieser Gruppe, das zweite zu dieser Gruppe und das dritte zu noch einer anderen Gruppe, und hat jetzt plötzlich ein Argument zu sagen: Na ja, also es ist unwahrscheinlich, dass diese drei Gruppen ganz plötzlich – vorher nie, und jetzt ganz plötzlich – angefangen haben, zusammen zu arbeiten. Und deswegen ist es wichtig, auch schon vorher eine Übersicht darüber zu haben, wie die Bedrohungslandschaft aussieht und eventuell auch feiner granular, als nur Land.

00:54:42 Christian Dietrich: Um eine weitere Dimension in der Attribution abzudecken, könnte man sich die Frage „Cui Bono?“ stellen, also die Frage, wem nützt dieser Angriff? Und da könnte man zunächst mal vielleicht festhalten, der Erfolg der Olympischen Spiele, der ist im Allgemeinen im Interesse zukünftiger Gastgeber. Und das ist hier besonders interessant, weil die Olympischen Winterspiele 2022 eben in Peking, in China stattfinden sollten. Das heißt also, China war in der Folge der nächste Ausrichter Olympischer Winterspiele.

00:55:11 Lars Wallenborn: Dem haftet jetzt ein großes Risiko an. Also wenn China jetzt die Olympischen Spiele sabotiert und das kommt raus, und…also ich weiß nicht, ob dann sogar so was passiert, wie den Gastgeber Status verlieren und die olympischen Spiele passieren woanders und so. Also da stellt sich schon die Frage, warum sollten die das machen?

00:55:27 Christian Dietrich: Genau.

00:55:28 Lars Wallenborn: Gut. Dann wechseln wir jetzt mal zum dritten Kandidaten, den wir auf unserer Liste haben, nämlich Russland. Da kann man sich jetzt auch mal überlegen, was gibt es da in der politischen Dimension zu sagen. Erstmal würde ich sagen, also generell hat Russland halt schon ein Interesse daran, in anderen Regionen – besonders in dieser Region hier –  für Unruhe und Instabilität zu sorgen. Das ist auf  jeden Fall in deren Interesse…

00:55:52 Christian Dietrich: So, und dann muss man knallhart mal festhalten, Russland hatte in diesen Spielen noch nicht mal Athlet:innen vertreten, denn formal waren die olympischen Athleten – also hieß es – nur olympische Athleten aus Russland. Und Russland als Nation war in Folge der Dopingvorfälle aus 2014 gesperrt. Und das kann man vielleicht mal so ein bisschen aufrollen. Wenn man sich da ganz kurz die Historie anschaut. Also 2014 waren die olympischen Winterspiele ins Sotschi in Russland. Russland ist damals als erfolgreichste Nation aus diesen Spielen raus gegangen. Kurz danach ist das staatliche Doping Programm aufgedeckt worden. Übrigens von dem Deutschen Hajo Seppelt, der das in einer ARD Doku „Geheimsache Doping“ zu Tage gefördert hat oder verfolgt hat. Und im Dezember 2017, also am 5. Dezember 2017 sperrt das Internationale Olympische Komitee Russland als Nation für die Olympischen Winterspiele 2022.

00:56:51 Lars Wallenborn: Also da wurde es offiziell. Das hat sich auch schon vorher angedeutet und so, aber da ist der Hammer gefallen, Russland darf nicht mitmachen.

00:56:57 Christian Dietrich: Vielleicht an der Stelle ein kleiner Filmtipp. Der Film „Ikarus“, das ist eine Doku, von Bryan Fogel. Da geht es unter anderem um Grigori Rodtschenkow. Ist ein ganz interessanter Film, kann man sich mal anschauen, wenn man da ein bisschen tiefer einsteigen will. Es gab noch eine zweite Beobachtung, die so ein bisschen verstörend wirkte vielleicht, als sie kam, denn die russische Regierung stritt einen Cyber Angriff ab, bevor es überhaupt einen Cyberangriff gab.

00:57:21 Lars Wallenborn: Und das ist immer ganz schlecht, wenn man anfängt, sich für etwas zu verteidigen, was noch gar nicht passiert ist. Oder was zumindest noch nicht mal aufgefallen ist, sage ich mal vorsichtig. Ich kann mir überhaupt nicht vorstellen, was da schiefgelaufen ist, muss ich sagen. Also da schienen sich Leute ganz schlecht abgestimmt zu haben.

00:57:35 Christian Dietrich: Ich meine ein paar Tag später oder retrospektiv kann man eben sagen, das ist natürlich ein sehr, sehr auffälliges Verhalten. So und jetzt fragen sich wahrscheinlich alle Zuhörer:innen, woher haben wir eigentlich diese Sichtbarkeit, diese Visibility in diesem Vorfall?

00:57:49 Lars Wallenborn: Na ja, und so was wie um 19:42 Uhr wird die Wiper Malware in die Zielumgebung übertragen. Also da fragt man sich schon, haben die zwei Armchair Investigators jetzt vielleicht doch ein weltweites Spionageprogramm am Start.

00:58:00 Christian Dietrich: Leider war das nicht der Grund für die lange Pause in den Podcast Folgen. Wir berufen uns hier maßgeblich auf ein US Indictment, also auf eine Anklageschrift des US Department of Justice. Und zwar konkret auf das, was am 19. Oktober 2020 also über zwei Jahre nach dem eigentlichen Vorfall hier veröffentlicht wurde.

00:58:21 Lars Wallenborn: Genau. Und da steht halt das alles so genau drin. Ich fand es super interessant, das auch noch mal zu lesen und so. Wir verlinken das natürlich auch in den Shownotes. Da kann man genau das, was eben in der Folge hier alles vorkam, kann man hier genau so nachlesen. Mit Uhrzeiten, mit um so und soviel Uhr wurde die E-Mail verfasst und um so und soviel Uhr verschickt, also das ist schon beängstigend gute Visibility, die dieser Anklageschrift zu Grunde liegt.

00:58:45 Christian Dietrich: So, und jetzt kommen wir eben zu einem Knackpunkt hier in dieser Folge. Denn wir können an dieser Stelle festhalten: Wenn wir jetzt hier der vermeintlich stärksten Attribution Glauben schenken, nämlich dass es hier diese politische Motivation Russlands gibt, dann haben wir es hier mit einer sogenannten False Flag Operation zu tun. Das heißt, hier hat jemand bewusst versucht, den Ursprung, also die Attribution fehlzuleiten. Das bezeichnet man eben als False Flag. Und das Ganze hat einen relativ gutes Ende genommen, denn diese False Flag Operation ist aufgeflogen.

00:59:17 Lars Wallenborn: Ja, ich fand das auch sehr, ich sage mal, erhebend, das Gefühl. Das ist ja immer das große „The looming Evil on the Horizon“, dass es Akteure gibt, die nur so tun, als wären sie ein anderer Akteur. Und das auch so geschickt machen, dass man das überhaupt nicht auseinander halten kann. Und das ist hier vielleicht nicht so geschickt gemacht worden, wie man es hätte machen können, aber es ist auf jeden Fall hier passiert. Und es ist vor allem aufgefallen, nach vernünftiger Analyse, nach etwas Zeit die da ins Land gegangen ist und so, dass diese False Flag Operation, die da ausgeführt wurde und nicht erfolgreich war, und welche False Flag war das überhaupt? Also ich halte es für am wahrscheinlichsten, dass es russische Malware war, die da geschrieben wurde. Und dann hat man sich alte nordkoreanische Malware genommen, und da einfach so den PE Header von der koreanischen Malware in diese russische Malware rüber kopiert. Byte für Byte, in der Hoffnung, dass sich das jemand anguckt und sagt: Ha, das ist die gleiche Entwicklungsumgebung, die wir auch schon in der Malware gesehen haben, also es muss Nordkorea sein.

01:00:17 Christian Dietrich: Das zum einen, und zum anderen haben wir ja auch wirklich die Algorithmik ähnlich implementiert. Dass man da so in Blöcken à hex 1000 Bytes, also 4096 irgendwie liest, beziehungsweise  dann schreibt, das gab es ja auch. Aber du hast schon völlig recht. Wahrscheinlich ist diese Metadaten Gleichheit, die ist wahrscheinlich das beste Zeugnis davon, dass jemand also da wirklich den PE Header rüber kopiert hat. Eins zu eins übernommen hat.

01:00:42 Lars Wallenborn: Gut, dann wollen wir doch jetzt mal zum Fazit übergehen. Also der gesamte Fall ist aus unserer Perspektive halt jetzt eine relativ safe Situation. Also wir haben Industrie Reporting und öffentliche Blogposts und so weiter, die deuten alle auf Russland hin. Es gibt eine Anklageschrift aus den USA, die auch sagt, es war Russland, das ist also quasi aus einer Analysten Perspektive so gut ermittelt, wie es nur sein kann. Alle sind sich einig. Es gibt NSA Level Visibility in dem Fall, es gibt Industrie Reporting, das das unterstützt, und so weiter. Das heißt, wir können jetzt einfach mal annehmen, das war Russland. Und jetzt könnten wir uns mal fragen, warum machen die das überhaupt. Also Chris, warum machen die das überhaupt?

01:01:19 Christian Dietrich: Ja, Ziel könnte hier schon sein, dass man Vertrauen erodieren möchte, und zwar Vertrauen in das System Olympische Spiele. Insbesondere vielleicht hinsichtlich Fairness und Doping, beziehungsweise Anti Doping. Weil genau das eigentlich in dem Zeitraum zwischen 2014 und 2018 eine sehr große Rolle gespielt hat. Also dieses staatlich organisierte Dopingsystem wurde ermittelt, dokumentiert und veröffentlicht, und dann könnte man eben argumentieren: Na ja, dann sabotiere ich eben die Olympischen Spiele als den Ort, wo faire sportliche Wettkämpfe ausgetragen werden.

01:01:57 Lars Wallenborn: Wenn dieser ganze destruktive Angriff erfolgreich gewesen wäre, dann hätte man sagen können: Na ja, wie sollen die denn bitte sehr vernünftige Anti Doping Maßnahmen treffen, wenn sie noch nicht mal ihr Netzwerk gegen nordkoreanische Malware schützen können. Ja, das ist so ein bisschen die Idee. Und auch sehr viel primitivere Motive könnten dahinter stecken. Also ich meine, die Russen durften nicht mitspielen, dann machen sie die Spiele halt für alle anderen auch kaputt. Hat aber nicht geklappt.

01:02:21 Christian Dietrich: Wir haben eben gesehen, dass es sich hier um eine False Flag Operation handelt, die als solche erkannt wurde und ich finde, da kann man manchmal ganz gut einen Vergleich ziehen. Nämlich welche neuen Techniken sich mit der Zeit entwickeln. Und was die in der Analyse für Unterschiede zur Folge haben. Und ich vergleiche das immer ganz gerne so mit der DNA Analyse bei klassischen Verbrechen. Also quasi in der klassischen Forensik wurden halt irgendwann DNA Analysen entwickelt, und man hatte auf einmal Möglichkeiten, Fälle aufzudecken, die man vielleicht bis dahin mit den zur Verfügung stehenden Mitteln einfach nicht aufdecken konnte. Wir haben ja hier in diesem konkreten Vorfall, also Olympic Destroyer, über den PE Rich Header gesprochen und diese PE Rich Header Analyse. Und da finde ich eine Sache ganz wichtig. Nämlich es gab da einen Forscher von Kaspersky, der sich wahrscheinlich schon so oft Rich Header angeschaut hatte, dass er in dem Moment, wo er realisiert hat, hier sollen Byte-gleiche Rich Header vorliegen, da hat er eben gesagt, das kann nicht sein. Und genau dieses Gefühl, dieser Erfahrungswert, der hat ihn dann ein bisschen dazu verleitet, sich das noch genauer anzuschauen. Und hat da wirklich so herausgearbeitet, dass das hier vermutlich eben eine False Flag Operation ist, in der Folge. Jetzt könnte man sagen, diese Rich Header Analyse, die haben vereinzelt sicherlich Leute bis dahin überhaupt schon gemacht. Aber das war zu dem Zeitpunkt kein Analysemittel was in der Community ständig diskutiert wurde.

01:03:55 Lars Wallenborn: Und ich glaube noch nicht mal, dass das daran lag, dass das irgendwie geheim gehalten wurde oder so. Ich glaube einfach, Leute haben das gelegentlich mal gemacht, und nicht so sehr drüber nachgedacht, dass es so ein mächtiges Tool sein kann. Und von solchen Sachen gibt es glaube ich ganz ganz viele – na ja, die man einfach so macht und erst wenn man mit jemand anders drüber redet und feststellt, oh ja, das ist ein super mächtiges Werkzeug und so weiter.

01:04:14 Christian Dietrich: In der Folge muss man glaube ich aus heutiger Perspektive sagen, diese Rich Header Analyse, die wird halt einfach immer gemacht. Die lässt man nicht mehr außen vor. Und wiederum in der Folge heißt das natürlich, dass wahrscheinlich Akteure, die heute eine False Flag Operation planen, sich dessen wohl bewusst sind und dass man vielleicht diese Methode so in der Form nicht notwendiger Weise nochmal verwenden kann. Aber darum soll es hier gar nicht so en Detail gehen. Es geht eher darum, wie interessant es eben ist, wenn man solche neuen Techniken mal so wirklich zum Einsatz bringt. Und natürlich kann man diese Techniken auch retrospektiv auf eine ganze Reihe anderer Fälle anwenden. Und das wurde eben auch vielfach gemacht, um sozusagen retrospektiv sich anzuschauen beispielsweise, wie sich Malware zusammen setzt und ob es da Konsistenzen oder Inkonsistenzen gibt.

01:05:03 Lars Wallenborn: Hier gibt es übrigens noch ein ganz interessantes Asymmetrie Verhältnis. Man sagt ja eigentlich immer, es gibt eine Asymmetrie zwischen Angreifern und Verteidigern, dass die Angreifer nur einmal reinkommen müssen und die Verteidiger alles absichern müssen. Das ist quasi unfair für die Verteidiger. Aber es gibt jetzt hier auch noch ein anderes Asymmetrie Verhältnis zwischen Angreifern die False Flag Operationen durchführen und Verteidiger Analysten, die diese Operationen analysieren. Weil hier müssen die Angreifer jetzt gegen jede dieser Analysetechniken alles richtig machen und die False Flag Operation richtig durchführen, die Rich Header richtig machen. Die müssen, weiß ich nicht, alles andere, was da sonst noch so rum fleucht an Techniken, korrekt handeln und korrekt False Flagifizieren. Weil wenn sie nur an einer dieser Stellen was falsch machen, dann fällt das auf, und dann kann man sagen, das spricht alles dafür, aber das könnte auch alles gefälscht sein hier an dieser Stelle, das spricht dagegen und so weiter. Also das ist eine ganz hoffnungsschaffende Asymmetrie. Nicht ganz so düster wie die andere mit den Verteidigern und Angreifern.

01:05:59 Christian Dietrich: Solche False Flag Operationen sind ja insgesamt super interessant. Und ich habe mich da mal gefragt, ob man so eine Attributions-Fall-Unterscheidung machen kann. Also was ich meine ist, in dem Moment wo du als Analyst, als Intelligence Analyst, da anfängst irgendwie so einen Fall aufzuarbeiten, da machst du ein Clustering. Also du versuchst die ganzen Artefakte und Observables, die du hast, zu sortieren und für dich irgendwie zu gliedern und zu strukturieren. Aber natürlich gibt es Fälle, da hast du einfach zu wenig, um in die sogenannte Charging Phase der Attribution einzusteigen. Das heißt, du hast im Prinzip einfach nichts, um zu attributieren. Du kannst super kategorisieren, du kannst super sortieren, aber du hast nichts um zu attributieren. Und wahrscheinlich denken viele, das ist der häufigste Fall. Ich weiß gar nicht, ob man das quantifizieren kann, das passiert bestimmt ziemlich häufig. Es gibt da ja auch unterschiedliche Nomenklaturen. Also es gibt ja zum Beispiel diese Unnamed Cluster, die ich glaube maßgeblich Mandiant da benutzt. Also UNC ist da so dieser Prefix. Also das ist quasi dieser Fall Eins. Der nächste Fall ist, die Attribution klappt nicht, weil es eben nur vereinzelte, sehr wenige Indikatoren gibt. Also ich sage mal, so plakativ könnte man sagen, ja das ist diese eine IP, die ist irgendwie aus Südkorea, also gibt es da irgendwie einen Südkorea Bezug, aber wir wissen eigentlich, das ist irgendwie nicht stichhaltig. Das ist aber das einzige was wir haben. Da denken wahrscheinlich auch viele, dass das ganz häufig der Fall ist und das ist wahrscheinlich auch so. Man könnte vielleicht sagen, wenn man an so einen Akteur wie Fancy Bear denkt, dann war das vielleicht so 2009/2010 herum, da war das vielleicht irgendwie zumindest im Industry Reporting vielleicht so der Fall. Man hat da so eine Idee, aber das ist nicht mit den Maßstäben, mit denen man vielleicht vernünftig Attribution betreibt, ist das irgendwie einfach nicht verlässlich. Und der dritte Fall ist, man hat genug, und es ist schlüssig. Wenn man bei Fancy Bear vielleicht mal bleibt, dann kann man sagen, ich würde sagen,  spätestens 2018 war weitestgehend in der Industry – also sowohl in der Industry, als auch eben in den staatlichen Organen die Sichtweise relativ klar, man konnte diese Operation attributieren. Man hat also mehrere Indikatoren, die Attribution erlauben, in vielen Dimensionen, diese Attributionsmodelle, die es da gibt, und die geben vor allem auch ein einheitliches schlüssiges Bild. Und dann gibt es aber den letzten Fall, also den vierten Fall. Und der ist interessant und der geht in diese Richtung, False Flag Operationen. Und der ist vielleicht, wenn man den ein bisschen allgemeiner fasst…

01:08:28 Lars Wallenborn: Ich unterbreche dich jetzt einfach mal. Ich würde nämlich eigentlich sagen, diese drei ersten Fälle, die sind eigentlich alle der gleiche Fall. Weil ich meine, so läuft das doch immer. Also du wachst nicht plötzlich auf, hast überhaupt kein Verständnis von Cyber Threat Landscape und hast dann viele, genug und schlüssige Attributionsinformationen. Das ist ja immer ein Prozess. Du fängst immer an und hast keinen Anpack. Und… also nicht in jedem Fall. Also wenn du einfach sonst keinen Kontext hast, hast du erst einmal keinen Anpack. Und je mehr du eine Übersicht über die Gesamtlandschaft bekommst, desto mehr Anpack kannst du auch überhaupt haben. Desto mehr Rezeptoren hast du an allen Ecken und Enden. Desto mehr ja, dieses Mörder Board, desto mehr Pins hast du da drin, zu denen du Fäden ziehen kannst, die du vorher nicht ziehen kannst. Und das wird mit der Zeit auch immer mehr und das liegt auch an diesem Asymmetrie, von der ich gerade gesprochen habe. So ein Akteur, der muss halt nur einmal einen Fehler machen, und einmal versehentlich sich nicht in ein VPN einloggen, wenn er mit dem Server redet, oder was auch immer. Und wenn das einmal passiert, dann hat man wieder so etwas. Und das heißt, je länger man die gleiche Aktivität trackt, desto mehr schlüssige Informationen hat man. Aber ich würde eigentlich sagen, diese drei Fälle – ja, diese drei Fälle gibt es, aber die sind eigentlich nur eine Konkretisierung eines Prozesses, der halt stattfindet.

01:09:41 Christian Dietrich: Ja, das kann man so sehen. Aber andererseits, also im Grunde bin ich da auch bei dir, weil klar, in den meisten Fällen – also je länger du einen Akteur trackst, um so höher, würde ich auch sagen, ist die Wahrscheinlichkeit, dass du ihn verlässlich attributieren kannst. Trotzdem haben wir eine ganze Menge an Akteuren oder Clustern, die bis heute Unnamed Cluster geblieben sind. Und wo ich mir auch fast sicher bin, die werden wir in Zukunft nicht verlässlicher attributieren können. Ich glaube, es gibt schon eine ganze Menge Fälle, die verbleiben in diesen anderen Fällen, also kein Anpack oder zu wenig oder nicht schlüssig und so weiter – und sich das mal bewusst zu machen ist glaube ich auch völlig in Ordnung. Das muss ja nicht heißen, dass Attribution grundsätzlich nicht möglich ist, oder nicht sinnvoll ist, sondern…

01:10:23 Lars Wallenborn: Nein, man muss natürlich Prioritäten setzen. Also wenn man jeden Akteur immer trackt, dann braucht man unglaublich viele Ressourcen und die hat man eventuell gar nicht zur Verfügung. Also irgendeine Priorisierung muss man halt machen.

01:10:34 Christian Dietrich: Genau. Der letzte Fall, den ich noch ganz kurz anschneiden wollte, wo es in die Richtung False Flag geht, das ist vielleicht der Fall, wo es zu viele, aber in viele verschiedene Richtung gehende Indikatoren gibt. Ja, oder Attributionsansätze. Das heißt, die Attribution klappt nicht, weil sie zu widersprüchlich ist. Nicht weil man zu wenig hat, sondern weil man genug hat, aber es ist einfach zu widersprüchlich und das könnte vielleicht der Versuch gewesen sein, hier so ein bisschen zu bezwecken. Das heißt, dass man nicht nur die falsche Fährte in Richtung Nordkorea legt, sondern man wollte eben möglicherweise bewusst, auch noch eine falsche Fährte in Richtung China legen und da auch noch hinsichtlich mehrerer Akteure. Wir wissen nicht genau, ob das bewusst oder unbewusst passiert ist an der Stelle. Und nur um einfach mal ein zweites Beispiel vielleicht zu geben, wäre an der Stelle Cloud Atlas, ein Akteur, der sich da an der Stelle vielleicht ähnlich gebart hat. Okay, genug von diesen ganzen theoretischen Modellen, zurück zum Fazit. Vielleicht kann man sagen, wenn man das ganze im zeitlichen Verlauf noch einmal betrachtet, dann zeichnet sich ein verhältnismäßig klares Bild. Also vielleicht fängt man 2014 an, wir haben die Olympischen Winterspiele in Sotschi, Russland gewinnt die meisten Medaillen, super viele Erfolge, das war im Februar 2014 glaube ich, und einen Monat später im März, beginnt Putin die militärische Auseinandersetzung mit der Ukraine, die mal eben die Krim besetzt, zunächst ja verdeckt, aber das artet ja dann aus irgendwie zu einer tatsächlichen militärischen Auseinandersetzungen. Im Dezember 2017 wird Russland suspendiert von den Olympischen Winterspielen 2018, das sind die nächsten Olympischen Winterspiele…

01:12:14 Lars Wallenborn: Oder ein anderer Grund oder eine andere Motivation warum man so einen destruktiven Angriff gegen die Olympischen Spiele macht, kann halt auch so ein Drohgebaren sein. Das passt ja auch irgendwie gut in das russische Klischee, so von wegen: Ja, lass uns lieber mitspielen, sonst machen wir das für alle kaputt.

 01:12:27 Christian Dietrich: Haben wir ein Schlusswort, Lars?

01:12:29 Lars Wallenborn: Ja, wir haben ein Schlusswort. Also die Verteidigung hat hier super geklappt, die Attribution hat zumindest mit etwas Zeit gut geklappt, sogar eine False Flag Operation wurde quasi durchschaut, und das ist sehr gut und das ist sehr wichtig. Also das spielt in diesem Themenkomplex Resilienz mit rein, das ist halt auch eine Art und Weise, sich im Cyberspace zu verteidigen, indem man dafür sorgt, dass man vorbereitet ist auf Angriffe, dass man die dann handeln kann korrekt und dass man im Nachgang auch feststellen kann, wer war es und dann auch eventuell – wie jetzt auch in dem Fall – Anklage erheben kann.

01:13:06 Christian Dietrich: Ja. Dieser Vorfall ging als Olympic Destroyer, wahrscheinlich eben in die Cyber Geschichtsbücher ein, und wenn man so will, ist vielleicht eines davon das Buch „Sandworm” von Andy Greenberg. Vielleicht kann ich an der Stelle mal kurz ein bisschen Werbung machen. Wir haben bei uns an der Westfälischen Hochschule einen Master Studiengang, Internetsicherheit, wenn man irgendwie Informatik-affin ist und einem solche Themen, wie hier Fragen zur Attribution und zur technischen Analyse von Cybervorfällen und Malware liegt, dann ist das vielleicht irgendwie ganz interessant. Das war es auch mit dem Werbeblog. Ja, die Folge ist etwas länger geworden. Das war aber auch Absicht. Wenn euch das so gefallen hat, dann lasst uns doch vielleicht irgendwie Kommentare auf Twitter da…

01:13:45 Lars Wallenborn:  @armchairgators ist unser Handle auf Twitter. Oder ihr könnt uns natürlich auch erreichen über unsere Webseite armchairinvestigators.de.

01:13:54 Christian Dietrich: Es hat uns gefreut, wenn ihr bis jetzt drangeblieben seid, und bis zum nächsten Mal.

01:13:58 Lars Wallenborn: Tschüss.

01:14:00 Christian Dietrich: Ciao.

#6 Evolution von Ransomware

Wie hat sich Ransomware entwickelt, dass heute eine signifikante Bedrohung von ihr ausgeht? Was sind Ransomware as a Service oder Double Extortion? Welche Belohnung gibt es für Hinweise, die zur Ermittlung eines Ransomware-Gang-Mitglieds führen? Diese Fragen beleuchten wir in der aktuellen Folge und ordnen vermutlich eines der ersten Urteile in Deutschland zu malwaregestützten Ransomware-Vorfällen ein.

Shownotes

Transkript anzeigen...

Folge 6 – Die Evolution von Ransomware

[00:24] Dedicated to prosecuting ransomware hackers to the full extent of the law.

[00:32] Hallo liebe Cyberfreunde. Mein Name ist Chris. Ich bin Professor für Cybersicherheit an der Westfälischen Hochschule.

[00:37] Und ich heiße Lars und ich arbeite für CrowdStrike als Softwareentwickler und Malware Reverse Engineer.

[00:43] Wir nehmen diese Folge auf am 11.11.2021, also Alaaf oder Helau, je nachdem, wo ihr euch gerade so aufhaltet.

Was wir eben gehört haben, war Joe Biden mit einer Aussage von Mai 2021 und die kam eben in Reaktion auf den Ransomware-Angriff auf Colonial Pipeline. Colonial Pipeline ist eine Öl-Pipeline in den USA über Land, die für die Ölverteilung im Osten der USA maßgeblich mitverantwortlich ist und die in Folge eines Ransomware-Angriffs abgeschaltet wurde. Das hatte dann so ein paar Effekte, wie zum Beispiel, dass einige Tankstellen wohl Engpässe in der Treibstoffversorgung erlebt haben.

[01:21] In dieser Folge soll’s darum gehen, was Ransomware ist. Ich meine, das wissen wahrscheinlich schon viele hier, aber auch, wo sie herkommt und was es für Entwicklungen gab in der ganzen Ransomware-Szene und vielleicht auch, wo die Reise hingeht. Denn Ransomware gibt es schon seit mittlerweile Jahrzehnten und hat einige Evolutionsschritte durchgemacht. Wir wollen also aufzeigen, was denn wichtige Schritte in dieser Entwicklung eigentlich waren.

Und dafür haben wir uns überlegt, dass wir die Folge in zwei Teile aufteilen und im ersten Teil konzentrieren wir uns auf die verwendete Malware, da werden wir erst über sogenannte Fake AV reden, dann über Screenlocker und dann über Cryptolocker. Und im zweiten Teil verdeutlichen wir dann die Evolution des Gesamtökosystems. Also werden solche Sachen eine Rolle spielen wie Ransomware as a Service und auch Kryptowährungen im Allgemeinen oder Dedicated Leak Sites, Double Extortion und, auch Auktionen werden wir da ansprechen.

[02:14] Was aber alle Entwicklungen, die wir hier betrachten, gemeinsam haben, ist eben der Bezug zu Ransomware und darunter verstehen wir eben, dass ein Akteur Lösegeld verlangt. Es geht also um Erpressung.
Und außerdem, um das auch noch ein bisschen weiter abzugrenzen, wollen wir uns konzentrieren auf Aktivität, die auch Malware verwendet. Also wir wollen’s explizit abgrenzen von DDoS Extortion und all diesen ganzen Kram den’s da auch noch gibt. Also wir wollen uns konzentrieren auf Fälle, in denen Malware zum Einsatz kommt. Wahrscheinlich hat Ransomware seine Ursprünge schon deutlich früher, aber ein signifikanter Entwicklungsschritt ist so 2009/2010 passiert.

Von Fake-AV über Screenlocker bis Ransomware as a Service

[02:53] Nämlich mit Fake-AV. Auf Deutsch so was wie gefälschte Antiviren-Software, ist eben Software, die vorgibt eine Antiviren-Software zu sein, aber in Wirklichkeit eben keine ist. Diese Software suggeriert, dass der Rechner infiziert sei und man eben gegen Geld desinfiziert werden könnte. Das Problem ist eben, selbst wenn man bezahlt, passiert in der Regel nichts.

[03:18] Das ist also mehr so eine Farce und es gab eigentlich in gewisser Weise gar keinen Virus, der auf dem Computer ist und diese Fake-AV-Software hat nur so getan, als wäre sie ein Virenscanner und eigentlich wird dann nur die Meldung ausgeblendet.

Fake-AV

[03:30] Und wir haben jetzt ein ziemlich fancy Feature von einigen Podcast-Playern mal versucht zu benutzen. Wir versuchen euch nämlich einen Screenshot einzublenden von einem solchen Befall, einer solchen Fake-AV-Familie, damit man vielleicht so ein Gefühl dafür bekommt, was denn die Benutzer an einem infizierten Rechner da so gesehen haben.

[03:49] Und von dieser Art und Weise gibt’s heute auch noch sehr Low-Tech-Varianten sage ich mal. Also es gibt manchmal so Werbebanner, das äh manchmal rufen ja so Verwandte an und sagen Hilfe, mein Computer ist infiziert, weil auf irgendeiner Webseite ein Werbebanner angezeigt wurde, das gesagt hat, der Computer ist infiziert und das ist halt, da ist noch nicht mal Malware im Einsatz. Es ist so einfach, wie es nur werden kann. Darauf basierend gibt’s dann meistens auch noch so einen Text-Support-Scam, also da kann man sich auf YouTube auch ganz lustige Videos angucken von Leuten, die nur so tun, als wären sie diesen diesem Scam anheimgefallen. Da werden Opfer dazu gebracht, eine Tech-Support-Hotline anzurufen und werden dann eigentlich erst dabei wirklich mit Viren infiziert und so weiter.

Screenlocker und eine Verurteilung in Deutschland

[04:30] Wahrscheinlich mit die nächste Evolutionsstufe war dann etwa 2012. Da betreten nämlich Screenlocker die Bühne. Das kennt man vielleicht noch, einige erinnern sich vielleicht an BKA-Trojaner. Damit meinen wir jetzt eben nicht sowas wie den Bundestrojaner, also im Prinzip Quellen-TKÜ, sondern es geht hier um eine Schadsoftware, die den Zugang zum Rechner sperrt und vorgibt zum Beispiel von einer Strafverfolgungsbehörde zu sein, wie eben dem Bundeskriminalamt.

Und das ist ein bisschen eine Weiterentwicklung zu dieser Fake-AV Sache, weil jetzt wirklich was passiert ist mit dem Computer, der infiziert wurde. Also vorher wurde nur eine Meldung angezeigt, du hast einen Virus und jetzt macht dieser Screenlocker, na ja, das was der Name schon sagt, der zeigt irgendwie, ja was im Vollbild an oder so, sodass man den Computer nicht mehr benutzen kann, wenn man jetzt technisch nicht versiert genug ist, den Autostaat auszuschalten oder sowas.

Diese Malware-Gruppe bezeichnen wir so eben als Screenlocker und was ganz interessant ist, dass wir relativ aktuell ein interessantes Ereignis dazu hatten, nämlich im Oktober diesen Jahres, also 2021, wurde ein Mitglied einer Akteursgruppe rechtskräftig verurteilt, und das für eine Operation, die schon vor neun Jahren begann. Also rechtskräftig verurteilt hier in Deutschland das ist der wichtige Punkt hier. Es gibt einen Akteur, dessen Kerngruppe seit Ende 2012 aktiv ist, eben in dieser Operation und aus dem Urteil ist klar, dass der Tatzeitraum des Beschuldigten hier im Zeitraum 20013 bis 2015 liegt. Was war da passiert? Da wurde eben Lösegeld gefordert, beziehungsweise eine Gebühr zur Freischaltung des Rechners in Höhe von 100 Euro.

[06:11] Die Zahlung sollte damals über PaySafeCard oder Ukash passieren. Das sind Zahlungsmittel, wo man gegen einen Betrag eine PIN erhält und diese PIN kann man dann eben verschicken oder versenden, auch eben digital. Und an einer anderen Stelle kann man eben diese PIN sozusagen eben wieder zu Geld machen oder das Geld irgendwie rausbekommen aus dem System unter der Voraussetzung, dass die PIN eben korrekt ist. Diese Malware hat vorgegeben oder vorgegaukelt, dass man illegale Downloads vorgenommen hätte oder auf dem Rechner Dateien mit verbotenem, teilweise eben kinder- oder tierpornografischem Inhalt gefunden wären.

[06:49] Die Sperrbildschirme dieser Malware sind in 44 Sprachen übersetzt worden. Dabei fiel auf, dass es eben keine Varianten für China, Russland oder die Ukraine gab.

Die Tatsache, dass es 44 Sprachen sind zeichnet auch schon ein Bild davon, was das für eine Operation ist. Das ist ein Riesending. Da haben sich wirklich Leute hingesetzt, das internationalisiert für verschiedene Sprachen und so, Wahrscheinlich involviert das viele Leute mit verschiedenen Zuständigkeiten und Spezialisierungen. Also das ist mehr als ein als nur so ein Einzeltäter, der so eine Kleinigkeit da irgendwie bei sich zu Hause im Keller macht. Genau.

Spulen wir vor in den Oktober 2021. Das Urteil ist mittlerweile rechtskräftig. Der Beschuldigt ist es zu mehr als vier Jahren Freiheitsstrafe verurteilt worden. Aber warum ist dieser Fall überhaupt erwähnenswert aus unserer Perspektive? Maßgeblich würde ich sagen aus mindestens zwei Gründen, nämlich erstens, es verdeutlicht sehr gut die Organisation und Aufgabenteilung in so einer Akteursgruppe, wie du gerade schon beleuchtet hast. Das eben auch schon seit damals, das heißt also mindestens seit 2012, also neun Jahre zurück.

Grob gesagt zu diesem Zeitpunkt hat das BKA oder wer auch immer da ermittelt hat, schon herausgefunden, wer es war um da ein Verfahren anzustreben, um dann da Leute anzuklagen und so. Da hat Attribution stattgefunden und das ist auch schon zehn Jahre her. Richtig, also das LKA Baden-Württemberg hat da, glaube ich, maßgeblich so die Strafermittlung durchgeführt, [08:12] hat den Fall, also damals so weit ermittelt, dass mutmaßlich eben ein Haftbefehl erging und wie du sagst, eben damals schon Attribution gemacht.

Das finde ich ist ein wichtiger Punkt, weil, das unterstreicht mal wieder, dass Attribution eine Rolle spielt und dass wir das quasi machen müssen, um überhaupt was gegen diese Kriminellen in der Hand zu haben.

Die Verhaftung erfolgte dann am Flughafen Wien im März 2020. Dann erfolgte eben eine Auslieferung an deutsche Behörden.

[08:40] Aus der Perspektive dieses Akteurs ist das natürlich auch irgendwie krass. Der hat dann seit fünf Jahren damit nix mehr zu tun gehabt. Der soll das irgendwie unterstützt haben von 2013 bis 2015. Fünf Jahre später fährt er nach Wien, hat vielleicht überhaupt nicht mehr dran gedacht, dass er vor fünf Jahren mal ein Verbrechen begangen hat und da gab’s dann wohl einen Auslieferungsvertrag und dann wurde er ausgeliefert an die deutschen Behörden. Wenn man jetzt nochmal versuchen möchte, einzuschätzen, „welche Rolle hatte diese Person?“, dann muss man sagen, das ist jetzt kein oder mutmaßlich eben kein Mitglied der Kerngruppe, sondern das war jemand, der hat ein festes Gehalt bekommen, also etwa tausend Dollar, glaube ich, pro Monat, hat Wartungsaufgaben von der Serverinfrastruktur und so weiter übernommen. Also der hatte da schon irgendwie einen signifikanten Anteil, aber man würde ihn wahrscheinlich nicht irgendwie so zur Kerngruppe zählen.

[09:25] Soweit ich weiß, fahndet man nach wie vor nach diesen Mitgliedern der Kerngruppe. So, das heißt, wir haben jetzt über Fake-AV geredet, 2010, Screenlocker 2012, so als kleine Seitennotiz, man könnte jetzt sagen Screenlocker, das habe ich ja noch nie gehört, das ist kein Ding mehr auf Computern, wegen der Entwicklung, die wir gleich sagen werden. Screenlocker spielen auf mobilen Endgeräten aber immer noch eine Rolle, also so auf Handys und Smartphones und so. Das liegt daran, dass wahrscheinlich das, was wir jetzt gleich erklären, auf Smartphones schwerer ist, und dass na ja, wenn so eine App immer wieder nach vorne geht, das trotzdem vielleicht Leute noch dazu bringt, das einfach zu bezahlen, damit dieses Problem gelöst ist und so weiter.

Cryptolocker und Ransomware as a Service

[10:00] Also das heißt Screenlocker sind jetzt grade auf Computergeräten ein bisschen aus der Mode gekommen, weil dann die sogenannten Cryptolocker sehr viel mehr in den Fokus gerückt sind und
damit meinen wir Malware, die ihre Erpressung dadurch ausführt, dass sie die Dateien auf dem Computer verschlüsselt mit irgendeinem Verschlüsselungsverfahren und
den Schlüssel nur dem Akteur zur Verfügung stellt und danach kann der Akteur den Schlüssel herausgeben, wenn das Opfer bezahlt und sonst nicht. Das ist dann quasi das Lösegeld, das da erpresst wird.
Wahrscheinlich die erste signifikante konkrete Malwarefamilie in dem Kontext hat man eben auch als Cryptolocker bezeichnet, so wie wir jetzt sozusagen diese ganze Gattung vielleicht auch bezeichnen würden,
die war 2013 aktiv, ist dann im Rahmen der Operation Tovar, vom FBI da maßgeblich geleitet, aber mit Ermittlungsbehörden in vielen Ländern irgendwie durchgeführt.

[10:55] Ehm, wie fing der Satz nochmal an? Oh wenn du’s selber nicht schaffst, dann ist er zu lang. Ja, ich glaube auch, genau. Ähm.

[11:08] Damals ist Evgeniy Bogachev als einer der Haupttäter identifiziert worden und in den USA auch angeklagt worden, aber er ist eben bis heute nicht gefasst.

[11:18] Das heißt, diese ganze Art nennen wir Cryptolocker. Verwirrenderweise hieß diese Familie, die wir jetzt gerade beleuchten hier von 2013 auch Cryptolocker, aber so ist es halt. Manchmal ist es halt verwirrend. Und das ist Ransomware, wie man sie heute kennt. Wenn man heute von einem Ransomware-Angriff redet, dann ist das die Methode, die da verwendet wird, um das Lösegeld oder eine der Hauptmethoden, die da verwendet wird, um das Lösegeld zu erhalten. Also 2013, das jetzt auch 8 Jahre her, also so lange gibt’s das schon und so lange entwickelt sich das schon.

Das heißt, der nächste Schritt, der nächste Evolutionsschritt, der passiert eigentlich eher aus so einer wirtschaftlichen Perspektive. Ja, man versucht nämlich, so eine Art Franchise-System da irgendwie einzuführen. Man unterscheidet jetzt zum einen die tatsächliche Software zu entwickeln und die Infrastruktur zu betreiben, und zum anderen, ja, die sogenannten Affiliates, die jetzt Ziele kompromittieren und diese Ransomware zum Einsatz bringen. Das ist eine ganz klassische Aufgabenteilung, wie man sie vielleicht in der Wirtschaft auch sehen würde. Ja, also diese zwei Gruppierungen, die du gerade erwähnt hast, die

[12:19] spezialisieren sich jetzt einfach auf das, was sie halt tun. Die einen können jetzt gut Software entwickeln und Infrastruktur betreiben und die anderen, die können gut Access kriegen und dann die ganzen Sachen machen, die man da so macht. Und das ist ein Trend, den ja gibt’s ungefähr seit 2016, das bezeichnet man als Ransomware as a Service, so ein bisschen wie Software as a Service und dieser Service, der da angeboten ist, das ist quasi diese erste Gruppierung, die die Ransomware zur Verfügung stellt, für andere Kriminelle, die sie dann verwenden, um ihre Ziele zu kompromittieren. Und eine der großen Familien sind und waren, da die Dharma und GandGrab und REvil oder Revil und Darkside zum Beispiel. Da übrigens ein kleiner Verweis auf unsere Folge Nummer 3, die Erpressung der Uniklinik Düsseldorf. Da kam nämlich die DoppelPaymer-Ransomware zum Einsatz und die wird auch betrieben in einem Ransomware as a Service Modell. Jetzt hast du ganz viele Namen da erwähnt, das hat ja auch zum Hintergrund, dass es da so einen Trend gibt, denn die Akteure betreiben ja so ein Re-Branding, ne? Das heißt also, es ist durchaus so, dass man neue Namen für die Malware vergibt.

[13:21] Aber es verbirgt sich der gleiche Akteur möglicherweise noch dahinter, ne? Also wir haben gesehen, GandCrab beispielsweise war so ein Malware-Familienname, der irgendwann verschwunden ist und stattdessen sehen wir jetzt REvil oder wie heißt das noch gleich, Sodinokibi oder so? Ja, keiner hat das so genannt, aber ja, eigentlich heißt es Sodinokibi.


Ja und das ist natürlich ein ganz verwickelter Prozess, wenn man sich überhaupt mal überlegt, wie Malware überhaupt benannt wird. Manchmal vergeben Malware-Analysten den Namen für Malware, manchmal vergeben die Malware-Autoren ’nen Namen. Jetzt gerade bei Ransomware as a Service gibt’s da ja auch eine Marke, die da vermarktet wird unter Kriminellen, also da ist dann der REvil Ransomware as a Service, der ist besonders leistungsstark, weil die Verschlüsselung sicher ist und weil das immer alles so gut funktioniert und Virenscanner die Malware nicht detecten und so weiter.
Das heißt, da gibt’s ein Label und eine Marke, um die es darum geht und manchmal, wie du gerade gesagt hast, gibt sich so eine Marke auf, aus welchen Gründen auch immer und dann gibt’s eine neue und das ist eine große Herausforderung natürlich dann für Malware-Analysten, dann kommt da so eine neue Malware und dann muss man sich überlegen, ist das jetzt eine andere oder hat da einfach nur jemand drei, vier Funktionen hin und her geschubst und das ist eigentlich noch die gleiche. Ja da spielt technische Analyse eine riesengroße Rolle, um da so ein bisschen Struktur reinzubringen.

[14:42] Da ist man wieder beim Clustering-Schritt der Attribution zum Beispiel, ne? Das haben wir auch schon in ein paar Folgen erwähnt. Haben wir noch weitere Beispiele für das Re-Branding? Ich glaube hier Darkside, ist so eine Marke, die verschwunden ist, wo man jetzt sagt, dass Blackmatter der Nachfolger ist und im Fall von Doppelpaymer, glaube ich, wird auch gemutmaßt das Grief der Nachfolger ist, ne?
Darkside und Blackmatter finde ich übrigens extrem verwirrend, weil es es gibt ja also ja, es gibt DarkMatter und jetzt gibt’s Darkside und Blackmatter, sie müssen sich jetzt nur noch, Blackside nennen, dann ist die Verwirrung komplett. Ist ein bisschen wie Fancy Lazarus.

Kryptowährungen und Bitcoin

[15:18] So und jetzt gibt es einen wichtigen Innovationsschritt, der den Finanzfluss für Ransomware-Akteure deutlich vereinfacht hat und das sind Kryptowährungen.
Wenn man sich das mal so anguckt, also angefangen hat das, wie wir gerade irgendwie gesagt haben bei diesem BKA-Trojanern und so mit so Paysafe-Karten oder Ukash oder Moneypak oder Amazon-Geschenkgutscheinen, sage ich mal. Das nehme ich auch einfach mal als Beispiel, weil sich das jeder gut vorstellen kann. Also so ein Amazon-Geschenkgutschein haben wahrscheinlich so einige von unseren Zuhörerinnen auch schon bekommen. Quasi man kriegt so einen Code und den kann man dann bei Amazon eingeben und dann kann man bei Amazon für diesen Betrag etwas kaufen. Das ist halt so ein ich sage mal so ein Finanzmittel, wo der Code selber das digitale Gut ist und da geht dann auch jede Möglichkeit verloren herauszufinden, wer den Code an wen geschickt hat. Das ist so ein bisschen die Bargeld, aber halt digital.
So und diese ganzen, diese ganzen Sachen, die ich gerade aufgezählt habe und auch die Amazon-Geschenkgutscheine haben natürlich ein Skalierungsproblem.

Man hört jetzt ja in den Medien über Millionen Euro Lösegeldzahlungen und so weiter und das wäre nicht möglich mit Amazon-Geschenkgutscheinen. Das wurde erst möglich durch Kryptowährungen, wie zum Beispiel Bitcoin. Also ich werde jetzt mich hier mal hier ein bisschen bei der Erklärung auf Bitcoin konzentrieren, aber eigentlich kann man sich immer im Kopf vorstellen, es geht um Kryptowährungen im Allgemeinen. Ich würde sagen, das war ein Riesenboost, den da die Ransomware-Akteure erhalten. Auf jeden Fall.

[16:49] Wie funktioniert denn Bitcoin? Lass uns das mal kurz umreißen vielleicht.

Lass uns das mal grad in zwei Stunden umreißen wie Bitcoin funktioniert. Also ich versuche das jetzt einfach mal wirklich in einer Minute kurz zu erklären. Da lasse ich jetzt einige Sachen mal weg.

Das ist aus Perspektive super nützlich im Vergleich auch zu sowas wie Amazon Geschenkgutscheinen, weil Bitcoin sehr viel leichter flüssig zu machen ist. Also wie wird das Laufen bei einem Amazon Geschenkgutschein, wenn man einen, sagen wir mal, 100 Amazon-Geschenkgutscheine jeweils im Wert von 100 Euro. Dann muss man jetzt für 10.000 Euro Sachen bei Amazon kaufen und die muss man wieder verscherbeln, damit man das in Bargeld kriegt oder vielleicht kann man die auch wieder zu Geld umtauschen, aber da ist viel Reibung vorhanden und da geht viel bei verloren.
Kryptowährungen haben diese Reibung quasi komplett oder fast komplett abgeschafft. Es gibt ein paar andere Probleme, da gehen wir gleich auch kurz drauf ein. Vor allem, also neben der Tatsache, dass es da Reibung, dass die Reibung da verringert wurde ist es auch viel skaliererbarer geworden. Also wie gesagt: Zehn Millionen Dollar in Kryptowährungen ist sehr viel leichter zu kriegen als zehn Millionen Euro in Amazon-Geschenkgutscheinen.

Jetzt ist die Blockchain von Bitcoin ja anonym, aber öffentlich. Genau, mit Blockchain meinst du jetzt das, was ich eben immer so versteckt habe hinter dem Begriff Kassenbuch. Also dieses Kassenbuch ist öffentlich, da kann jeder reingucken. Wenn man jetzt solchen Fragen nachgeht, „wie viel verdienen die denn im Rahmen von so ner Ransomware-Kampagne?“, woher weiß man das dann?

[19:15] Genau, so als Analyst kann man dann hingehen und versuchen, diese Empfängerkontoadresse zu identifizieren, die zu einem Ransomware-Akteur gehört und dann guckt man einfach in diesem öffentlichen Kassenbuch nach, wie viel Geld da drauf eingegangen ist. …“Follow the money!“…
Es ist einfach eine öffentliche Information. Und jetzt könnte man natürlich sagen, ja hm, wenn das alles öffentlich ist, dann muss das ja auch irgendwann wieder flüssig gemacht werden und dann guckt man sich einfach an, wo das flüssig gemacht worden ist. Einige Kryptowährungen lösen dieses „Problem“, indem sie auch noch, Finanzflüsse verschleiern, aber Bitcoin macht das nicht und Bitcoin ist immer noch viel im Einsatz bei Ransomware weil es leicht zu bekommen ist so relativ leicht was Kryptowährungen, also was Kryptowährungen angeht ist Bitcoin noch relativ leicht zu kriegen. Und diese Währung hat dann aus Perspektive das Problem, dass man sehen kann, wo das Geld wo hingeflossen ist und dafür gibt es jetzt mehrere Lösungen. Also Verschleierung sozusagen, ne? Genau aus Akteursperspektive und eines der großen Dinger da sind sogenannte Mixer-Services heißen die.

[20:20] Ich erkläre mal kurz, wie das aus der Perspektive aussieht. Da geht man auf so eine Webseite, dann gibt man da ein paar Empfängeradressen an, die ich unter meiner Kontrolle habe als Akteur. Dann kann man da so eine Servicegebühr noch auswählen, sollte man wahrscheinlich zufällig machen, damit das nicht so sehr auffällt. Dann gibt man auch so ein Zeitintervall und eine Verzögerung ein und was ich dann bekomme als Akteur ist eine weitere Bitcoin-Adresse, auf die ich dann Geld einzahlen soll. Und dieser Mixer-Service nimmt dieses Geld dann auf diese Adresse, verteilt das auf alle anderen Adressen und dann habe ich das Geld quasi wieder zurück. Jetzt könnte man denken, was ist denn das? Das nutzt ja irgendwie gar nichts und de facto bedeutet das, man versucht hier Kryptowährungen zu waschen. Genau, das ist einfach Geldwäsche im klassischen Sinne, weil wenn man sich das dann auf also in diesem Kassenbuch anguckt, dann sieht man da nur ein riesengroßes Konto, das den Mixerservice gehört.

Also man kann tatsächlich jetzt vor, das sind jetzt drei Parteien, A, B und C und die verwenden diesen Mixer-Service, dann sieht man nur, dass Transaktionen von diesen drei Parteien A, B und C da reingehen und ganz viele Transaktionen an ganz viele Parteien raus.
Wenn das jetzt nicht 3 Parteien sind, sondern zehntausend, dann ist völlig verschleiert, welches Geld wo hingegangen ist. Also das eingehende Geld kann man nicht mehr oder die eingehenden Bitcoin-Beträge kann man nicht mehr mit den ausgehenden Bitcoin-Beträgen in irgendeiner Form sinnvoll inhaltlich in Verbindung bringen.

[21:42] Also klar, wenn man da Fehler macht, kann man das vielleicht doch noch machen, aber es ist erstmal auf jeden Fall sehr viel schwerer als wenn ich und wenn das Geld dann einmal gewaschen ist, wie du grade gesagt hast, dann kann man’s auf irgend so einen Exchange überweisen oder jemanden finden, der mir das dann in Bargeld umtauscht.
Oder Fiatgeld, wie man das wohl auch auf Deutsch sagt. Ja und dann kann man halt als Akteur das Geld dann auch wirklich haben.
Okay, das erklärt so ein bisschen, warum in der Folge eigentlich auch immer nur noch Kryptowährungen benutzt werden und,

Big Game Hunting, Leaks, Auktionen und Double Extortion

[22:10] Wahrscheinlich ein weiterer Entwicklungsschritt, den wir dann beobachten, ist 2017 die Malware WannaCry.
Die hatte weltweit Impact, es wurden sehr viele Systeme befallen und es handelt sich hier um den ersten bekannten Fall eines staatlichen Akteurs, der eben Ransomware verwendet.
Übrigens, das ist der gleiche staatliche Akteur, über den wir auch in Folge 1 reden, dem Cyber-Bankraub von Bangladesch.

[22:35] Genau. WannaCry war sehr medienwirksam. Also das hat damals wahrscheinlich wirklich jeder mitbekommen.
Auf Bahnhöfen wurden da irgendwie dieser berühmte Bildschirm angezeigt, an allen möglichen Orten, wo überraschenderweise Windows XP noch zum Einsatz kam und so weiter. Es war ein ja medial ein Riesending.
Wenn man sich fragt, was war denn der Erlös, dann war das damals etwa ein sechsstelliger US-Dollar-Betrag, also ich glaube so etwa 150.000 US-Dollar, zu dem damaligen Zeitpunkt.
Das hat heute natürlich deutlich mehr Wert, also wenn sozusagen die Bitcoin bis heute gehalten worden wären, dann hätten die eben wahrscheinlich einen einstelligen Millionenbereich in US-Dollar.
Das ist vielleicht nochmal ganz sinnvoll, wenn wir das gleich so ein bisschen kontrastieren zu anderen Entwicklungen, die wir da sehen.
Das war ein großer Fall, also 2017, aber wenn man das gerade was das Geld angeht, dann vergleicht mit dem, was jetzt kommt, dann war das fast noch gar nichts.
Denn jetzt kommt Big Game Hunting.

Zu Deutsch heißt das so viel wie Großwildjagd, also das wusste ich vorher auch nicht, bevor dieser Begriff berühmt geworden ist. Also als Game bezeichnet man im Englischen auch so Wild und Big Game sind dann so was wie Tiger oder Elefanten oder so was und was das in dem Ransomware-Kontext jetzt hier heißt, ist, dass man sich als Akteur nicht mehr auf so kleine Fische konzentriert. Also man versucht nicht mehr Tausende von Leuten dazu zu bringen, 100 Euro zu überweisen, [23:56] sondern man versucht eine große Institution dazu zu bringen, große Geldbeträge zu überweisen.

Anders als so die bisherige Massenabhandlung von Infektionen gestaltet sich auch die Interaktion mit dem Akteur jetzt anders. Es gibt in der Regel tatsächlich in irgendeiner Form Dialog über irgendwelche elektronischen Kommunikationsmittel. Das kann per E-Mail passieren über irgendwelche Online-Chats. Es kann vielleicht getriggert werden, sogar durch Anrufe.

[24:22] Und häufig wird über den tatsächlichen Lösegeldbetrag dann wirklich verhandelt. Um vielleicht da mal so ein bisschen eine Größenordnung zu geben: Also in einem Fall gibt es ein bestätigtes Lösegeld in Höhe von 740.000 US-Dollar. Da geht es um einen Bitpaymer-Vorfall. Links dazu packen wir euch in die Shownotes. Das heißt, ein einziger Big Game Hunting Incident stellt mitunter den gesamten Erlös von zum Beispiel WannaCry mit seinen 150.000 US-Dollar in den Schatten. Und als Akteur heißt das, die Menge an Geld, die ich machen kann, ist eigentlich nur beschränkt durch die Anzahl der Firmen, die ich kompromittiere und die Anzahl der Leute, die ich damit beschäftige, diese Aktivitäten durchzuführen.

[25:06] Das ist wahrscheinlich der Grund, warum Big Game Hunting heute fast alle Ransomware-Akteure machen. Es gibt nur noch sehr wenige Ausnahmen, die eben Ransomware verteilen und nicht Big Game Hunting machen. Vielleicht — da weiß ich nicht ob’s wirklich so war — aber vielleicht haben da Leute angefangen Backups zu machen, weil Backups helfen ja sehr gegen Ransomware. Dann kann man einfach sagen, behalt doch eure Kryptoschlüssel, ich stelle meinen Backup wieder her und funktioniere wieder. Dann gab’s nämlich 2019 eine neue Entwicklung und die nennt man im englischen Double Extortion, also zu deutsch soviel wie doppelte Erpressung. Und die erste Ransomware, die das gemacht hat war die Maze Ransomware und Double Extortion heißt, dass man nicht nur die Daten verschlüsselt, sodass sie das Opfer nicht mehr zur Verfügung hat, sondern auch noch die Daten vorher runterlädt, bevor man sie verschlüsselt als Akteur und dann noch zusätzlich damit droht, die Daten zu veröffentlichen, also zu leaken. Das heißt aus einer Opferperspektive habe ich jetzt zwei Motivationen zu bezahlen, nämlich erstens die Daten selbst wiederbekommen, zumindest wenn ich kein Backup habe und zweitens vermeiden, dass die Daten publik werden oder geleakt werden.

[26:06] Das ist natürlich aus vielerlei Hinsichten eine sehr wirksame Motivation, weil ich möchte als als Firma vielleicht nicht, dass meine Konkurrenten die Daten bekommen, vielleicht sind da irgendwelche Geschäftsgeheimnisse drin, dann steht auch immer dieses GDPR und Datenschutz Damoklesschwert da, also vielleicht gibt’s da noch ganz viele Gerichtsverfahren, wenn diese Daten öffentlich werden und als Firma wird’s auch schwer, Partner zu finden, also Business-zu-Business zu machen und so weiter. Also es ist ein sehr wirksamer Motivator.
Das heißt aber auch, dass Backups hier nicht mehr helfen in der Regel, ne? Genau, also wenn ich hier vermeiden will, Ransom, das Lösegeld zu bezahlen, dann brauche ich nicht nur Backups, sondern es muss mir auch egal sein, dass die Daten dann auch öffentlich sind und das ist wirklich selten der Fall.
Jetzt gibt’s einen Trend, nämlich diese Leaks, die werden angekündigt.

[26:51] Ja genau und auf sogenannten Dedicated Leak Sites. Das kann man sich so vorstellen. Die Akteure, die betreiben Blogs, also auch im Dark Web, also nur über Tor erreichbar und so und das sind einfach Seiten, auf denen steht ein Post nach dem anderen mit geleakten Daten von Firmen, die kompromittiert wurden. Und das hat so eine Dynamik natürlich verursacht, dass wenn man jetzt als Journalist Interesse daran hat, Artikel zu schreiben, will man natürlich auch diese Blogs von den Akteuren die ganze Zeit im Auge behalten, weil sobald da ein neuer Post draufkommt, kann ich als Journalist einen neuen reißerischen Artikel dazu schreiben, dass schon wieder eine Firma kompromittiert… würde ein seriöser Journalist natürlich nicht machen. Natürlich nicht, aber es passiert natürlich trotzdem, dass so eine richtig schöne, dreckige Internetdynamik, um die Klicks noch weiter zu erhöhen und den machen sich hier die Akteure zu Nutze, um die Zahlungswilligkeit der Opfer zu erhöhen.
Ist schon ein dreckiges Geschäft. Das können wir drin lassen, gefällt mir.

[27:47] Eine weitere natürliche Weiterentwicklung von solchen Dedicated Leak Sites ist jetzt, dass ich als Akteur diese Daten nicht einfach kostenlos zur Verfügung stelle, sondern auch noch selber versteigere. Das muss man sich jetzt überlegen. Also das ist jetzt so weit weitergegangen, dass es jetzt so, eBay-artige Seiten gibt, auf denen kann man auf Leaks bieten und dann wird das an den Höchstzahlenden quasi wird dieser Leak weitergegeben.

[28:13] Wahrscheinlich, also in einem Versuch noch einen weiteren Einnahmestrom zu generieren haben Akteure das halt gemacht. Der erste Fall, den wir jetzt hier gefunden haben, der das war im Juni 2020, da war das die REvil Ransomware oder Sodinokibi, wie du sie eben genannt hast, und die haben halt diese sensitiven Daten, die sie da von Opfern geklaut haben, dann noch im Darkweb versteigert.
Und wie sich das anhört, wenn man als Opfer von so einer fortgeschrittenen Ransomware betroffen ist, das wollen wir uns jetzt mal anhören.

[29:23] Das war ein Audioschnipsel eines Anrufs im Rahmen eines Suncrypt-Vorfalls, also eine Ransomware, die als Suncrypt bezeichnet wird. Hier wurde in der Opferorganisation angerufen und eben ja entsprechend informiert über diesen Vorfall. Dieser Audioschnipsel wurde von Sophos veröffentlicht. Quellen wie immer in den Shownotes. Was ich daran besonders bemerkenswert finde, auf eine morbide Art und Weise bemerkenswert, ist, dass dieser Typ, der da spricht, für den ist das so völlig routiniert, der… ich weiß es nicht, … der hatte wahrscheinlich schon 20 von solchen Anrufen gemacht, hello, we are Suncrypt…

[29:58] Das ist so so richtig routiniert. Das gibt mir richtig den Eindruck, dass da jemand einen Bürojob macht.
Und das ist aus unserer Sicht jetzt, was die Entwicklung angeht, auch der letzte Schritt in dieser Evolution von zumindest, wie wir sie bis heute gesehen haben.

Schlussfolgerungen und Ausblick

[30:15] Lars, lass uns mal versuchen, ein paar Schlussfolgerungen zu ziehen und vielleicht so ein bisschen auch einen Ausblick zu wagen. Also wir haben gesehen, Ransomware gibt es schon ziemlich lange.
Aber ich glaube, jetzt passiert auf der Policy-Ebene international gerade sehr, sehr viel. Auf jeden Fall, ich meine, der Audioschnipsel, den wir ganz am Anfang eingespielt haben, da wurde Ransomware plötzlich zur Chefsache. Da hat der Präsident der Vereinigten Staaten gesagt, dass sie sich jetzt Ransomware annehmen, das ist schon ein ganz klares Signal dafür, dass da jetzt wahrscheinlich was passiert. Das ist eine superinteressante Entwicklung. Wenn man sich vorstellt, Biden ist ins Amt gekommen. Dann gab es diese signifikanten Vorfälle maßgeblich gegen Ziele in den USA, also Colonial Pipeline im Mai 2021, JBS Ransomware, auch im Mai 2021 und im Juni 2021 gab’s dann eben ein Gespräch zwischen Biden und Putin.

[31:11] Warum? Na ja, weil man eben maßgeblich da Köpfe hinter diesen Ransomware-Kampagnen in Russland vermutet. Es gab dann auch nochmal ein Telefonat mit beiden im Juli 2021 und in der Folge wurde’s auch zunächst mal still um die ein oder andere Gruppe, ne, REvil zum Beispiel.

Zwei Gedanken dazu. Das Erste ist, wenn man Biden-Interviews dazu sieht, legt er schon immer viel Wert darauf, dass noch nicht klar ist, was das mit Russland zu tun hat und ob das überhaupt was mit Russland zu tun hat. Also da macht ein Politiker wirklich Politik.
Aber genau, auf der anderen Seite scheint es auch so zu sein, dass einige der Akteure da drauf reagieren. Das kann natürlich ganz viele Gründe haben.

Und jetzt, finde ich, gibt es auf einer Policy-Ebene einen ziemlich deutliches Signal, denn im, Oktober 2021 gab’s einen Gipfel, ein Gipfeltreffen zum Thema Ransomware und das war von den USA gehostet, aber insgesamt haben 30 Nationen dran teilgenommen. Und Russland war nicht eingeladen und ich glaube, das sendet auf jeden Fall schon mal ein ganz klares Signal, das setzt sich in meinen Augen auch fort in der Entwicklung, die wir danach sehen, nämlich, dass es jetzt eben massive Strafverfolgungs-Anstrengungen gibt und auch Erfolge, also eine ganze Reihe an Festnahmen in dem Kontext, Indictments, und eben auch Belohnung — manche würden sagen Kopfgelder. Also so wurden eben im November 2021 Belohnungen ausgesetzt in Höhe von 10 Millionen US-Dollar für sachdienliche Hinweise zur Ermittlung von führenden Persönlichkeiten, Schlüsselfiguren in solchen Ransomware-Gangs, und 5 Millionen US-Dollar für die Ermittlung von Affiliates, also von Akteuren, die quasi eine Ransomware in so einem Servicemodell einsetzen.

Da sieht man auch ganz klar, wie viel Geld dahinter steckt, ne. Also da wird richtig Schaden verursacht und deswegen ja, greifen da auch quasi Regierungsinstitutionen tief in die Tasche, um da irgendwie, Kopfgelder auszusetzen und ich glaube, solche Dinge sind dringend notwendig, wenn man diesem Ransomware-Trend, was entgegensetzen will, weil das sich so sehr lohnt. Das ist so viel Geld, was man da relativ einfach machen kann. Also ich sage immer „relativ einfach“, das ist natürlich trotzdem noch aufwendig, so eine Operation zu betreiben und diese Malware zu schreiben und so weiter, aber da geht’s ja dann nachher um richtig viel Geld. Also es ist zum Beispiel bei Palo Alto jetzt einen Bericht veröffentlicht und da wurden einzelne Zahlungen aufgelistet und eine dieser Zahlungen war also eine einzelner Incident, da ist eine Zahlung von 10 Millionen US-Dollar über den Tisch gegangen. Wenn ich mir als Ransomware-Akteur, wenn ich das einmal im Jahr mache, dann habe ich schon zehn Millionen im Jahr gemacht, das ist eine Menge Jahresumsatz, sage ich mal.

Du hast ja gerade diese Sache angesprochen mit diesem Ransomware-Summit und den Vereinigten Staaten und der Beziehung zu Russland und so weiter.
Was mir aufgefallen ist, bei so Interviews von Biden, die man so sieht, ist, dass der das schon immer Wert darauf legt zu sagen, ja, ist nicht klar, ob das Russland ist und ob das überhaupt was mit Russland zu tun hat.

[34:24] Jetzt kann man mal ein Gedankenspiel machen, also stell dir mal vor, die Akteure hinter dem Angriff auf die Colonial Pipeline wären Russen.
Selbst wenn die Akteure jetzt nicht state-sponsered sind, so macht es aus russischer Regimeperspektive möglicherweise Sinn, die Akteure ihr Ding machen zu lassen. Man könnte das dann state-tolerated nennen, da sie eben die Stabilität des Westens beeinflussen, indem sie kritische Infrastrukturen sabotieren. Und das aber eigentlich ja nur by accident, also nur zufällig oder als Begleiteffekt, denn im Grunde genommen ist ja davon auszugehen, dass diese Akteure tatsächlich originär eine finanzielle Motivation haben.
Was noch auffällig war, ist, dass auf einer ähnlichen Zeitskala, die wir eben beleuchtet haben mit diesen Gesprächen zwischen Russland und USA und diesen Summits und so, dass auf ähnlichen Zeitskalen auch teilweise ein Rückgang von Aktivität oder auch ein Rebranding hier und da passiert ist von so einer Ransomware-Familie. Also da kann man natürlich jetzt keine Kausalbeziehungen nachweisen, aber ein temporaler Zusammenhang besteht da auf jeden Fall.

Was glauben wir denn jetzt, wenn wir den Blick mal schweifen lassen? Wie wird’s weitergehen?

Tja, ich glaube, man kriegt da nur was gegen getan, wenn man die Kosten für die Akteure signifikant erhöht. Man kann das irgendwie versuchen durch Regulierung irgendwie versuchen zu steuern, also so was wie, man sagt:

[35:47] „Wenn eine Regierungsinstitution kompromittiert wird, darf die kein Lösegeld bezahlen.“ Ja, also das sind quasi die ultimativen Kosten, die man hier dem Akteur verursachen kann. Keine Einnahmen mehr.
Äh man könnte sagen, es gibt so Versicherungen gegen Ransomware, man könnte die zum Beispiel verbieten. Man könnte sagen, man verbietet als Gesetz, dass man Lösegeld bezahlt für Akteure. Das ist natürlich nicht überall möglich, aber das könnte man auch machen.
Oder man könnte die Abschreckung quasi erhöhen durch zum Beispiel Polizei, bessere Strafverfolgung, bessere Attribution, damit quasi die Leute, die das machen, das doch lieber lassen.
Ja, die Frage ist, helfen denn Backups? Also wir haben gesehen bei Double Extortion nicht unbedingt, ne?

[36:34] Dann muss man natürlich fairerweise sagen, Backups überhaupt erst mal anzufertigen, das kostet ja irgendwie auch Geld, also ist auch irgendwo ein Invest.
Man muss die Prozesse etablieren, anpassen, das Ganze testen, ja, insbesondere das Restore natürlich mal testen, sonst bringt ein Backup gar nix. Man muss das monitoren, da kann der ein oder andere ja schon auf den Gedanken kommen, Mensch, so ein Decrypter zu kaufen ist vielleicht billiger. Genau, wie du gerade am Anfang schon sagtest, Double Extortion hilft da auch gegen. Andererseits: Zu sagen, na ja Backups helfen nicht, deswegen mache ich keine, ist auch blöd, weil das macht’s dem Akteur einfach nur wieder leichter. Also Double Extortion verursacht auch Aufwand auf Akteursseite und den sollte man dem auf jeden Fall weiter verursachen, diesen Aufwand. Man könnte vielleicht auch meinen, dass es helfen könnte, die Daten von den Clients irgendwie wegzubewegen, dass man sagt, auf den Clients liegen gar keine Daten mehr, die Clients, also die Workstation-Rechner, die Arbeitsplatzrechner, das sind die, die betroffen werden häufig, zumindest initial.

[37:35] Und wenn da keine Daten mehr zu finden sind, dann läuft das vielleicht ins Leere, aber ich glaube, das ist zu kurz gedacht. Was meinst du? Ja genau, also, solche Big Game Hunting-Angriffe, das sind halt sehr gezielte Angriffe. Das ist nicht so ein so ein Shotgun Approach „Ich kompromittiere hier ganz viele Ziele“, sondern da sitzen wirklich Leute an der Tastatur und führen Befehle aus und das läuft dann meistens so, dass sie irgendwie in die Firma eindringen, dann irgendwie Zugriff versuchen zu bekommen auf den sogenannten Domain-Controller. Also eine zentrale Stelle in der Infrastruktur. Genau, und von da kann man dann Software installieren auf all diesen Clients und dann alles damit verschlüsseln und alle Server auch.
Genau und insbesondere auch alle Server und auch eventuell vorhandene Cloud-Infrastruktur und so weiter. Und das ist ein ist ein Layout, das ist schon in vielen Firmen so, dass auf den Clients selber eh kaum noch Daten liegen, ne? Da gibt’s irgendwie ein Netzlaufwerk und eigentlich hat man’s darauf abgesehen als Big Game Hunting-Akteur.

Wenn wir das nochmal zusammenfassen aus so einer Entwicklungsperspektive, dann können wir glaube ich schon festhalten: es findet Veränderungen statt, also man kann wirklich von Evolution sprechen innerhalb der Ransomware, es bleibt nicht einfach gleich.
Genau, diese Veränderungen sind aber getrieben. Also da gab’s immer einen Grund für. Das passiert nicht einfach von alleine, sondern da gab’s ne konkrete Notwendigkeit und die hat dafür gesorgt, dass sich diese Ransomware-Szene weiterentwickelt hat. Und wenn man das Ganze jetzt mal in die Zukunft projiziert, dann glaube ich, wäre es naiv anzunehmen, dass diese Veränderung, diese Evolution, nicht auch in der Zukunft weiter funktioniert.

[39:03] Man kann sich natürlich auch nochmal fragen, wie sieht’s denn mit dem Schaden aus, den sowas gesellschaftlich anrichtet? Und das ist wahnsinnig schwer zu ermitteln. Ich habe dazu mal eine Zahl gefunden, die US Treasury hat publiziert, dass sie 5,2 Milliarden US-Dollar in Bitcoin-Transaktionen, Ransomware-Lösegeldzahlungen zuordnen kann. Ja und das ist mal so ein Pfeiler, der so ein bisschen versucht, das irgendwie zu beziffern. Die haben sich da also sehr viele Vorfälle angeschaut und dann im Prinzip versucht maßgeblich eben in dem großen Bitcoin-Kassenbuch nachzuschauen und Zahlungen zu verfolgen und sind dann auf diesen Wert entsprechend gekommen und das zeigt natürlich schon, dass es mittlerweile ein gewisses Ausmaß annimmt.

Wir müssen natürlich auch dazu sagen, dass das immer noch eine untere Abschätzung ist. Die Dunkelziffer wird wahrscheinlich riesen, riesen viel größer, das ist auf jeden Fall so.
Um vielleicht aber mit einem positiven Ding zu enden: Es ist ja jetzt schon so, dass da viele Dinge in Bewegung gekommen sind, wie du grad schon sagst, vor allem auf Policy-Ebene, ja? Also der amerikanische Präsident hat zur Chefsache gemacht, es gibt Summits, es gibt Strafverfolgungsverfahren, die eventuell mal acht Jahre dauern, aber dann trotzdem noch zu einer Verhaftung führen. Es gibt generell den Trend, dass Staaten und auch Strafverfolgungsbehörden an Attribution interessiert sind und diese Fähigkeit auch weiter verbessern und das alles, das übt Druck auf die Akteure aus. Und Druck ist hier gut, weil dann machen die entweder Fehler oder müssen ihre Operationen noch komplizierter machen.

[40:39] So und das war’s eigentlich dann jetzt auch mit dieser doch etwas länger gewordenen Folge. Das hatten wir am Anfang befürchtet, dass wir heute ein bisschen… ooch, da wird die Hälfte noch rausgeschnitten.

[40:54] Wir hoffen, euch hat diese Folge gefallen. Wenn ja, lasst uns doch eine positive Bewertung da im Podcast-Player eurer Wahl oder folgt uns auf Twitter unter @armchairgators.

[41:05] Bis zum nächsten Mal.

#5 Shamoon

Im August 2012 schlug eine destruktive Schadsoftware zu und sorgte dafür, dass mehr als 30.000 Computer des betroffenen Unternehmens nicht mehr starten konnten. Es kam in der Folge zu einem massiven, wochenlangen Ausfall. Wie funktioniert diese Wiper-Malware? Welche ihrer Eigenschaften sind charakteristisch und lassen sich etwa im Rahmen der Attribution nutzen? Wie wurde die Malware letztlich einem staatlich-gestützten Akteur mit Bezug zu Iran zugeschrieben? Diesen Fragen gehen wir in dieser Podcast-Folge auf den Grund und lassen den Blick auch ein bisschen über destruktive Wiper-Angriffe schweifen.

Transkript anzeigen...

00:00:31 Christian Dietrich: Hallo liebe Cyberfreunde. Mein Name ist Chris, ich bin Professor für IT Sicherheit an der Westfälischen Hochschule…

00:00:38 Lars Wallenborn: … und mein Name ist Lars Wallenborn. Und ich arbeite als Software Entwickler und Malware Analyst bei CrowdStrike.

00:00:43 Christian Dietrich: Lars, normalerweise sprechen wir ja viel über Malware Angriffe die eher leise passieren. So Spionageangriffe beispielsweise, die hört man in der Regel nicht. Aber heute wollen wir mal über was anderes reden. Heute wird es mal laut, sozusagen, im Malware Kontext. Das wollen wir uns heute mal anschauen und es geht maßgeblich um einen Vorfall im August 2012.

00:01:03 Lars Wallenborn: Ja genau. Und bei diesem Vorfall, das kann man sich so vorstellen: Größere Firma, morgens kommen alle ins Büro, und irgendwie zeigen die Computer seltsame Fehlermeldungen an. Und einige Computer werden dann neu gestartet und fahren irgendwie nicht hoch. Und eigentlich funktioniert gar nichts mehr so richtig. Da würde man heute eigentlich davon ausgehen, da hat wahrscheinlich ein Ransomware Angriff stattgefunden. Also da wurde irgendwie eine Malware von einem Kriminellen ausgebracht und der will jetzt Geld dafür haben, dass die Computer wieder funktionieren. Aber wie wir gleich herausfinden werden, handelt es sich hierbei um etwas anderes.

00:01:32 Christian Dietrich: Genau. Betroffen ist die teuerste Firma der Welt. Also die Financial Times schätzte 2010, dass das Unternehmen, um das es hier geht, mit etwa zwei Billionen US-Dollar das wertvollste der Welt ist.

00:01:45 Lars Wallenborn: Ist Apple so viel wert? Ich weiß es überhaupt nicht, wie viel diese ganzen Firmen wert sind.

00:01:49 Christian Dietrich: Ja, man würde vielleicht eher so an Apple denken oder Google, aber um die geht es hier nicht. Es geht um ein Unternehmen, dass 1933 gegründet ist, also keins von den neueren Tech-Unternehmen, und das den größten Börsengang in der Geschichte hingelegt hat. Der war allerdings erst 2019. Es handelt sich um Saudi Aramco.

00:02:06 Lars Wallenborn: Die machen Öl, nicht wahr?

00:02:08 Christian Dietrich: Ja. Ganz genau. Das ist der weltgrößte Ölproduzent, mit dem Hauptsitz eben in Saudi Arabien, aber natürlich auf der ganzen Welt irgendwie vertreten.

00:02:17 Lars Wallenborn: Und bei denen wurden die Rechner halt infiziert mit einer Malware und da finde ich, müssen wir das direkt mal ein bisschen auseinander dividieren. Bei so einer Firma, die in der Industrie arbeitet, also jetzt hier Öl fördert, da denkt man immer direkt, dass die Systeme, die dafür verantwortlich sind die großen Maschinen zu steuern, also die ICS – Industrie Control Systems – dann von dieser Malware betroffen sind. Aber das war hier nicht so. Hier wurde ausschließlich quasi der Orga-Bereich der Firma, also die Bürocomputer von dieser Malware infiziert.

00:02:48 Christian Dietrich: Also die Pumpen liefen noch alle und konnten Öl fördern, aber der Teil, der sozusagen für die Verteilung und Distribution des Öls zum Beispiel zuständig war, der hatte eben so ein paar Probleme. Genau. Das sind nicht weniger als 30.000 Computer gewesen, die davon befallen waren. Um mal so eine Größenordnung irgendwie hier zu nennen.

00:03:06 Lars Wallenborn: Und die Zahl, die ist auch bestätigt worden, oder die Zahl kommt sogar aus dem offiziellen Presse Statement von Saudi Aramco, die sie nach dem Vorfall veröffentlicht haben. Was natürlich nicht heißt, dass da dann das Öl noch floss oder so. Also das floss wahrscheinlich schon noch irgendwie, aber es gab dann auch so Bilder, die um die Welt gegangen sind, von langen Schlangen von LKWs, die da waren um Öl abzuholen, aber keins gekriegt haben. Wahrscheinlich, weil sie nicht bezahlen konnten. Weil, das läuft ja dann schon noch über die Büros.

00:03:32 Christian Dietrich: Womit sind diese Rechner jetzt befallen worden? Darum soll es ein bisschen gehen. Na ja, wir haben eben schon vorweg genommen, es geht um eine Malware. Ja, man könnte jetzt fragen: Gab es irgendwie eigentlich Lösegeld? Nein. Denn es ging ja eben nicht um Ransomware, das war 2012 noch gar nicht so ein riesen Thema, Ransomware, sondern es geht um einen sogenannten Wiper. Ja, to wipe – im englischen eben im Prinzip für wischen – wird häufig so verwendet, dass man eben Dateien löscht. Und zwar unwiederbringlich versucht diese Dateien zu löschen.

00:04:04-2 Lars Wallenborn: Beim unwiederbringlich Dateien löschen ist vielleicht noch wichtig, dass wenn man auf seinem Computer eine Datei löscht oder wenn man sie in den Papierkorb verschiebt, dann ist ja quasi jedem klar, dass da nicht viel passiert. Aber selbst wenn man sie aus dem Papierkorb entfernt, ist sie auf einem Dateisystem Level auch noch nicht irgendwie einfach verschwunden. Also wenn man sich die Festplatte dann roh anguckt, sage ich mal, …

00:04:24 Christian Dietrich: …digital-forensisch beispielsweise.

00:04:27 Lars Wallenborn: …digital-forensisch, dann kann man die Dateien auch finden. Die werden eigentlich nur zum Löschen markiert und nicht schon direkt gelöscht. Deswegen müssen solche Wiper-Malware noch etwas tun, damit man die Daten digital-forensisch nicht wieder herstellen kann. Und dieser Wiper, der macht das, indem er eine Bilddatei mitbringt und die verwendet um die Dateien zu überschreiben, bevor sie als gelöscht markiert werden. Und das ist ganz interessant. Ich meine, der Computer wird danach nicht mehr starten können, das heißt er wird diese Bilddatei auch nicht anzeigen können. Das heißt, der einzige Moment, wo diese Bilddatei überhaupt erst auftauchen kann, ist, wenn sich das jemand anguckt – ein technischer Analyst – und da dann halt guckt, womit die Dateien überschrieben wurden. Und dann wird erst diese Bilddatei auftauchen.

00:05:14 Christian Dietrich: Also diese Bilddatei kann man eigentlich erst über digitale Forensik feststellen oder wiederfinden. Und nicht in irgendeiner Form, indem man den Computer einschaltet und dann erscheint auf magische Art und Weise eben diese Bilddatei, die verwendet wurde, um da irgendwas zu überschreiben. Was für eine Bilddatei ist da verwendet worden zum Überschreiben?

00:05:30 Lars Wallenborn: Das war ein Bild von einer brennenden amerikanischen Flagge. Also ich sage mal, ein politisch aufgeladenes Foto.

00:05:38 Christian Dietrich: Und wenn wir uns technisch jetzt nochmal so ein bisschen damit beschäftigen, wie dieses Löschen, dieses Wipen, eigentlich von sich geht, dann gibt es hier auch eine Besonderheit oder gibt es bei Wipern eben nicht viele Möglichkeiten, das eben genau so hin zu bekommen. Und hier gibt es eben die Besonderheit, dass hier ein ganz besonderer Treiber verwendet wurde. Der ist nicht selbst von den Autoren, von den Malware Autoren, geschrieben worden, sondern der ist kommerziell verfügbar. Der sogenannte EldoS Raw Disk Driver. Und der Grund, warum man das mit Hilfe eines solchen Treibers macht – also das Löschen, das Wipen der Dateien – das liegt eben maßgeblich daran, dass man auf die Art und Weise Zugriff auf die Festplatte bekommt. Und ganz bestimmte Komponenten in Betriebssystemen, also in Windows, umgeht, die eigentlich sicherstellen sollen, dass zum Beispiel Dateien, die gerade benutzt werden, nicht unwiederbringlich gelöscht werden können.

00:06:30 Lars Wallenborn: Und das ist bei so einer destruktiven Software, die zum Ziel hat, den Computer auch quasi unbootbar zu machen – also die nicht nur vorhat alle Bilder und Dokumente vom Computer zu löschen, sondern auch das Betriebssystem soweit zu beschädigen, dass der Computer nicht mehr startet – das ist für so einen Wiper wichtig. Weil die Betriebssystem Dateien, während das Betriebssystem läuft, natürlich im Zugriffsmoment sind. Die werden gelesen vom Betriebssystem und könnten halt nicht überschrieben werden. Das war aber hier für diese Wiper-Familie wichtig, dass die auch überschrieben werden können. Deswegen war so ein Weg, um so einen Gerätetreiber, unumgänglich. Also irgendwie so was muss man in so einer Situation machen.

00:07:06 Christian Dietrich: Bei so einer Kampagne der Größenordnung, wie wir sie hier eben vorfinden, also über 30.000 infizierte Rechner, gibt es eine ganz interessante Komponente, nämlich wie das eigentliche Löschen dann gestartet wird. Und das passiert in der Regel über ein Trigger-Datum. Das heißt, die Malware versucht eine ganze Zeitlang zunächst mal sich in der Zielumgebung zu verbreiten. Also diese 30.000 Rechner die müssen halt erst mal infiziert werden, ohne dass sofort gelöscht wird. Man versucht also zu warten, bis möglichst viele Computer infiziert sind …

00:07:41 Lars Wallenborn: Wäre ja auch blöd sonst. Weil sonst gehen einzelne Computer schon kaputt und dann fällt einem auf, hier ist aber irgendwas schief. Und dann guckt sich das jemand an und stellt fest, da ist ja überall Malware drauf. Und dann kann man vielleicht noch etwas dagegen tun. Und das wollen die Akteure hier natürlich vermeiden.

00:07:53 Christian Dietrich: Ja, das ist so eine Art Strategie, um sozusagen den Schaden zu maximieren. Und diese Verteilung, dieses sogenannte Spreading, das Verteilen, das ging wohl hier vergleichsweise einfach, weil diese Office Infrastruktur eben eine relativ flache Netztopologie hatte. Das heißt, es ging dort vergleichsweise einfach, von einem infizierten Rechner zum nächsten zu springen, und den dann eben auch zu infizieren.

00:08:15 Lars Wallenborn: Ist übrigens auch eine riesen Gemeinsamkeit zwischen dieser Art von Operationen, also von so Wiping Angriffen und von Ransomware. Die will auch so lange unerkannt bleiben, bis sie alles infiziert hat, was sie infizieren kann und dann erst los schlagen.

00:08:30 Christian Dietrich: Schauen wir uns doch die Malware mal ein bisschen genauer an. Also ich glaube, es gibt eine sehr charakteristische Eigenschaft, nämlich die Struktur im Prinzip von der Malware und insbesondere eben ihrer Komponenten. Man muss sich das im Prinzip so vorstellen, dass es zwar eine initiale Datei, eine ausführbare Datei gibt, die sozusagen da ausgerollt wird. Und das ist letztlich ein sogenannter Dropper, der also dafür sorgt, die verschiedenen Komponenten zu entpacken und auf dem Zielsystem eben zur Ausführung zu bringen.

00:09:02 Lars Wallenborn: Und hier in dem Fall bestand dieser Dropper aus drei Unterkomponenten, sage ich mal, und die waren in sogenannten PE-Ressourcen gespeichert. Das ist ein Bereich in ausführbaren Dateien in Windows, und der ist extra dafür gedacht, Daten mit zu bringen. Und in dem Fall, wird dieser Bereich halt dafür verwendet, zusätzliche Komponenten mitzubringen. Und diese verschiedenen PE-Ressourcen – die haben auch Namen, auf die gehen wir auch gleich kurz ein – und diese drei Ressourcen, die jetzt hier waren, da enthielt eine die eigentliche Malware, also den Wiper. Eine andere enthielt so ein Modul, das war dafür da, den Akteur über den Fortschritt der Operation zu informieren. Und die dritte Komponente, das ist jetzt ein bisschen verwirrend, die enthält nochmal einen Dropper, der wieder zwei Komponenten enthält. Und das ist aus folgendem Grund so: Der Gerätetreiber, von dem wir eben geredet haben, den gibt es für 32-Bit Windows-Systeme und 64-Bit Windows-Systeme. Heutzutage sind alle Systeme eigentlich 64-Bit, aber damals war das noch nicht. Und diese dritte PE-Ressource, die enthält den Dropper nur halt für 64-Bit. Das heißt, da war dann auch der Wiper noch mal für 64-Bit Windows dabei, und dieses Statistik-Reporting Modul nochmal für 64-Bit drin. Und das ist halt einfach die simpelste Methode, den Gerätetreiber sowohl für 32-Bit als auch für 64-Bit Systeme mitzubringen, indem man halt alles zweimal da rein packt.

00:10:28 Christian Dietrich: Es gibt halt insgesamt eine relativ charakteristische Struktur, und das wird gleich nochmal so ein bisschen eine Rolle spielen. Man kann also zusammenfassend sagen: Was ist das eigentlich für eine Malware? Also es ist definitiv ein Wiper, der eben definitiv in der Lage ist oder maßgeblich zum Ziel hat, Dateien unwiederbringlich zu löschen und damit Systeme unbenutzbar zu machen. Und diese Malware hat eben auch einen Namen bekommen, in der Community, man bezeichnet sie eben als Shamoon. Dieser Begriff Shamoon kommt aus einem Dateipfad, dem sogenannten PDB Pfad der Datei. Shamoon selber hat jetzt selber glaube ich keine besondere Bedeutung, das ist glaube ich der arabische Name für Simon. Aber diese Bezeichnung hat sich eben so ein bisschen durchgesetzt für diese Malware, die wir hier gerade beschrieben haben. Vielleicht noch ganz kurz zur Info: Wir haben – wenn ihr mal nachvollziehen wollt, wie das so aussieht, so ein betroffenes System auf dem dieser Wiper eben aktiv wird –  wir haben ein Video dazu gemacht, das packen wir euch – oder den Link dazu – packen wir euch in die Shownotes.

00:11:25 Lars Wallenborn: Ist ja alles schön und gut Chris. Also ich habe mir eine ganz andere Malware angeguckt. Die ist noch nicht so alt, wie das was du uns gerade hier mitgebracht hast. Sondern spulen wir mal vor. Wir sind jetzt im November 2016. Das ist auch eine Wiper Malware, und die hat auch wahrscheinlich Entitäten in Saudi Arabien betroffen. Und ich würde jetzt mal gerne mit dir einfach gucken, ob es da irgendwie Gemeinsamkeiten gibt, oder ob das völlig verschiedene Sachen sind. Also ich beschreibe jetzt einfach mal diese Malware, die ich hier meine. Da sind drei Ressourcen drin, und die haben auch Namen, und die heißen: Also die erste Ressource heißt PKCS12 …

00:12:04 Christian Dietrich: Ja, das ist bei mir auch so.

00:12:05 Lars Wallenborn: Und die zweite Ressource heißt PKCS7, und die dritte heißt X.509.

00:12:12 Christian Dietrich: Ja, das sind ja alles so kryptographische Bezeichner, die man vielleicht kennt, aber die hier nicht als solche verwendet werden. Sondern die hier eigentlich mehr als Begleitumstand so irgendwie verwendet werden.

00:12:23 Lars Wallenborn: Die sollen wahrscheinlich technisch aussehen und nicht so auffallen oder so. Was aber hier ganz interessant ist, diese Bezeichner für Ressourcen Namen, das hört sich ja so an, als komme das häufiger mal vor. Aber wenn man entweder viel Erfahrung hat mit Malware oder wenn man einfach die Möglichkeit hat, sich ganz viel Malware auf einmal anzugucken, dann kann man halt feststellen, na ja, so häufig kommen diese Bezeichner gar nicht vor als Namen von Ressourcen. Also es ist jetzt quasi schon eine recht charakteristische Eigenschaft. Und dazu kommt jetzt hier in dem Fall noch…also Chris, ich beschreibe mal kurz was bei mir da drin ist. Also diese PKCS12 Ressource, da ist  ein Wiper drin, für 32-Bit Systeme, in der PKCS7 Ressource so ein Reporting Modul. Und in der X.509 Ressource ist noch ein Dropper drin, nur für 64-Bit Systeme.

00:13:04 Christian Dietrich: Ja, genau der gleiche Aufbau, den sehe ich eben auch bei Shamoon, also bei dem Vorfall 2012.

00:13:11 Lars Wallenborn: Gehen wir mal weiter so ein bisschen Dimensionen durch, die man da vergleichen kann. Also ich habe mir die Build Time Stamps angeguckt. Die passen nicht zu den anderen Time Stamps in der Malware die ich hier habe. Da glaube ich also, dass die gefälscht wurden von den Akteuren. Wie ist es bei dir, ist es auch fake?

00:13:27 Christian Dietrich: Na ich würde sagen bei Shamoon oder Shamoon-1, da sind die wahrscheinlich verlässlich. Also sagen wir mal so, sie passen auf jeden Fall zum zeitlichen Verlauf des gesamten Vorfalls.

00:13:39 Lars Wallenborn: So, die Ressourcen, die wir jetzt eben schon ein paar mal angesprochen haben, die haben nicht nur Namen, sondern auch so Sprachen, die da dran hängen. Und bei mir hat eine  Ressource die Sprache Arabic Jemen und die anderen Ressourcen von den Halos die da drin enthalten sind, haben die Spracheinstellung English, United States. Wie ist das bei dir?

00:13:58 Christian Dietrich: Da ist die Sprache einfach nicht gesetzt. Also im Prinzip kann man das auch einfach leer lassen, da hätten wir also quasi einen Unterschied.

00:14:05 Lars Wallenborn: Dann mal kurz, wie die Komponenten da drin sind. Die sind da nämlich nicht einfach im plain text bei mir drin, also einfach so, sondern die sind da noch verschlüsselt. Und zwar mit dem einfachsten Algorithmus den man sich so vorstellen kann. Das ist der sogenannte XOR-Algorithmus oder „Exklusives Oder“ zu deutsch. Und um den XOR-Algorithmus hier anwenden zu können, oder einen generellen kryptographischen Algorithmus anwenden zu können, braucht man einen Schlüssel. Und das ist hier jetzt ein fester Schlüssel. Für jede Ressource ein anderer Schlüssel und die sind verschieden lang. Wie ist das bei dir?

00:14:37 Christian Dietrich: Ja, das ist ein bisschen unterschiedlich bei mir. Es ist ebenfalls XOR als Verfahren, die Schlüssel sind aber alle 4 Bit lang. Also eine feste Länge. Aber es ist auf jeden Fall das gleiche Verfahren.

00:14:49 Lars Wallenborn: Nur kürzere Schlüssel, sage ich mal.

00:14:51 Christian Dietrich: Ja.

00:14:52 Lars Wallenborn: Dann gibt es bei mir noch was. Malware macht das manchmal, die enthält so Zeichenketten und die sind bei mir obfuskiert, also selber nochmal verschlüsselt. Also auch mit dem XOR-Algorithmus und einem Schlüssel, der für jeden String anders ist. Wie ist es bei dir?

00:15:05 Christian Dietrich: String obfuscation sehe ich bei mir gar nicht. Also da sind die Strings nicht obfuskiert gewesen. Wie sieht es denn bei dir mit der Persistenz-Technik aus? Also wie versucht die Malware sich  auf dem System einzunisten und dafür zu sorgen, dass sie beim nächsten Boot gestartet wird?

00:15:19 Lars Wallenborn: Dafür könnt ihr euch übrigens auch eine andere Podcast Folge anhören, die letzte die wir gemacht haben. Bei mir wird ein Windows-Service erstellt und der startet dann einfach, wenn das System startet.

00:15:28 Christian Dietrich: Ja, genau das gleiche habe ich auch, also einen Windows Dienst.

00:15:30 Lars Wallenborn: Genau. Dann habe ich noch, dass dieses Wiper-Modul erst gestartet wird, wenn ein bestimmtes Datum eintritt. Soweit ich das verstanden habe, ist das bei dir auch so?

00:15:38 Christian Dietrich: Ja, genau.

00:15:40 Lars Wallenborn: Und bei mir gibt es einen EldoS-Treiber, der wird verwendet um die Dateien zu überschreiben. Also optional gibt es bei mir auch noch die Möglichkeit, die Windows API zu verwenden, aber das ist quasi nur noch oben drauf. Bei mir wird noch ein Bild verwendet um die Dateien zu überschreiben, bevor sie gelöscht werden. Wenn ich mich recht erinnere, war das bei dir auch so.

00:16:00 Christian Dietrich: Das ist auch da so, genau. Es handelt sich aber nicht um das gleiche Bild bei dir. Also im Fall von Shamoon, oder Shamoon-1, war es eben eine brennende US Flagge. Und bei dir?

00:16:09 Lars Wallenborn: Da ist das das Bild von Alan Kurdi, das ist damals auch um die Welt gegangen. Das war so ein kleiner Junge, der tot angespült wurde, so im Kontext der Flüchtlingskrise. Aber ich sage mal beides sind Bilder, die politisch aufgeladen sind.

00:16:22 Christian Dietrich: Auf jeden Fall.

00:16:23 Lars Wallenborn: So dieses Modul, das verwendet wird, um den Akteur über den Fortschritt der Kampagne zu informieren, das basiert auf http, also so wie Browser auch. Und die URL allerdings, die dafür verwendet wird, die hat als Namen, als Servernamen, die Zeichenkette „Server“. Das heißt also, es ist gut möglich, dass das nicht funktioniert hat – außer in dem Netzwerk, in dem der Wiper oder diese ganze Toolchain zum Einsatz gekommen ist, gibt es einen Computer der „Server“ heißt. Wie ist das bei dir?

00:16:53 Christian Dietrich: Ja, das könnte sogar theoretisch sein, weiß man nicht genau. Bei mir ist es ähnlich, auch http als Command and Control Protokoll oder Trägerprotokoll für Command and Control, aber dann ist eine interne, also eine RFC 1918 IP-Adresse verwendet worden. Also auch nur eine IP-Adresse, die in einem Netz erreichbar ist und nicht über das Internet geroutet wird. Ja, könnte auch tatsächlich irgendwo vielleicht eine Gemeinsamkeit sein. Wenn auch im Detail vielleicht etwas anders ausgeprägt.

00:17:20 Lars Wallenborn: Ja, und dann vielleicht noch kurz, ich habe auch recherchiert, diese Malware, die ich mir angeguckt habe, wo die über öffentliche Quellen zugeordnet wird oder auf was für Zielorganisationen die es abgesehen hatte. Da habe ich hauptsächlich gefunden, dass Saudi Arabien im Fokus stand.

00:17:34 Christian Dietrich: Ja, das haben wir ja hier auch. Also Saudi Aramco, eben ja definitiv auch höchst wahrscheinlich betroffen von der Shamoon Malware. Und es gibt eben einen weiteren Kandidaten oder eine weitere potenzielle Zielorganisation von Shamoon-1, das wäre RasGas, das ist ein Gasförderunternehmen aus Katar.

00:17:53 Lars Wallenborn: Genau, das war jetzt ein ziemlicher Ritt, durch so verschiedene Dimensionen, die man vergleichen kann. Das ist nicht so wichtig, dass da jetzt jeder bis ins Detail mitgekommen ist. Die Zusammenfassung davon ist aber schon: Es gibt einige Gemeinsamkeiten, und da gibt es auch sehr starke Gemeinsamkeiten. Also gerade diese Struktur mit den PE Ressourcen und so was wie, dass eine Bild Datei mit einem politischen Kontext verwendet wird, um die Dateien zu überschreiben, würde ich schon als starke Gemeinsamkeiten werten. Es gab aber auch ein paar Unterschiede. Also wir hatten gesehen, dass die Verschlüsselungsalgorithmen – also die Algorithmen waren gleich – aber das Schlüsselmaterial hat sich verändert. Und da gab es auch schon ein paar Unterschiede auch.

00:18:29 Christian Dietrich: Und jetzt gibt es einen ganz coolen Aspekt, wenn man sich mit so älteren Fällen beschäftigt, wie zum Beispiel hier mit Shamoon, das eben vor neun Jahren zugeschlagen hat. Denn natürlich entwickeln sich die technischen Analysemethoden weiter. Wir kennen das irgendwie so aus den Krimis, die DNA-Analyse aus der klassischen Forensik beispielsweise. Die ist natürlich irgendwann mal erfunden worden, und dann konnte man eben retrospektiv noch Verbrechen aufklären, indem man sie eben angewendet hat. Und so langsam, wenn auch nicht ganz so gravierend, kommen wir in der digitalen Forensik auch in so einen Bereich. Und jetzt hat sich eben in den letzten Jahren, als eine weitere Analysemöglichkeit, hier die Analyse der Rich-Header von PE-Dateien etabliert. Das war 2012 bei weitem noch nicht so in der Breite bekannt, gab es damals sicherlich auch schon, aber es war eben nicht so bekannt.  Und wenn man das jetzt hier mal anwendet, dann sieht man eben, dass höchstwahrscheinlich in beiden Fällen auch die gleiche Build Environment, also quasi die gleiche Umgebung zum Kompilieren und Linken des Quellcodes verwendet wurde.

00:19:34 Lars Wallenborn: Und das ist insoweit schon sehr bezeichnend, weil das Bild Environment ist wahrscheinlich von 2010 gewesen. Das ergibt ja noch Sinn, dass man 2012 eine Malware schreibt, die darin geschrieben ist. Nur 2016 ist echt schon sehr viel später. Also ich würde mir nicht vorstellen, dass irgend jemand eine Malware entwickelt und sich dann entscheidet, ich installiere mir jetzt ein Bild Environment, das fünf Jahre alt ist oder so. Das ist sehr viel plausibler, dass da jemand das gleiche Environment einfach weiter verwendet und nie upgedatet hat, damit es noch funktioniert. So wie man das von sich selber halt auch kennt. Und das würde auch einen großen Teil der, in Anführungszeichen, Unterschiede erklären. Weil die Unterschiede könnte man auch sehen als Weiterentwicklung. Also in der Shamoon Malware von 2012 wurde der XOR-Algorithmus mit einem 4 Bit Schlüssel verwendet. In der von 2016 auch ein XOR-Algorithmus, aber mit längeren Schlüsseln, die auch verschieden lang sind, um es irgendwie schwerer zu machen. Und bei vielen der anderen Unterschiede könnte es sich ähnlich verhalten, dass da einfach etwas weiter entwickelt wurde.

00:20:33 Christian Dietrich: Genau. Aus technischer Perspektive sind also die beiden Samples in jedem Fall verwandt. Soviel können wir, glaube ich, an der Stelle festhalten.

00:20:40 Lars Wallenborn: Aber da steht ja jetzt ein riesen Elefant im Raum. Es kann ja immer sein, dass nur jemand so tut, als wäre er Shamoon. Also jemand ist hingegangen, hat diese Rich Header Analyse gemacht, hat herausgefunden, was für ein Bild Environment verwendet wurde, hat sich das eingerichtet und die Malware dann nachimplemetiert. Und aus einer technischen Perspektive kann das einfach immer sein. Im schlimmsten Fall kann man das auch technisch quasi nicht auseinander halten. Da muss der Akteur, der eine sogenannte False Flag Operation jetzt hier durchführt, schon sehr gut sein. Also der muss ja den Akteur, der da simuliert werden soll, sehr, sehr gut kennen und dann auch die Fähigkeit haben, das sehr gut nachzumachen. Aber wie gesagt, das kann einfach immer sein.

00:21:31 Christian Dietrich: Ja, da stimme ich dir zu. Insbesondere wenn wir uns hier maßgeblich auf die Malware Analyse beziehen. Ja, also wir versuchen jetzt vielleicht für den Moment mal so ein paar andere Beobachtungsmöglichkeiten, die vielleicht Nachrichtendienste haben, zu ignorieren. Aber wenn wir wirklich nur die Malware Analyse in den Fokus stellen, dann stimme ich dir absolut zu.

00:21:48 Lars Wallenborn: Man muss aber auch noch sagen, aus einer reinen Malware Analyse Perspektive wäre das hier eine sehr, sehr gute False Flag Operation, wenn es wirklich eine ist. Weil ja nicht nur die Malware genommen wurde und die irgendwie leicht manipuliert wurde, und weiß ich nicht, der Servername ausgetauscht wurde oder so, sondern die Malware wurde ja sogar noch weiter entwickelt, und auch auf eine gewissermaßen glaubhafte Art und Weise. Und das kann natürlich sein, es ist nur vielleicht ein bisschen unplausibel. Also hier würde ich jetzt vielleicht sogar die Unterschiede, die wir eben festgestellt haben, als Argument in den Ring führen, zu sagen, das ist keine False Flag Operation. Weil es sich halt so gut weiterentwickelt hat.

00:22:25 Christian Dietrich: Ja, es ist nicht nur einfach gepatched sozusagen, ja, Kleinigkeiten ausgetauscht, sondern wir haben ja durchaus ein paar Unterschiede festgestellt. Und du sagst, das ist die Konsequenz aus einer Entwicklung, die hier stattgefunden hat. Eine Weiterentwicklung.

00:22:38 Lars Wallenborn: Ja, ich würde sagen, ich nenne jetzt einfach die Malware, die ich eben hier vertreten habe, Shamoon-2. Und ich würde sagen, Shamoon-1 und Shamoon-2 sind technisch sehr, sehr ähnlich, und die Zielorganisationen sind vergleichbar. Und es sind beides Wiper Malware Komponenten.

00:22:52 Christian Dietrich: Da wollen wir uns doch jetzt einmal so ein bisschen mit der Attribution beschäftigen. Man kann ja die Attribution  mindestens in zwei Phasen aufteilen. Nämlich einmal zu versuchen, ähnliche Vorfälle zu finden – also das was wir gerade gemacht haben. Wir haben also den Vorfall von 2012, also Shamoon-1, in  Beziehung gesetzt  zu dem Vorfall von 2016, also Shamoon-2. Das könnte man vielleicht auch  als Clustering bezeichnen. Und was man darüber hinaus vielleicht noch machen möchte, ist natürlich, diese Vorfälle Akteuren zu zuschreiben und diese Akteure irgendwie Personen oder Echtwelt-Institionen zuzuordnen.

00:23:31 Lars Wallenborn: Und das Coole an der Situation in der wir jetzt sind, wo wir ja schon eine Beziehung zwischen Shamoon-1 und Shamoon-2 etabliert haben: Wenn wir einen von den beiden einer Echtwelt-Institution zum Beispiel zuordnen könnten, dann hätten wir gewissermaßen den zweiten auch schon zumindest zu dieser Echtwelt-Institution verbunden. Ja, man kann sich das so vorstellen, wie in so einer Krimiserie oder so. Ein Mörder-Board, also so ein großes Pin-Board mit so Pins drauf und zwischen den Pins so kleinen Fäden. Und die sagen wenn was in Beziehung steht. Da sind jetzt für Shamoon-1 und Shamoon-2 da so kleine Pins drin, die sind mit einem roten Faden verbunden. Und wenn wir jetzt Shamoon-1 oder 2 in Verbindung bringen mit irgendeinem Staat zum Beispiel, dann hätte Shamoon-2 zumindest auch eine Beziehung wahrscheinlich.

00:24:13 Christian Dietrich: Da war es wieder, das Mörder-Board von dir aus Folge Zwei. Dann ist die Sache ja relativ einfach, denn bei Shamoon-1 gab es ja ein Bekennerschreiben, man könnte also meinen, Attribution ist gelöst. Also da gab es eine Gruppe, die sich selbst als Cutting Sword of Justice bezeichnet hat…

00:24:28 Lars Wallenborn: Das schneidende Schwert der Gerechtigkeit.

00:24:30 Christian Dietrich: Mhm. Und die eben auch auf Pastebin – verlinken wir euch auch in den Shownotes, wenn ihr da mal die Primärquelle konsultieren wollt – zugegeben hat oder behauptet hat, dass sie eben hinter diesem Angriff irgendwie steckt. Kurze Zeit später gab es auch noch eine zweite Gruppe, die Arab Youth Group, also die arabische Jugendgruppe, die sich eben auch dazu bekannt hat. Aber darum soll es  hier eigentlich gar nicht so primär gehen. Denn was wir ja eigentlich wollen, aus der Perspektive der Attribution, ist hier sozusagen organisch einen Akteur zu attributieren und den eben potenziell auf Echtwelt-Institutionen oder eben Personen irgendwie zurück zu führen. Und ich glaube, wir können an der Stelle schon vorweg nehmen, dass wir  zumindest eben keine öffentlichen Anhaltspunkte gefunden haben – nicht nur wir nicht, sondern ich glaube auch zumindest keiner so im privat sector – die eben einen belastbaren Bezug zwischen der Malware und einem staatlichen Akteur oder einer Echtwelt-Institution oder eben gar einer Person zulassen.

00:25:35 Lars Wallenborn: Außer diese eine Reporterin bei der New York Times.

00:25:39 Christian Dietrich: Mhm. Die hat nämlich zwei ehemalige Regierungsmitarbeiter aufgetrieben, also Intelligence Officials aus den USA, die eben gesagt haben, der Akteur hinter diesem Vorfall, also hinter Shamoon-1 insbesondere eben, sei aus dem Iran, oder würde Interessen des Irans umsetzen. Dafür sind aber keine spezifischen Beweise öffentlich gemacht worden. Das heißt, das muss man im Prinzip an der Stelle erst mal so hinnehmen. Wir können an dieser Stelle vielleicht mal so ein bisschen versuchen, zu beleuchten, was denn da möglicherweise im Hintergrund analytisch passiert sein könnte.

00:26:18 Lars Wallenborn: Weil Nachrichtendienste, also Intelligence Officials, hast du ja gesagt, die haben halt sehr viel mehr Möglichkeiten als Institutionen im privaten Sektor oder Privatpersonen.

00:26:26 Christian Dietrich: Genau. Man könnte zum Beispiel hier vermuten – das wissen wir nicht – dass hier auch so eine Metadaten Analyse von Kommunikationsströmen beispielsweise irgendwie stattfand. Das heißt, man könnte sich zum Beispiel vorstellen, wenn man Kommunikation, also Command and Control Kommunikation, die im Rahmen der Operation sowieso angefallen ist, wenn man die also irgendwie beobachten und dann irgendwie zuordnen kann, also Personen oder Organisationen zuordnen kann, dann kann darüber natürlich auch eine Attribution stattfinden. Oder man verwendet typische nachrichtendienstliche Methoden. Also so was wie menschliche Quellen…

00:27:01 Lars Wallenborn: Oder auch ganz allgemeine solche nachrichtendienstliche Methoden. Also man spricht da auch manchmal von HUMINT. Das ist, wenn Menschen Menschen ausspionieren oder Menschen generell irgendwie spionieren. Das kann Undercover Work sein und all dieser ganze Themen Komplex. Und was bestimmt auch hier passiert ist, ist, dass eine technische Analyse durchgeführt wurde, so wie wir sie eben auch so ein bisschen gemacht haben. Und natürlich noch viel mehr davon. Viel mehr Zeit investiert, viel mehr Malware analysiert und vielleicht auch mehrere solche Angriffe dann auch geclustert als nur zwei.

00:27:31 Christian Dietrich: Ja, und man kann natürlich sich auch immer die Frage stellen, cui bono? Also wer profitiert hier eigentlich davon? Und dafür lässt sich eben so ein bisschen das politische Feld hier beobachten, das heißt also insbesondere die Beziehungen zwischen den USA und dem Iran. Möglicherweise eben auch Saudi Arabien. Und da ist eben ganz klar die Abhängigkeit der USA vom Öl ein Aspekt. Vielleicht noch ein bisschen als Kontext: Also die USA und Iran unterhalten keine diplomatischen Beziehungen, also zumindest nicht seit den achtziger Jahren, glaube ich. Und im Juli 2012 hat sich die Situation so ein bisschen verschärft. Also auch die EU hat ein Öl-Embargo verhängt gegen den Iran. Also die EU hat kein Öl mehr aus dem Iran importiert. Das sind wohl etwa 20 Prozent der Exporte des Irans gewesen, und dieses Embargo ist am 1. Juli 2012 in Kraft getreten und Shamoon-1 fand ja eben im August 2012 statt.

00:28:28 Lars Wallenborn: Und man könnte sich vielleicht jetzt einfach ganz platt vorstellen, ein iranischer Akteur hat sich gedacht: Jetzt hat die EU Importverbote für Öl erlassen. Wenn ich jetzt dafür sorge, dass generell der Ölpreis steigt oder das Öl-Angebot sinkt, indem man Saudi Aramco zumindest für eine Weile handlungsunfähig macht, könnte dieses Embargo vielleicht wieder aufgelöst werden oder vielleicht wird auch noch Öl aus dem Iran gekauft. Aber ist vielleicht auch eine sehr einfache Denkweise.

00:28:53 Christian Dietrich: Wenn wir an der Stelle jetzt so ein bisschen resümieren, dann können wir ja sagen, natürlich haben wir hier primär auf die Malware geschaut. Wir haben also eine technische Analyse der Malware vorgenommen. Aber jetzt hier kürzlich auch versucht mal aufzuzeigen, was es für andere Analysemethoden eben gibt, die möglicherweise eben völlig unabhängig sogar von der Malware sind. Oder vielleicht natürlich ein bisschen in Bezug stehen, so was wie Kommunikationsströme analysieren, kann man ja doch über Command and Control mit einer Malware in Verbindung bringen. Aber eben zum Beispiel diese nachrichtendienstlichen Methoden, die du ja angesprochen hast, die würde da ja rausfallen. Oder eben eine Analyse des politikwissenschaftlichen Spektrums wäre da sicherlich auch nicht mit von erfasst. Und das ist eben ganz interessant, weil eben im Rahmen der Attribution es sicherlich sinnvoll ist, in verschiedenen Dimensionen zu denken. Da gibt es auch ein ganz interessantes Framework was Timo Steffens vorgestellt hat, in seinem Buch zur Attribution von maßgeblich gezielten Angriffen oder APT Akteuren, das eben eine ganze Reihe dieser Dimensionen irgendwie umfasst und die auch mal auflistet. Und so ein bisschen zeigt, wie man da auch vorgehen kann.

00:30:02 Christian Dietrich: Ich würde gerne an der Stelle einmal festhalten, dass die öffentliche Attribution in meiner Wahrnehmung heute anders stattfindet als damals. Also damals heißt jetzt 2012. Wir haben in der Zwischenzeit eine ganze Reihe an öffentlichen Attributionen gesehen, das heißt, ich denke da zum Beispiel an die Indictments, also an die Anklagen in den USA, wo eben APT-Akteure öffentlich in solchen Indictments beschrieben wurden. Und da sieht man eben, dass das 2012 noch nicht so war. Also außer irgendwie zwei ehemaligen Regierungsoffiziellen, die sich da irgendwie unter dem Deckmantel der Anonymität irgendwie zu ausgelassen haben, hat man da eigentlich nicht wirklich belastbare Informationen preisgegeben. Und ich glaube, das ist definitiv eine Veränderung, eine Weiterentwicklung die da stattgefunden hat.

00:30:53 Lars Wallenborn: Gut, wollen wir dann zum Fazit übergehen? Vielleicht als erstes – weil das ja immer ganz interessant ist, wenn man sich das fragt – was kann man tun, um sich gegen so was zu wehren. Da kann man anschauen, was hier vermutlich falsch gelaufen ist – zumindest bei dem ersten Shamoon Angriff von 2012. Weil da hat nämlich der Standort von Saudi Aramco in Houston wohl Anomalien festgestellt. Also die haben Indikatoren dafür gefunden, dass vielleicht ein Angriff stattfindet oder dass da vielleicht eine Malware aktiv ist. Aber die Info hat es dann irgendwie nicht an die Stellen geschafft, die dann auch die Entscheidungen und die Gegenmaßnahmen hätten einleiten können. Man hat sich halt so gedacht, das lohnt sich gar nicht da ein Issue aufzumachen. Weil die Entscheider, die da was hätten gegen tun können, die sind wahrscheinlich gerade mit dem Ramadan beschäftigt. Das war gerade die letzte Woche vor dem Fest des Fastenbrechens oder umgangssprachlich Zuckerfest. Deswegen haben sich die Leute am Standort Houston dann gedacht, na ja, das ist wahrscheinlich nur eine Kleinigkeit, die wollen wir da gar nicht stören, Ja, hätten sie mal gemacht, vielleicht hätte dieser Angriff dann verhindert werden können.

00:31:53 Christian Dietrich: Ja, ist schon wieder ein interessanter Aspekt, dieses Timing. Also du hast gerade gesagt, der Ramadan hat eine Rolle gespielt und dass eben ganz viele Mitarbeiter im Urlaub waren. Also vielleicht vergleichbar in der christlichen Religion oder in christlichen Kulturkreisen mit der Woche vor Weihnachten oder nach Weihnachten oder so.

00:32:10 Christian Dietrich: Um Ostern herum. Die Frage des Timings haben wir ja bei einem anderen Angriff, in Folge Eins zum Bankraub von Bangladesch ja auch schon mal im Detail irgendwie ausgearbeitet. Also auch vielleicht da noch mal rein hören, wen das interessiert.

00:32:21 Lars Wallenborn: Und der zweite Fazitpunkt, den werde ich auch nochmal erwähnen, obwohl wir da schon ein bisschen drauf Wert gelegt haben, nämlich dass wir hier den technischen Analyseschritt nur durchgeführt haben von so einer Attribution und dabei aber über technische Wege auch schon ein Clustering durchführen konnten. Also wir konnten zwei völlig unabhängige Vorfälle mit zwei erst mal unabhängigen Malware Familien in Verbindung bringen, indem wir die konkrete Malware, die wir hatten, analysiert haben und da dann Verbindungen oder Gemeinsamkeiten gefunden haben. Und dieses Clustering ist notwendige Voraussetzung, meiner Meinung nach, um überhaupt Attribution durchzuführen. Also ich finde, niemand wird sagen, er kann was attributen, indem er nur eine einzige Malware-Datei hat. Also es ist immer wichtig, in Kontext setzen zu können. Und das halt besonders einfach, wenn man wie hier, Malware Samples finden kann, die eine Fortentwicklung davon sind oder Vorgänger davon sind.

00:33:17 Christian Dietrich: Ich finde einen Aspekt hier noch nennenswert, nämlich zur Einordnung von Shamoon. In meinen Augen sind destruktive Angriffe äußerst selten. Also wenn man mal versucht, sich so ein bisschen dran zu erinnern, was wir vielleicht so in den letzten zehn Jahren überhaupt an destruktiven Angriffen hatten, dann ist das sicherlich Stuxnet im Jahr 2010, Shamoon 2012, dann vielleicht das Sony Pictures Entertainment 2014, Black Energy 2015, Shamoon-2 dann 2016, NotPetya 2017. Aber daran sieht man schon, Spionage und kriminell und finanziell motivierte Vorfälle passieren eben um Größenordnungen häufiger. Und das macht destruktive Angriffe natürlich ganz interessant. Die sind also deutlich seltener.

00:34:06 Lars Wallenborn: Also man könnte sagen, man kann die destruktiven Angriffe die in den letzten zehn Jahren stattgefunden haben, oder sogar mehr, an einer oder höchstens zwei Händen abzählen. Und das macht halt jeden destruktiven Angriff besonders und deswegen haben wir uns auch entschieden, das in dieser Folge mal ein bisschen genauer zu beleuchten. Schön, dass ihr bis hierher zugehört habt und wenn es euch gefallen hat, dann freuen wir uns natürlich immer über eine gute Bewertung in der Podcast-App eurer Wahl oder einem Follow auf Twitter unter @armchairgators.

00:34:35 Christian Dietrich: Alle unsere Folgen findet ihr auf unserer Website armchairinvestigators.de oder in der Podcast-App eurer Wahl.

00:34:44 Lars Wallenborn: Bis zum nächsten mal. Ciao.

00:34:46 Christian Dietrich: Bis zum nächsten mal. Tschüss.

Shownotes

#4 Persistenz und LoJax

Wie tief kann sich Malware in Computer einnisten? Kann eine Malwareinfektion überleben, wenn die Festplatte formatiert wird? Diesen Fragen gehen wir nach und begeben uns auf einen Streifzug durch Firmware, Persistenz, FANCY BEAR und LoJax. Darüber hinaus versuchen wir zu beleuchten, wie verbreitet firmwarepersistente Malware unter vorrangig staatlich-gestützten Akteuren ist und welche technischen Gegenmaßnahmen es gibt.

Transkript anzeigen...

Armchair Investigators – Ein Dialog über Malware, Cybercrime und Cyberspionage. Mit Lars Wallenborn und Christian Dietrich.

00:00:32 Christian Dietrich: Hallo liebe Cyberfreunde, mein Name ist Chris, ich bin Professor für IT Sicherheit an der Westfälischen Hochschule …

00:00:37 Lars Wallenborn: … und hallo, mein Name ist Lars. Ich bin Reverse Engineer und Softwareentwickler und arbeite für CrowdStrike. Chris, lass uns heute mal über ein allgemeineres Thema reden als sonst. Es ist ein bisschen anders als die anderen Folgen, würde ich sagen. Da haben wir uns ja mehr so einen Incident, irgendwie so einen Vorfall ausgesucht, und ich würde heute mal gerne über das allgemeinere Thema Persistenz reden. Das würde ich gerne so einleiten – ich fange einfach mal an, und brabbel so ein bisschen vor mich hin. Fühl dich frei mich zu unterbrechen.

 00:01:03 Christian Dietrich: Leg los!

00:01:03 Lars Wallenborn: Also manchmal denkt man ja so, irgendwie Leute, die sich nicht so viel mit Computern beschäftigen, nicht so viel Zeit mit Computern verschwenden, wie wir beide, die laden dann Malware auf ihren Computer und befürchten dann, dass sie sich schon mit etwas infiziert haben. Das ist aber gar nicht so. Nur weil eine Malware auf einem Computer drauf ist, also auf der Festplatte liegt – oder at rest ist, ja – heißt das nicht, dass auf dem Computer die Malware auch läuft. Und damit irgendwie Malware – oder Schadsoftware, um mal den deutschen Begriff zu verwenden – überhaupt gefährlich ist, muss die auch ausgeführt werden. Und erst wenn die wirklich läuft, kann sie irgendwas Böses tun. Irgendwie Geld klauen vom Bankkonto oder irgendwelche anderen Möglichkeiten nutzen, um ihre Ziele zu erreichen.

00:01:50 Christian Dietrich: Das heißt, eine Malware Datei, eine bösartige .exe Datei, die ich mir zum Beispiel beim Browsen durch das Web heruntergeladen habe, die einfach nur heruntergeladen wurde, die ist gar nicht so wahnsinnig dramatisch.

00:02:01 Lars Wallenborn: Ja, außer wenn du doppelt drauf klickst natürlich, dann wird sie ganz plötzlich sehr dramatisch. So, aber worauf ich jetzt hinaus will – ich habe ja gesagt, ich würde gerne über Persistenz reden – wenn man also jetzt die Malware ausgeführt hat, und die macht ihre bösen Sachen, und dann würde man den Computer einfach neu starten, dann startet die Malware ja erst mal nicht von alleine auch mit dem Computer neu. Also in gewisser Weise könnte man seinen Computer desinfizieren, indem man ihn neu startet. Lustigerweise – das klingt jetzt erst mal wie eine sehr billige Art und Weise, sich gegen Malware zu wehren. Lustigerweise ist das bei einiger Malware, die so im IoT Bereich, im Internet of Things Bereich kursiert, ist oder war – na ja, da kann man jetzt drüber streiten, ob das immer noch aktuell ist – ist das eine Möglichkeit, sich von einer Infektion zu befreien. Ja, man startet sein IoT Gerät, das ist ja meistens irgendwie so ein Plastikgerät, trennt das einmal vom Strom, steckt es wieder rein und dann ist es nicht mehr mit Malware infiziert. Weil diese IoT Geräte gar keine Möglichkeit haben, irgendwie Daten zu speichern und dann auch irgendwie dafür zu sorgen, dass die Malware beim Neustart mit startet. Das Blöde bei den Geräten ist natürlich, die werden dann sehr leicht auch wieder kompromittiert. Ich meine, irgendwie ist die Malware ja drauf gekommen, aber darüber wollte ich jetzt eigentlich gar nicht so sehr reden. Damit Malware auf einem Computer bleibt, muss sie irgendwie dafür sorgen, dass sie auch startet, wenn der Computer startet. Und unter Windows gibt es da eine sehr billige Art und Weise: Und zwar, kopiert die Malware sich einfach in den Windows Autostart Ordner, den kennt man ja vielleicht noch. Na ja, das sorgt dafür, dass wenn der Computer startet, startet die Malware gleich mit.

00:03:31 Christian Dietrich: Das heißt, ich könnte mich dagegen schützen, indem ich den Autostart Ordner inspiziere und alles da rauslösche, was ich nicht möchte, dass es mit startet.

00:03:39 Lars Wallenborn: Genau. Was du vielleicht da nicht selber hin getan hast. Und – oh Wunder – das ist jetzt eine sehr billige Art und Weise sich jetzt dagegen wieder zu wehren. Deswegen sind natürlich jetzt die Angreifer wieder an der Reihe, da was gegen zu tun. Und dann kann man halt auch andere Methoden verwenden, um jetzt zum Beispiel unter Windows mit dem Computer zu starten. Noch eine sehr offensichtliche Methode ist, dafür einen sogenannten Windows-Service auf dem Computer einzurichten. Das sind so Hintergrundprozesse, die laufen auf dem Computer. Und die Malware tut einfach so, als wäre sie auch so ein Hintergrundprozess, richtet so einen Service ein, vielleicht noch mit einem Namen, der nicht ganz so auffällig ist wie „Schadsoftware 2021“ oder so, sondern irgendwas unauffälliges. Und ja, dann startet sie wieder, wenn der Computer startet. Und dabei taucht sie dann nicht im Autostart Ordner auf. Also die Methode, sich dagegen zu wehren, die du gerade vorgeschlagen hast, die funktioniert dann schon mal nicht mehr.

00:04:27 Christian Dietrich: Also Dienste, auf deutsch.

00:04:29 Lars Wallenborn: Ah ja, Service ist Dienste, genau, richtig.

00:04:31 Christian Dietrich: Und wie kann ich mich dagegen wehren? Na ja okay, ich könnte halt einfach alle Dienste durchgehen, müsste dann natürlich ein Verständnis darüber haben, welche Dienste gewollt sind, und welche vielleicht nicht unbedingt gewollt sind, und die nicht gewollten, rausschmeißen.

00:04:44 Lars Wallenborn: Ja. Das Problem da ist dann natürlich, um direkt die Gegenmaßnahme gegen die Gegenmaßnahme gegen die Gegenmaßnahme aufzuzählen…

00:04:50 Christian Dietrich: Schönes Katz-und-Maus Spiel.

00:04:52 Lars Wallenborn: Ja, genau richtig. Wenn man so ein Windows frisch installiert, dann kommt das schon mit einem riesen Sack an Hintergrunddiensten und an Services mit. Und eine davon hat den unauffälligen Namen „Intelligenter Hintergrund Übertragungsdienst“. Und wenn ich mir jetzt …

00:05:07 Christian Dietrich: Oh super, das ist doch intelligent.

00:05:08 Lars Wallenborn: Genau. Wenn ich mir das jetzt unbedarft anschaue, denke ich vielleicht: Oh das ist die Malware, den schalte ich mal aus. Aber das ist in Wirklichkeit einfach ein Dienst, der bei Windows dabei ist und der einen Zweck erfüllt.

00:05:18 Christian Dietrich: Zum Beispiel das Herunterladen von Updates, glaube ich, macht der.

00:05:21-9 Lars Wallenborn: So, und diese Spirale geht dann halt weiter. Also wir hatten jetzt irgendwie Malware, die sich in den Autostart Ordner legt, dann geht man den Autostart Ordner durch. Malware, die sich als Service auf dem System persistiert, dann geht man die Services durch. Und es gibt von solchen Methoden noch ganz, ganz viele andere unter Windows, wie man sich autostarten kann. Da kann man sich irgendwie unten neben die Uhr platzieren und so Hooks dafür einrichten, oder man kann sich ins Kontextmenü hängen oder man kann sich immer starten, wenn man eine Office Datei startet und solche Sachen.

00:05:51 Christian Dietrich: Browser Plugin.

00:05:53 Lars Wallenborn: Richtig. Genau. Unglaublich viele. Also diese Liste, die werden wir jetzt nicht erschöpfend aus dem Kopf aufzählen können, denke ich.

00:05:59 Christian Dietrich: Jede Menge Persistenz-Technik.

00:06:01 Lars Wallenborn: Genau. Und wir werden auch übrigens…da gibt es so ein Tool – auch von Microsoft, von den Winternals Leuten – das heißt Autoruns. Das können wir in den Shownotes auch verlinken. Das könnt ihr – ihr könnt uns vertrauen – das könnt ihr einfach herunterladen und ausführen. Das ist keine Malware. Ihr solltet niemandem vertrauen, der so was zu euch im Internet sagt. Das verlinken wir euch aber in den Shownotes und wenn ihr euch das traut, das auszuführen, dann könnt ihr mal gucken. Das listet sehr viele von diesen Persistenz Methoden auf, und dann könnt ihr mal gucken, was alles auf dem Computer persistiert ist. Und das ist unübersichtlich viel. Ja, und wie du eben schon gesagt hast, Chris, das ist so eine Art Katz-und-Maus Spiel. Akteure finden immer geschicktere und verstecktere Methoden, sich zu persistieren und als Verteidiger versucht man die dann zu identifizieren, weil das ist halt eine Möglichkeit, sich gegen die Malware dann zu schützen. Man sorgt dafür, dass sie nicht mehr startet, wenn der Computer startet. Und man ist fein raus.

00:06:50 Christian Dietrich: Ja, Festplatte formatieren hilft doch immer.

00:06:53 Lars Wallenborn: Das hilft ja auch meistens. Also ich sage mal…

00:06:56 Christian Dietrich: Was heißt denn Festplatte formatieren?

00:06:58 Lars Wallenborn: Na ja, du löschst alles. Also du löschst insbesondere das Betriebssystem. Und alles, was darauf persistiert ist. Das heißt, wenn du das Betriebssystem danach neu installierst, dann ist nichts von dem was vorher persistiert war, immer noch persistiert. Zumindest ist das die Hoffnung. Na ja, das klingt jetzt für so Privatanwender auch immer sehr aufwändig: Irgendwie muss ich meinen Computer formatieren, muss ich vorher alle Daten backupen, ich habe ja eigentlich keine Backups – das ist natürlich schlecht wenn man das nicht hat – aber das ist ja leider immer noch häufig so. Und das ist sehr aufwändig für einen Privatanwender meistens. Oder das ist zumindest meine Erfahrung, dass das sehr aufwändig ist. Aber für so große Organisationen ist das nicht so aufwändig. Die haben dafür meistens sehr effiziente Abläufe. Ich meine, wenn ein neuer Mitarbeiter dazu kommt, will man den ja auch schnell mit einem Computer versehen, und das ist so ein bisschen so ähnlich. Also man teilt einfach einen neuen Computer aus, und die Daten liegen meistens sowieso auf dem Netzlaufwerk und so weiter. Das heißt, für große Organisationen, sowohl irgendwie im privaten Sektor als auch so im nicht-privaten Sektor, ist das relativ billig Festplatten zu formatieren, also hier so eine Mitigation durchzuführen.

00:08:04 Christian Dietrich: Und jetzt kann man sich aus so einer Akteur-Perspektive vorstellen, dass es manche Ziele gibt, die sind vergleichsweise schwer zu kompromittieren. Also stellen wir uns mal vor, wir sind so ein Akteur und unsere Mission ist irgendwie so politische Spionage. Und da gibt es halt so Ziele, die schwer zu kompromittieren sind, und wenn man das da mal rein geschafft hat, dann will man unter keinen Umständen den Zugriff verlieren. Und das bedeutet, man möchte sich eben sehr tief persistieren.

00:08:30 Lars Wallenborn: Also ich habe schon eine Vermutung, was das für Ziele sein könnten, aber was meinst du denn jetzt so konkret vielleicht?

00:08:36 Christian Dietrich: Ja, zum Beispiel nehmen wir mal das Abgeordneten Büro von Angela Merkel im Deutschen Bundestag. Da gibt es übrigens einen ganz guten Podcast, der nennt sich „Der Mann in Merkels Rechner“. Da wird dargelegt, wie die Untersuchungen gelaufen sind, zu dem Akteur Fancy Bear, der es eben geschafft hat, genau dieses Abgeordnetenbüro von Angela Merkel zu kompromittieren. Und jetzt kann man sich vorstellen, das ist natürlich von unschätzbarem Wert. Das ist ein sehr attraktives Ziel, und das ist von unschätzbarem Wert, wenn die Mission eben politische Spionage ist. Und dann willst du natürlich diesen Zugriff auf diese Infrastruktur möglichst nicht verlieren.

00:09:12 Lars Wallenborn: Und in Kombination damit, dass es für so große Organisationen, wie jetzt den Deutschen Bundestag, sehr billig ist, Computer zu formatieren, will man da irgendwie einen Weg drum herum finden.

00:09:21 Christian Dietrich: Genau. Das heißt also, aus Angreiferperspektive ist es absolut erstrebenswert, selbst gegen Formatierung gewappnet zu sein. Und du möchtest vielleicht sogar auch, wenn die Festplatte komplett getauscht wird, immer noch Zugriff haben. Jetzt wissen wir, der Akteur Fancy Bear war im Bundestag, wir wissen aber nicht, ob im Bundestag Malware zum Einsatz kam, die jetzt den Festplattentausch tatsächlich übersteht.

00:09:46 Lars Wallenborn: Und jetzt muss man sich halt überlegen, aus Angreiferperspektive, wie man das überhaupt hinkriegen soll. Weil man kann ja erst mal sagen: Na ja, also Malware sind irgendwie Daten und diese ganzen Daten müssen irgendwo drauf sein. Und wenn sie nicht auf der Festplatte sind, wo sollen sie sonst sein? Es stellt sich raus, in so einem Computer sind noch ganz viele andere Datenträger. Die sind dann verbaut auf den Mainboards, so als Chips und als kleine Speicherbausteine, die natürlich nicht Terabyte-weise Daten speichern können. Aber das muss ja auch gar nicht sein. Ich meine gute Malware kann ganz klein sein und die kann sich dann auch so auf einem kleinen Chip einnisten.

00:10:17 Christian Dietrich: Um so was aber zu realisieren – also so eine Malware, die einen Festplattentausch übersteht – braucht man eben sehr viel Wissen und Programmierkenntnis über genau diese Speicherbausteine, die eben nicht die Festplatte sind.

00:10:29 Lars Wallenborn: Ja, und das ist alles sehr Hardware-nahes Wissen, also das involviert so Systeme, die hat man früher – also früher gab es das BIOS, das kennt man vielleicht noch. Und heutzutage wurde das abgelöst von den UEFI. Da braucht man ganz viel Wissen über UEFIs und wie die funktionieren.

00:10:43 Christian Dietrich: Und wie die Flash Speicher funktionieren auf denen eben diese UEFI Komponenten hinterlegt sind und die DIGSI Driver, so nennt man eben diese Komponenten, die aus dem UEFI heraus aktiviert werden und so weiter. Und wie das immer so ist, so bei Spezialsoftware, na ja, Leute die das können, sind eben rar oder teuer…

00:11:02 Lars Wallenborn: …oder beides.

00:11:03-4 Christian Dietrich: So und jetzt kommt aber der Fancy Bär Trick oder der Fancy Bär Life Hack, wie ich gerne sagen würde. Was ist denn eigentlich Firmware, Lars?

00:11:12 Lars Wallenborn: Ursprünglich – habe ich eben auf Wikipedia gelesen – ist das so ein Zwischending zwischen Hard- und Software. Also zwischen Hardware und Software. Die ist halt nicht so hart und nicht so weich, sondern mehr so fest, so Firmware.

00:11:23 Christian Dietrich: So firm.

00:11:24 Lars Wallenborn: Also firm. Genau. Das wie gesagt, ist eher die Wortherkunft von Firmware.

00:11:30 Christian Dietrich: Man könnte auch einfacher sagen, es ist Software, die nicht auf der Festplatte gespeichert ist.

00:11:35 Lars Wallenborn: Ja, genau. Das ist vielleicht eher die kontemporäre Verwendung des Wortes. Also irgendwie Software, die nahe an der Hardware ist, aber eigentlich immer noch Software ist, wenn man jetzt mal ganz ehrlich ist.

00:11:44 Christian Dietrich: Das heißt dieser Flash-Speicher ist Speicher, der nicht flüchtig ist, das ist vielleicht ganz wichtig. Also jetzt nicht Arbeitsspeicher so. Also im RAM ist es so, wenn der Strom weg ist, dann sind relativ bald auch die Inhalte weg.

00:11:57 Lars Wallenborn: Relativ bald?!?

00:11:58 Christian Dietrich: Ja, cold boot attack und so – kann man immer noch auslesen. Das ist halt nicht flüchtig. Das heißt, also auch wenn der Strom weg ist, bleiben diese Daten erhalten, ja, in diesen Flash-Speichern. Und diese Firmware wird halt relativ selten geändert.

00:12:12 Lars Wallenborn: Also das passiert schon. Manchmal gibt es Updates für die Firmware und dann muss man die irgendwie installieren. Aber du hast schon recht, generell bleibt die relativ konstant.

00:12:19 Christian Dietrich: Und diese Firmware liegt eben nicht auf der Festplatte, sondern eben in diesen Flash-Speichern. Und jetzt gibt es eine Software, die als Diebstahlvermeidung gedacht ist.

00:12:29 Lars Wallenborn: Also legitime Software, keine Malware oder so. Es gab eine Firma, Computrace hieß die, und die hat diese Software raus gebracht.

00:12:35 Christian Dietrich: Genau. Und das Produkt hieß damals LoJack, so ein bisschen als Wortspiel zu Hijack, was irgendwie auf deutsch übersetzt so was heißt wie entwenden oder übernehmen. Und diese Software war dazu gedacht, geklaute Computer, gestohlene Computer aus der Ferne zu sperren, die Daten darauf zu löschen oder die Geräte zu lokalisieren, damit man sie gegebenenfalls wieder beschaffen kann.

00:12:55 Lars Wallenborn: Also als rechtmäßiger Eigentümer des Computers sollte man das alles dann mit dieser Software können.

00:13:00 Christian Dietrich: Und das ist auch praktisch. Denn dieser Mechanismus funktioniert, selbst wenn die Festplatte getauscht wird in dem geklauten Rechner.

00:13:09 Lars Wallenborn: Oder auch nur formatiert wurde. Also ich meine, wenn ich irgendwo einen Computer klaue, dann will ich wahrscheinlich schon die Daten darauf löschen. Und das ist dann natürlich für den rechtmäßigen Eigentümer blöd, wenn damit auch die Möglichkeit genommen ist, den Computer irgendwie wieder zurück zu gewinnen. Ja und LoJack, diese legitime Software, die hat das implementiert.

00:13:28 Christian Dietrich: Und dabei verhält sie sich eben, man könnte sagen, relativ ähnlich zu Malware. Weil sie eine sogenannte Firmware-Persistenz implementiert.

00:13:37 Lars Wallenborn: Wie das so häufig ist – man kann ja auch mal so ganz komplizierte Sachen ganz einfach sagen – also da passiert sehr viel komplizierter Kram, und da würde ich jetzt ungern zu sehr ins Detail gehen. Das ist wahrscheinlich eher nur langweilig, wenn man da nur zuhört. Aber was die Software am Ende macht? Sie lädt was aus dem Internet runter und führt es aus.

00:13:54 Christian Dietrich: Genau. Und diesen Mechanismus, den hat der Akteur Fancy Bear eben quasi gekapert, also sich abgeschaut und gewisse Komponenten abgeändert. Und diese Veränderung wird so in der Community als LoJax bezeichnet. Das ist also sozusagen die Schadsoftware, die über die Firmware persistiert wird. Und die schafft es dann eben, einen Festplattentausch zu überstehen. Das Ganze wurde eben soweit angepasst, dass der Akteur, also Fancy Bear, jetzt eben Kontrolle über das System bekommt.

00:14:26 Lars Wallenborn: Und warum ich das gerne Life Hack nenne, ist, dass eine bestehende Software zu verwenden und so ein bisschen zu modifizieren oder ein bisschen mehr zu modifizieren, das kommt darauf an, das ist wahrscheinlich immer noch sehr viel weniger Arbeit, als das von Grund auf alles selber zu entwickeln. Da hat man quasi einen Life Hack gemacht, eine Abkürzung genommen.

00:14:46 Christian Dietrich: Jemand anderes hat die schmerzhafte Arbeit übernommen, das alles da irgendwie implementieren zu müssen, und man geht halt her und tauscht einfach nur ein paar Komponenten aus. Und das setzt, glaube ich, maßgeblich bei diesem Herunterladen-Aspekt an, den du vorhin erwähnt hast. Dann wird eben an einer bestimmten Stelle nicht die legitime Komponente von diesem Software Produkt runter geladen, sondern eine bösartige Komponente. Eine Schadsoftware, ein Remote Access Tool.

00:15:11 Lars Wallenborn: Das ist auch dokumentiert öffentlich, das verlinken wir natürlich auch in den Shownotes, dass Fancy Bear mit dieser LoJax Software verschiedene Regierungsorganisationen und Einrichtungen irgendwie in, wie man so schön sagt, Zentraleuropa, Osteuropa und den Balkanstaaten…gegen die hat Fancy Bear das eingesetzt.

00:15:27 Christian Dietrich: Was heißt in Zentraleuropa?

00:15:28 Lars Wallenborn: Das weiß ich auch nicht.

00:15:29 Christian Dietrich: Frankreich oder Deutschland wahrscheinlich.

00:15:32-4 Lars Wallenborn: Ich vermute auch.

00:15:32 Christian Dietrich: Genau, Sicherheitsforscher von ESET haben dazu eine ziemlich detaillierte Analyse veröffentlicht. Und auch das packen wir euch in die Shownotes. Gibt es denn eigentlich einen technischen Grund, der dagegen spricht, dass Akteure heute noch LoJax einsetzen? Denn es ist mir zumindest, kein offensichtlicher bekannt. Und das liegt so ein bisschen vielleicht auch daran, dass dank UEFI, also sozusagen dieser neueren Variante eines BIOS, also quasi einer standardisierten Form für Firmware, es auch einfacher gemacht wird für Angreifer, dafür Software zu entwickeln.

00:16:09 Lars Wallenborn: Stimmt. Wenn man standardisiert, macht man es für alle einfacher. Sowohl für Softwareentwickler, als auch für die Angreifer.

00:16:14 Christian Dietrich: Und was ich auch noch einen ganz interessanten Aspekt finde, ist die Frage: Welche Akteure haben wir denn noch beobachtet, die so etwas können? Also man könnte ja formulieren: Eine Firmware-persistente Malware in seinem Arsenal zu haben, ist eine Capability. Also eine technische Fähigkeit eines Akteurs.

00:16:32 Lars Wallenborn: Ja Chris, das mag ich ja immer besonders gerne, wenn diese ganze Cyber Threat Intelligence Crowd diese Kriegsmetaphern immer wieder verwendet.

00:16:38 Christian Dietrich: Was habe ich denn gesagt?

00:16:40 Lars Wallenborn: Arsenal hast du gesagt. Aber genau, eigentlich – Entschuldigung – Capability ist ein englischer Begriff. Aber ich meine, um das so ein bisschen abzugrenzen, verwenden wir den wahrscheinlich jetzt trotzdem weiter. Damit meinen wir, die rein technische, fertige Fähigkeit eines Akteurs. Also der hat dann ein fertiges Programm in seinem Arsenal, das ein bestimmtes Ziel erreichen kann.

00:16:59 Christian Dietrich: Ich habe mir mal chronologisch versucht, so ein bisschen herauszusuchen, welche Akteure das denn ebenfalls können, also diese Capability besitzen. Wir wissen seit den Edward Snowden Leaks, dass die NSA, also der US Nachrichtendienst NSA, ebenfalls ein Tool hat, das da Deitybounce heißt. Das heißt übersetzt so was wie göttlicher Sprung oder so was.

00:17:21 Lars Wallenborn: Göttliches Hüpfen heißt das. Göttliches Hüpfen.

00:17:23 Christian Dietrich: Genau, das ist ein Tool, was seit 2007 mindestens entwickelt wurde, sich maßgeblich gegen Dell PowerEdge Server gerichtet hat und Windows Betriebssysteme von Version 2000 bis XP unterstützt hat. Die Infektion erfolgte da wohl via USB Stick, es ist aber bis heute kein Code bekannt. Das heißt, es gibt eigentlich nur eine Beschreibung, und man hat bisher keinen Code in irgendeiner Form gesichtet.

00:17:49 Lars Wallenborn: Das mit dem USB Stick finde ich auch irgendwie interessant, weil das heißt ja, wenn die per USB Stick sich verbreitet, dann hatte der Angreifer in dem Fall Hardwarezugriff auf das System und konnte da irgendwo den USB Stick reinstecken. Ist auch vielleicht jetzt keine Sache, die jede dahergelaufene Hackergruppe macht. Da ist man schon…

00:18:03 Christian Dietrich: Man muss halt wirklich einen Agenten dahin schicken und der steckt den USB Stick rein, in der Tat. Dann gibt es aus dem Zeitraum 2010 bis 2013 Unterlagen über ein Tool, das nennt sich „DerStarke“. Das ist ein Tool aus dem Vault 7 Leak, das gemeinhin der CIA, also ebenfalls ein US Nachrichtendienst, zugerechnet wird. Ganz witzig auch, dass die da einen deutschen Begriff für nehmen, für „DerStarke“. Das ist ein Firmware persistentes Bootkit für Mac, also für Apple Macbooks. Und das fand ich echt ganz spannend. Das habe ich mir ein bisschen genauer angeguckt. Es gibt da eine Malware, die injiziert wird in Mac OS – das ist also das Betriebssystem, auf dem eben Apple typischerweise läuft – und die haben halt schon irgendwie daran gedacht, wie man diese Infektion sinnvoll hin bekommt. Zum Beispiel konnte man eben sagen, wie viele Tage nach der Erstinfektion eigentlich dann erst diese Malware aktiv werden soll. Und da war so empfohlen, so ein Zeitraum von 30 Tagen.

00:18:56 Lars Wallenborn: Und das sagt auch schon was über den Modus Operandi oder die Vorgehensweise von so einem Geheimdienst aus. Also die wollen nicht ihre Ziele kompromittieren und dann möglichst schnell Aktionen tätigen. Sondern für die ist es kein Problem, ein Ziel zu kompromittieren, einen Monat zu warten, damit es nicht auffällt, dass sie es sind und dann erst aktiv zu werden.

00:19:14 Christian Dietrich: Und was ich ziemlich abgefahren fand, ist Folgendes: Jetzt würde man vielleicht meinen, okay, also in dem Moment, wo tatsächlich mal ein Firmware Update passiert …

00:19:22 Lars Wallenborn: Game over.

00:19:23 Christian Dietrich: Genau, dann ist es vorbei. Dann plätte ich mir auch diesen Zugriff. Aber nein, die haben auch daran gedacht. Das heißt, die haben einen Mechanismus vorgesehen, der Firmware Upgrades überlebt.

00:19:33 Lars Wallenborn: Das ist auf jeden Fall schon Next Level Hardware Persistenz, wenn man jetzt auch noch Updates auf dieser Hardware persistenzen Methode darüber hinweg persistieren kann.

00:19:44 Christian Dietrich: Und dieses Tool wurde ebenfalls über USB, also physikalischen Zugriff, auf die Zielmaschine aufgespielt. Dann haben wir mit HackingTeam einen Dienstleister. HackingTeam ist ein Unternehmen – ein italienisches Unternehmen, glaube ich – gewesen, das ein Tool, das nennt sich rkloader hatte, mit dem man ebenfalls so eine Capability umsetzen konnte. Und da die als Dienstleister agieren, weiß man nicht genau, wer das alles eingesetzt hat. Also man konnte im Prinzip da diese Capability wohl eben einkaufen. Ja, und dann habe ich noch gefunden, dass es einen, ja, scheinbar chinesischsprachigen Akteur gibt, der so einen gewissen Bezug zu Themen rund um Nordkorea hat. Also man weiß es nicht genau welche Interessen da mit umgesetzt wurden. Möglicherweise eben so chinesisch-nordkoreanisch möglicherweise auch. Und das ist in Angriffen gegen Diplomaten und NGOs in Afrika, Asien und Europa zum Einsatz gekommen. Das heißt, wenn ich da mal versuche zusammen zu zählen, dann komme ich auf fünf Akteure, wenn man jetzt NSA und CIA als zwei Akteure bezeichnet. Aber ich glaube, das ist ganz sinnvoll.

00:20:51 Lars Wallenborn: Ja, lass uns dazu vielleicht noch mal ganz kurz sagen, warum man das überhaupt machen sollte. Also ich meine, das sind jetzt…also man kann sich jetzt auf den Standpunkt stellen und sagen, na ja, die vertreten beide amerikanische Interessen, sind beides amerikanische Geheimdienste, warum fasst man das nicht als einen Akteur zusammen?

00:21:08 Christian Dietrich: Ja, die haben aber unterschiedliche Targeting Requirements würde ich sagen. Also unterschiedliche Ziele, die sie irgendwie auskundschaften müssen, die haben einen unterschiedlichen Modus Operandi. Die einen sind vielleicht eher so SIGINT orientiert, die anderen so HUMINT orientiert. Die haben wahrscheinlich ein unterschiedliches Tooling – das haben wir ja hier gesehen – also unterschiedliche Werkzeuge, mit denen sie vielleicht ähnliche Dinge bewerkstelligen und ja, wahrscheinlich auch unterschiedliche Infrastruktur. Und wenn ihr mehr zu Attributionen erfahren wollt, dann hört doch vielleicht noch mal in Folge Zwei rein.

00:21:36 Lars Wallenborn: So, aber du wolltest eigentlich zurück kommen auf eine Zusammenfassung.

00:21:39 Christian Dietrich: Und so komme ich halt auf fünf Akteure. Man könnte es auch ein bisschen platter formulieren: Also die USA kann es, Russland kann es, China oder Nordkorea kann es und mit HackingTeam haben wir sogar einen Dienstleister, der es auch kann.

00:21:51-1 Lars Wallenborn: Ja, das kann man so platt formulieren, aber ich würde es gerne anderes platt formulieren. Und das geht so: Die USA die kann es. Russland macht es mit LoJax, irgendwer in Asien kann das auch und es gibt so private Firmen, die wahrscheinlich von sehr vielen Staaten sehr viel Geld bekommen haben – und die können das auch.

00:22:08 Christian Dietrich: Wenn man das mal reflektiert, könnte man also sagen: Ja, es gibt einige Parteien, die das können. Es gibt da verschiedene Akteure – haben wir ja jetzt eben gesehen – aber es ist jetzt auch nicht so, dass es jetzt irgendwie jeder Akteur in seinem Arsenal hat.

00:22:21 Lars Wallenborn: Da knechtet er schon wieder die Kriegsmetapher.

00:22:23 Christian Dietrich: Und das bringt uns so ein bisschen zu der Frage: Was kann man eigentlich dagegen tun? Ich glaube, so wahnsinnig viel kann man dagegen gar nicht tun. Oder man könnte anders herum formulieren, viele der Gegenmechanismen sind eigentlich eher reaktiv. Ja, das heißt, ich kann vielleicht im Nachhinein so eine Infektion feststellen, aber es scheint gar nicht so trivial zu sein, das zu vermeiden. Vielleicht mal mit dem Reaktiven anfangen. Dann könnte man sagen: Okay, diese Speicherbereiche, die kann man auslesen und kann in den ausgelesenen Daten nach irgendwelchen typischen Mustern von Malware, von bekannter Malware, die Firmware-persistent ist, suchen.

00:22:56 Lars Wallenborn: Genau, und um diese Muster kennen zu lernen, muss man natürlich erst mal ganz viel manuelle Arbeit leisten. Also es ist eine sehr aufwändige Herangehensweise.

00:23:04 Christian Dietrich: Und dann könnte man sich auf den Standpunkt stellen und sagen: Na ja, in dem Moment, wo ich diese Flashspeicher auslese, wenn der Rechner richtig tiefgehend kompromittiert ist, kann ich dem vielleicht schon nicht mehr trauen, was ich da auslese. Das heißt, ich müsste eigentlich entweder den Chip auslöten, also den Chip aufmachen und den dann auslesen, oder irgendwie von einem anderen Computer diesen Speicherbereich irgendwie auslesen. Und das ist halt eigentlich nicht wirklich praktikabel. Hinzu kommt, ich habe auch keine Ground Truth. Das heißt, ich weiß oft bei meinem eigenen Rechner vielleicht gar nicht, wie ist denn der Soll Zustand von dem UEFI Bereich?

00:23:40 Lars Wallenborn: Und auch wenn wir am Anfang gesagt haben, dass sich dieser UEFI Bereich nicht so oft ändert, der ändert sich schon manchmal. Also manchmal kommen mit irgendwelchen Updates auch solche Updates für diesen Bereich mit, und dann werden die dann einfach installiert. Also zu sagen, man schlägt immer Alarm, wenn sich da was ändert, das funktioniert wahrscheinlich auch nicht.

00:23:55 Christian Dietrich: Immerhin gibt es ein paar Antiviren Programme, die jetzt diesen UEFI Bereich mit scannen. Das ist ja schon mal ganz gut. Das heißt, also dieser reaktive Teil, der ist tatsächlich auch in die Praxis umgesetzt. Und das scheint so etwa 2019 herum, so sage ich mal, in den Mainstream dieser Antivirenprodukte gekommen zu sein. Das geht jetzt also seit etwa zwei Jahren. Als präventive Maßnahme gibt es die Möglichkeit, Schreibzugriffe auf den UEFI Bereich zu sperren. Aber da weiß man, dass es da auch Sicherheitslücken gab in der Vergangenheit, die eben eigentlich diesen Schreibzugriff aushebeln konnten. Also das ist ein bisschen die Frage, ob die jetzt geschlossen sind, diese Sicherheitslücken oder nicht.

00:24:34 Lars Wallenborn: Okay, jetzt stellt sich also noch vielleicht die Abschlussfrage: Muss ich davor jetzt Angst haben?

00:24:39-1 Christian Dietrich: Ja, wenn ich UN Diplomat wäre, da würde ich mir da vielleicht schon so ein bisschen Gedanken machen.

00:24:43 Lars Wallenborn: Ja okay. Und als Privatanwender?

00:24:45 Christian Dietrich: Ja als Privatanwender vielleicht nicht unbedingt.

00:24:47 Lars Wallenborn: Aber warum?

00:24:48 Christian Dietrich: Na ja, das ist schon irgendwie eine Capability, die man jetzt nicht unbedacht einsetzt. Und die man wahrscheinlich nur gegen sehr bestimmte Ziele einsetzt. Denn jedes mal läuft man natürlich auch Gefahr, dass es erkannt wird. Und dass es

dann in Folgeoperationen, wo man das gleiche Tool verwenden würde, vielleicht fehlschlagen würde.

00:25:05 Lars Wallenborn: Ja, würde so vom Standardvirenscanner einfach mit erkannt werden. Also als Akteur läuft man immer die Gefahr, so eine Capability zu verbrennen, wenn man sie einsetzt. Deswegen will man sie sparsam einsetzen.

00:25:18 Christian Dietrich: Was natürlich noch hilft gegen so einen Befall, ist die komplette Hardware zu tauschen. Und manchmal wundert man sich vielleicht, aber das sind ja scheinbar mitunter Optionen, die hie und da mal bedacht wurden, wenn es zu so einer Kompromittierung kam. Jetzt versteht man vielleicht auch warum.

Das war es für diese Folge. Wir sind im Web unter armchairinvestigators.de erreichbar oder auf Twitter unter @armchairgators. Wenn ihr Fragen habt, könnt ihr uns gerne anhauen. Weitere Folgen gibt es auf der Podcast Plattform eures Vertrauens.

00:25:51 Lars Wallenborn: Bis zum nächsten Mal.

00:25:52 Christian Dietrich: Bis zum nächsten mal. Ciao.

Shownotes

#3 Erpressung der Uniklinik Düsseldorf

Im September 2020 erleidet eine Frau ein Aneurysma und muss ins Krankenhaus gebracht werden. Zu diesem Zeitpunkt ist die Uniklinik Düsseldorf allerdings von der Notaufnahme abgemeldet, da eine Ransomware (ein Verschlüsselungstrojaner) zugeschlagen hat und die IT nicht benutzt werden können. In dieser Folge beleuchten wir das Bedrohungsfeld durch Ransomware als eine Form der organisierten Kriminalität.

Shownotes

Transkript anzeigen…

00:00:31-2 Christian Dietrich: Hallo liebe Cyberfreunde. Mein Name ist Chris, und ich bin Informatikprofessor an der westfälischen Hochschule.

00:00:36-4 Lars Wallenborn: Hallo, und ich bin Lars. Ich arbeite als Reverse Engineer und Softwareentwickler bei CrowdStrike.

00:00:42-3 Christian Dietrich: Wir wollen uns heute mit einem ziemlich interessanten Ransomware Vorfall beschäftigen, der sich in Deutschland ereignet hat. Und zwar beginnt die Geschichte am 11. September 2020. Da erleidet eine 78-jährige Patientin ein Aortenaneurysma, und sie muss eben schnellstmöglich von einem Rettungswagen abgeholt und in ein Krankenhaus gebracht werden. Und das soll an der Stelle eben das Universitätsklinikum Düsseldorf sein, kurz UKD. Aber das UKD hat sich von der Notaufnahme abgemeldet. Der Hintergrund an der Stelle ist, dass das UKD mit einer Schadsoftware infiziert ist und IT-Ausfälle erlebt, so dass eben die Notaufnahme komplett geschlossen werden musste. Der Rettungswagen musste daher in ein Krankenhaus nach Wuppertal umgeleitet werden – das ist so circa 30 Kilometer entfernt – und dementsprechend auch eine etwas längere Fahrtzeit auf sich nehmen.

00:01:35-4 Lars Wallenborn: An der Stelle würde ich direkt vielleicht anfangen mal aufzuschlüsseln, was wir überhaupt meinen, wenn wir Ransomware sagen. Der Begriff ist schon zweimal gefallen oder so. Dabei handelt es sich um Malware oder Schadsoftware auf deutsch, die etwas besonders ist in dem Sinne, wie sie ihren Betreibern ermöglicht, Geld zu verdienen. Und zwar läuft das genau so wie bei klassischer Erpressung. Der Erpresser nimmt sich etwas und will dann Geld dafür, dass er oder sie es wieder rausgibt. Und das läuft so, dass diese Ransomware die Daten verschlüsselt und den Schlüssel, um die Daten zu entschlüsseln, den gibt es nur wenn man bezahlt. Das ist halt bei Verschlüsselungsverfahren immer so – oder im Idealfall so – dass man den Schlüssel wirklich braucht, um die Daten halt auch zu entschlüsseln. Und ja, dieses Geld wird dann meistens in Kryptowährungen – Bitcoin oder so – überwiesen und bezahlt. Dann erhält das Opfer der Ransomware den Schlüssel, und kann dann im Idealfall die Daten wieder entschlüsseln und hat dann wieder Zugriff darauf.

00:02:31-6 Christian Dietrich: Wenn wir jetzt von Ransomware als einer Art von Schadsoftware sprechen, dann können wir das vielleicht so ein bisschen mal an den drei wichtigsten Dimensionen oder Facetten von Malware festmachen und aufhängen. Ich würde sagen, es gibt drei Dimensionen: Nämlich einmal die sogenannte Monetarisierung, also wie wird eine Infektion quasi zu Geld gemacht?

00:02:54-0 Lars Wallenborn: Ja, oder im weitesten Sinne zu Wert, nicht wahr?

00:02:56-0 Christian Dietrich: Genau, oder im weitesten Sinne zu Wert. Wenn wir jetzt an finanziell motivierte Akteure denken, dann wäre es eben Monetarisierung, also zu Geld machen. Wenn wir an gezielte Angriffe oder Spionage denken, dann wären es vielleicht so was wie die Capabilities. Die zweite Dimension ist Command and Control. Das heißt, die Frage: Wie wird eine Malware eigentlich ferngesteuert? Wird sie überhaupt ferngesteuert?Und wenn ja, dann funktioniert das beispielsweise über bestimmte Netzwerkprotokolle. Zum Beispiel irgendwie über http, mit einer eigenen Verschlüsselung, oder irgendwie über DNS oder so was. Da gibt es ja ziemlich abgefahrene Varianten. Und die dritte Dimension ist vielleicht so das Spreading. Also die Art und Weise, wie sich Malware verbreitet, und zwar insbesondere eben autonom verbreitet. Ein Beispiel wäre da WannaCry, eine Schadsoftware, die sich 2017 eben tatsächlich autonom –  also selbständig – verbreitet hat, indem sie versucht hat, verwundbare Rechner zu finden, und die dann infiziert hat.

00:03:50-0 Lars Wallenborn: Und in diesem konkreten Fall, wenn wir über Ransomware reden, reden wir dann jetzt über Monetarisierung. Und die Monetarisierung für diese Ransomware läuft halt so, dass Daten verschlüsselt werden und den Schlüssel gibt es nur für Geld wieder. Und vielleicht noch etwas anderes. Es gibt noch ein Konzept, das nennt sich die Cyber Kill Chain. Das wurde vor vielen Jahren mal entwickelt, über so ein Whitepaper, und diese Malware Facetten sind völlig unabhängig von dem, was die Cyber Kill Chain ist. Wir wollen jetzt da vielleicht noch nicht so viel drüber verlieren, also wir packen was in die Shownotes, dann könnt ihr euch das mal angucken, wenn ihr wollt. Aber ich würde sagen, die Cyber Kill Chain, die behandelt den eigentlichen Angriff, die eigentliche Intrusion, und diese Malware Facetten sind wirklich sehr fokussiert auf die Malware, auf die Schadsoftware, die da eingesetzt wird während so einem Angriff.

00:04:32-5 Christian Dietrich: Vielleicht kommen wir nochmal auf den UKD Fall zurück. Wir haben so ein bisschen jetzt skizziert, in welcher Situation die Patientin ist und der Rettungswagen. Aber eine entscheidende Frage ist ja, wie kam die Ransomware überhaupt ins UKD? Und damit betreten wir jetzt so vielleicht den zweiten von insgesamt fünf Teilen, in die wir diese Folge jetzt aufteilen. Am 10. September 2020, um drei Uhr morgens, wurde die Ransomware aufgespielt. Und man muss sich vorstellen, selbst zehn Tage später, also am 20. September, funktionierte im Prinzip immer noch nichts wieder. Das zeigt also so ein bisschen die Dimension, die dieser Ransomware Vorfall eben im UKD ausgelöst hat.

00:05:11-5 Lars Wallenborn: Und um so ein bisschen besser aufzuschlüsseln, wie diese Ransomware jetzt in dieses Krankenhaus kommt, wird es auf jeden Fall helfen, mal kurz zu thematisieren, was es für eine Ransomware ist. Und Malware-Familien, genauso wie Akteure – haben wir ja in der letzten Folge besprochen – bekommen meistens lustige Namen, die sich irgendjemand ausgedacht hat. Manchmal denken sich die Entwickler den aus, manchmal denken die Leute sich den Namen aus, die die Ransomware analysieren. Und diese Ransomware hier, die nennt sich DoppelPaymer. Und über DoppelPaymer, die Ransomware, und auch die Akteure die dahinter stecken, da ist sehr viel bekannt. Da werden wir auch einen Blogpost von CrowdStrike – full Discloser hier – in den Shownotes verlinken.

00:05:47-2 Christian Dietrich: Es lassen sich Spuren finden, die diese Akteure mit Aktivitäten in Verbindung bringen, die bis in das Jahr 2014 zurück reichen. Über diese Spuren ist es nach wie vor so, dass diese Akteure immer mit finanziell motivierten Cybercrime Aktionen in Verbindung gebracht wurden. Das heißt, wir haben es hier vermutlich mit einer Gruppe zu tun, die eben über viele Jahre hinweg finanziell motivierte Cybercrime Aktionen durchgeführt hat.

00:06:15-2 Lars Wallenborn: Ja, und hier ist es wahrscheinlich sogar noch ein bisschen komplizierter. Man kann bei Malware auch so von Familienstammbäumen reden, sowie bei Menschen oder bei Viren auch. Ich gehe da jetzt einfach mal ins Detail, auch wenn es ein bisschen verwirrend ist. Es gab ursprünglich eine Ransomware, die hieß BitPaymer.  Ja, das war halt auch eine Ransomware – das gleiche Geschäftsmodell, wie das, was wir gerade beschrieben haben. Und  die wurde betrieben von einem Akteur, von einer Gruppe, und es ist sehr plausibel, dass sich von dieser Gruppe eine Teilgruppe abgespalten hat, und Teile der BitPaymer Ransomware mitgenommen haben, und die ein bisschen verändert haben und dann die DoppelPaymer Ransomware daraus gemacht haben. Und diese Veränderungen, die sind schon sehr groß. Also die haben da was an der Verschlüsselung verändert und wie Dateien umbenannt werden auf der Festplatte, und so weiter. Aber es gibt halt im Code – wenn man die Malware analysiert, Reverse Engineering und so – dann kann man sehr große Überschneidungen zwischen den beiden Familien, zwischen der DoppelPaymer Ransomware und der BitPaymer Ransomware, feststellen. Und dann, in so einem Fall, redet man davon, dass diese beiden Malware-Familien verwandt sind. Jetzt in dem Fall ist die BitPaymer Ransomware quasi die Elternfamilie von der DoppelPaymer Ransomware.

00:07:29-8 Christian Dietrich: Jetzt ist die DoppelPaymer Ransomware-Familie ja schon ein paar mal eingesetzt worden – wissen wir etwas über die vorherigen Lösegeldforderungen, die da so gesehen wurden, Lars?

00:07:38-6 Lars Wallenborn: Ja genau. Das ist auch in dem Blogpost öffentlich dokumentiert. Also die haben in einigen Fällen…also es sind ein paar Fälle bekannt, unter anderem einer, wo bis zu 100 Bitcoin gefordert wurden. Die hatten damals einen Marktwert von 1,2 Millionen US Dollar. Und es gibt auch Fälle, wo weniger gefordert wurde, so zwei Bitcoin, das sind dann 25.000 Dollar. Und darauf kommen wir aber gleich noch mal zurück, warum diese Forderungen überhaupt so verschieden groß ausfallen können.

00:08:05-1 Christian Dietrich: Und das ist vielleicht ein erstes Indiz, dass wir es hier mit einer Form von organisierten Akteuren, organisierten Gruppen zu tun haben. Versuchen wir uns nochmal in die Lage zu versetzen: Also das UKD ist infiziert. Wir wissen jetzt, wie die Ransomware in das Universitätsklinikum kam, aber wir wissen noch nicht, wann denn eigentlich die initiale Infektion erfolgt ist. Also wann hat sozusagen der Akteur das erste Mal die Kontrolle über einen Rechner im UKD gehabt? Nach allem, was öffentlich bekannt ist, ist das über eine Schwachstelle im Citrix VPN Server passiert, eine recht bekannte Schwachstelle, weil sie eben sehr weit verbreitet war – die sogenannte ‚Shitrix‘ Schwachstelle. Der genaue Zeitpunkt ist unklar, allerdings wurde diese Schwachstelle im Dezember 2019 bekannt und wohl auch in der Zeit häufig für Infektionen genutzt. Das bedeutet jetzt, möglicherweise hatte der Akteur bereits neun Monate lang Zugriff auf die Zielumgebung, nämlich von Dezember 2019 bis September 2020, bevor die Monetarisierung in Form der Ransomware begann.

00:09:15-0 Lars Wallenborn: Da möchte ich noch ein bisschen mehr reinbohren und ins Detail gehen. Also du hast jetzt gesagt, der Akteur hatte schon so lange Zugriff. Das führt jetzt natürlich zu der philosophischen Debatte: Was ist ein Akteur? Was ist ein Angriff? Aber es könnte ja auch sein, dass das einfach jemand anders war. Und das sieht man im Cybercrime Bereich ja sehr häufig, so Arbeitsteilung einfach. Also es gibt da einmal Akteure, die scannen das Internet nach unsicheren Citrix VPN Servern. Und dann gibt es eine andere Gruppe, die exploiten dann diese Sicherheitslücken, die nutzen die dann aus, auf deutsch. Und dann haben die Zugriff auf solche Systeme und dann wird dieser Zugriff an andere Leute weitergegeben, also weiterverkauft natürlich – es geht hier meistens um Geld. Und die führen dann erst die Ransomware Operationen durch. Also eine Ransomware Operation, da hängt viel dran. Da muss man gucken wie man das Lösegeld nachher zu nutzbarem Geld umwandelt, also irgendwie wäscht. Dann muss man gucken, dass die Ransomware funktioniert und dass bei der Lösegeldverhandlung auch genug bei rum kommt. Und dass dann, wenn das Lösegeld bezahlt wurde, auch die Daten wieder da sind, und so weiter. Also das ist super viel Arbeit, deswegen ist es auch sehr verbreitet, dass da mehr als eine Gruppe dran beteiligt ist. Also eine schafft den Zugriff und eine andere Gruppe führt dann den eigentlichen Angriff aus.

00:10:25-7 Christian Dietrich: Und damit haben wir auf jeden Fall die drei definitorischen Merkmale von organisierter Kriminalität erfüllt. Die sind nämlich eben das planmäßige Begehen von Straftaten – das ist hier auf jeden Fall erfüllt, weil eben diese Gruppe mehrfach mit der gleichen Ransomware irgendwie aktiv geworden ist – und diese Straftaten müssen eben einzeln oder in ihrer Gesamtheit von erheblicher Bedeutung sein. Das ist, glaube ich, in Anbetracht der Lösegeldforderung auf jeden Fall erfüllt, oder auch der Schäden – wenn also so ein Krankenhaus so über zehn Tage lang still steht – und wenn eben mehr als zwei Beteiligte auf längere oder unbestimmte Dauer arbeitsteilig zusammen wirken. Und diese Arbeitsteilung hast du ja gerade nochmal so ein bisschen dargelegt.

00:11:05-9 Lars Wallenborn: So, jetzt haben wir sehr viel über das Geld geredet und den Schaden, der da verursacht wurde. Aber wir haben ja eigentlich angefangen mit der Patientin, die da nach Wuppertal umgeleitet werden musste, in eine andere Uniklinik. Weil das eigentlich Schlimme ist – und das führt uns jetzt zu unserem dritten Teil hier über – dass diese Patientin dann, in diesem Krankenhaus in Wuppertal gestorben ist. Das legt natürlich nahe, das werden wir gleich noch ein bisschen genauer diskutieren, dass diese Ransomware, die dafür gesorgt hat, dass die UKD keine Notaufnahme mehr zur Verfügung hatte, dafür gesorgt hat, dass die Patientin umgeleitet wurde. Das hat dann ein bisschen länger gedauert und dann ist sie gestorben. Also da besteht auf jeden Fall schon einmal ein zeitlicher Zusammenhang zwischen dem Ransomware Angriff und dem Tod von einem Menschen.

00:11:48-6 Christian Dietrich: Jetzt ist es ja so: Ein zeitlicher Zusammenhang bedeutet nicht unbedingt auch Kausalität. Ganz konkret die Frage der Kausalität wäre eben: Hat die Cyber Intrusion hier zum Todesfall geführt? Und das ist eine interessante Frage, die sich eben gar nicht so einfach beantworten lässt. Ich glaube, wenn wir hier mal versuchen, so ein bisschen die Perspektive der Ermittler einzunehmen, dann haben wir hier eine Möglichkeit Ermittlungstaktik anzuwenden im Umgang mit diesem Vorfall. Denn immer dann, wenn möglicherweise ein Tötungsdelikt vorliegt, haben wir sicherlich ganz andere Ermittlungsansätze. Also wir kennen das, man hat sehr viel mehr Personal zur Verfügung, ja, wir stellen so was wie Kommissionen zusammen und wir haben sicherlich auch technisch andere Ermittlungsansätze über Auskünfte. Und ich glaube, man könnte das an der Stelle möglicherweise auch nutzen, um das den Tätern – sofern man denn in irgendeiner Form mit diesen Akteuren da kommunizieren kann – zu vermitteln. Ja, also zu sagen: „Pass mal auf, hier rollt gerade eine riesen Ermittlung an, denn hier gibt es möglicherweise ein Tötungsdelikt, was in direktem Zusammenhang steht.“ Aber dafür muss man jetzt eben erst mal versuchen, diese Frage zu klären, ob es denn überhaupt eine Kausalität gibt.

00:12:54-9 Lars Wallenborn: Na ja, und die Staatsanwaltschaft in Wuppertal hat dann zumindest die Frage, ob man ein Verfahren starten sollte, mit ‚Ja‘ beantwortet, und hat dieses Ermittlungsverfahren dann irgendwie an die Staatsanwaltschaft in Köln weiter gegeben. Die haben da so eine zentrale Anlaufstelle für Cyber Kriminalität und die haben dieses Verfahren dann übernommen. Und aus Sicht des Verbrechers ist das natürlich, wenn die das dann gesagt bekommen, oder irgendwie sonst mitbekommen über Zeitungen oder so, ist das natürlich katastrophal. Also einfach gesagt, wenn ich Krimineller bin, dann will ich nicht in der Zeitung stehen. Wenn ich in der Zeitung stehe, dann werde ich schneller gefasst. Da würde ich jetzt gerne noch auf eine Kleinigkeit eingehen. Nämlich, es gibt andere Ransomware Operationen, die stehen in der Zeitung. Da geben sogar die Leute, die dahinter stehen, Interviews, natürlich anonyme und so. Bei denen ist aber das, ich sage mal, das Geschäftsmodell ein ganz anderes. Also da kommt mir zum Beispiel die REvil Ransomware in den Kopf, das ist eine Ransomware, die wird seit 2019 betrieben. Und das ist nicht nur eine Ransomware, sondern etwas, das nennt man in Fachkreisen auch Ransomware as a service. Und die bieten die Dienstleistung an für andere Kriminelle, den schweren Teil von Ransomware für die zu übernehmen. Und in so einem Fall will man natürlich in der Öffentlichkeit stehen, damit man Kunden hat. Und die Kunden sind zwar jetzt auch Kriminelle, aber die  – ja, ich weiß gar nicht worauf die alles so achten –  aber ich denke mal so Street Crab gehört irgendwie dazu, und wenn da jemand große Interviews gibt, und damit prahlt, wie fähig sie sind und so, dann ist das wahrscheinlich gut fürs Geschäft.

00:14:26-5 Christian Dietrich: Das heißt, wir können hier so zwei Ransomware Familien und die dahinter liegenden Akteure mal so ein bisschen kontrastieren. Wir haben also auf der einen Seite DoppelPaymer, die eher nicht unbedingt in den Fokus der Öffentlichkeit geraten wollen, und auf der anderen Seite haben wir so was wie REvil, was du eben erwähnt hast. Also wo ein Akteur, der ein anderes Geschäftsmodell fährt, nämlich Ransomware as a service, durchaus nichts dagegen hat wenn er öffentlich irgendwie beschrieben wird, weil er sich davon verspricht, seine Marke zu etablieren.

00:14:53-8 Lars Wallenborn: Führt jetzt auch zu einer guten Frage, Chris: Wenn ich so eine Ransomware, wenn ich da irgendwie Geld bezahle, wie kann ich dann überhaupt sicher sein, dass ich auch den Schlüssel bekomme?

00:15:03-0 Christian Dietrich: Ja, ganz einfach. Kann man nicht. Man kann sich nicht sicher sein. Also es gibt überhaupt keine Garantie, dass man den Schlüssel bekommt, nachdem man das Lösegeld gezahlt hat. Und in der Folge wird natürlich auch häufig dazu geraten, eben natürlich nicht das Lösegeld zu zahlen.

00:15:16-6 Lars Wallenborn: Na ja, aber wenn ich das Lösegeld nicht bezahle, dann kriege ich meine Daten nicht wieder. Das ist eventuell katastrophal für meine Firma. Und deswegen müssen sich solche Akteure, die mit Ransomware ihr Geld verdienen, trotzdem so eine Art Ruf erarbeiten, in dem halt schon klar ist, dass man zumindest manchmal den Schlüssel wieder bekommt. Eigentlich sollte der Ruf natürlich sein, man kriegt den Schlüssel immer wieder. Aber eine Ransomware, wo man nie den Schlüssel bekommt, wenn man bezahlt, da werden da nicht nur Idealisten sagen: „Bezahlt die nicht.“, sondern da wird das jeder sagen. Weil man kriegt den Schlüssel eh nicht. Aber was ist hier passiert?

00:15:48-7 Christian Dietrich: Ja, und jetzt hier in dem Fall des UKD ist was völlig unerwartetes passiert, der Akteur hat nämlich den Schlüssel tatsächlich freiwillig heraus gegeben. Vielleicht der Vollständigkeit halber: Wir haben eben ein Ermittlungsverfahren erwähnt. Die Staatsanwaltschaft Köln hat eben keine Kausalität festgestellt zwischenzeitlich. Da fand also eine Obduktion statt. Und deswegen wurde das Verfahren zur fahrlässigen Tötung gegen Unbekannt nach etwa zwei Monaten, glaube ich, eingestellt. Und damit können wir eben vielleicht auch unsere initial gestellte Frage, nämlich genau die Frage nach der Kausalität, hier beantworten: Es ist also nicht so, dass hier diese Cyber Intrusion, ja, dieser Ransomware Angriff, in direktem Zusammenhang, in direkter Folge, diesen Todesfall zu verantworten hätte. Aber vielleicht zurück zu der Ransomware, Lars, wie viel verdienen denn die Akteure hinter solchen Ransomware Operationen denn?

00:16:42-4 Lars Wallenborn: Na ja, also in diesem Fall haben sie gar nichts verdient. Sie haben den Schlüssel ja einfach rausgegeben. Aber allgemein? Natürlich, da wird viel Geld gemacht. Und ich glaube, du hattest dir ein paar Beispiele rausgesucht.

00:16:51-8 Christian Dietrich: Und damit kommen wir in den vierten Teil dieser Folge, wo es um Lösegeld, Lösegeldverhandlungen und vielleicht auch Desinfektion gehen soll. Also es gibt so bestätigte Größenordnungen, zum Beispiel von etwa 300.000 US Dollar Lösegeld, die eine Stadtverwaltung in den USA Mitte 2020 tatsächlich auch gezahlt hat. Das heißt, jetzt könnte man sagen, Stadtverwaltung, öffentlicher Dienst –  Universitätsklinik ist vielleicht auch irgendwie öffentlicher Dienst – ja, das wäre vielleicht in irgendeiner Form vergleichbar. Natürlich schauen sich solche Akteure auch ein Stück weit um. Es gibt einen anderen Fall, das ist ein deutscher Mittelständler, der so im Metallgewerbe unterwegs ist, also ein Unternehmen. Die haben 1,27 Millionen US Dollar an Lösegeld tatsächlich bezahlt. Als weitere interessante Quelle gibt es hier ein Beratungsunternehmen – ein deutsches Beratungsunternehmen, das maßgeblich in Deutschland solche Betroffenen auch berät – da war die Aussage, dass im Jahr 2020, knapp zwanzig Verhandlungen zu Lösegeldern geführt wurden. In sechs Fällen wurde Geld gezahlt, und insgesamt belief sich die Summe auf etwa sechs Millionen Euro. Das ist jetzt mal eben eine Zahl, nur auf Deutschland bezogen, und gibt einem schon tatsächlich mal so ein bisschen ein Gefühl für die Größenordnung. Jetzt haben wir aber in jüngerer Vergangenheit auch extreme Einzelfälle erlebt, wo eben Lösegeldforderungen bis zu 10 Millionen US Dollar, in einem Fall – das ist ein taiwanischer Technologie Konzern – sogar bis zu 50 Millionen US Dollar gefordert wurden.

00:18:22-7 Lars Wallenborn: Also man kann sehen, diese Lösegeldforderungen, die decken eine riesen Spanne ab. Das fängt bei 25.000 Euro an – wahrscheinlich sogar noch weniger in noch ärmeren Ländern – und hört bei vielstelligen Millionenbeträgen irgendwo aktuell auf. Und wird wahrscheinlich auch weiter steigen. Das ist jetzt meine Einschätzung. Aber, da habe ich gerade schon was angedeutet: Ich denke, dass es für die Leute die das betreiben, eine riesen Rolle spielt, wen sie da getroffen haben, um zu entscheiden, wie viel sie dann auch überhaupt fordern.

00:18:48-6 Christian Dietrich: In dem Moment, wo man so eine Umgebung infiltriert hat als Akteur, kann man sich natürlich auch prima umschauen. Das heißt, solche Akteure können natürlich durchaus zunächst mal Informationen über die Zielumgebung sammeln und abgreifen und exfiltrieren, also raus ziehen, um sich eben genau diesen Überblick zu verschaffen. Sie können diese Informationen möglicherweise eben auch zurück halten, also Kopien davon ablegen, um vielleicht diese später zu veräußern, und so weiter. Das heißt, man ist jetzt nicht unbedingt nur in so einem ganz engen Handlungskorridor in so einem Ransomware Vorfall.

00:19:24-2 Lars Wallenborn: Das heißt also, die Leute, die diese Ransomware Operation betreiben, die können dann die Lösegeldverhandlungen auch wirklich auf ihre Ziele zuschneiden. Und diese Lösegeldverhandlungen, ich meine, wie funktioniert das dann? Das hängt von der Malware ab. Also es gibt dann entweder halt eine E-Mail Adresse, wo man Kontakt aufnehmen kann oder manchmal auch so Live Chats, die dann im Internet gehostet sind – natürlich anonym – und so weiter. Und dann muss halt jemand in der betroffenen Organisation, in dem Fall jetzt der von dem Krankenhaus, mit den Kriminellen in Verbindung treten, und diese Verhandlungen führen. Und das ist eigentlich so ein eigener Beruf. So ein bisschen wie so Verhandlungsführer bei der Polizei, in so Geiselnahme Situationen – die kennt man ja aus irgendwelchen Filmen oder so.

00:20:07-6 Christian Dietrich: Wenn wir uns jetzt noch mal in die Rolle des UKD versetzen, dann können wir uns mal fragen: Wie geht man als Verantwortlicher eigentlich damit um, wenn man jetzt den Schlüssel bekommen hat? Also wir haben ja gelernt: Der Schlüssel wurde heraus gegeben. Aber traut man den infizierten Systemen eigentlich noch? Also selbst nach der Entschlüsselung. Die Systeme sind ja eventuell eben weiterhin kompromittiert. Das halte ich für eine sehr interessante und total schwierige Frage. Es gibt hier eine gewisse Ähnlichkeit zu Backup und Restore Prozeduren. Solange man das Restore nicht getestet hat, weiß man nicht, ob einem das Backup überhaupt irgendetwas bringt. Und in dem Fall eines Ransomware Angriffs, wie hier im UKD, da hat man eben keine Systeme, an denen man ausprobieren könnte. Man hat zwar den Schlüssel und möglicherweise eine Software zum Entschlüsseln bekommen, aber von den 30 verschlüsselten Servern – welchen nehme ich denn dann, um auszuprobieren ob das funktioniert? Man will ja eben nicht riskieren, dass man im Versuch der Entschlüsselung die Daten unwiederbringlich löscht.

00:21:07-4 Lars Wallenborn: Und abgesehen davon was man macht, wenn man den Schlüssel bekommt, nämlich dann bekommt man meistens irgendwie eine weitere Software, wo man den Schlüssel dann eintragen muss. Und dann werden die Daten hoffentlich entschlüsselt, wenn alles ideal läuft, wie du gerade gesagt hast, Chris. Aber es stellt sich auch noch die Frage: Was mache ich, wenn ich den Schlüssel nicht bekomme?  Entweder weil ich nicht zahlen will oder weil ich nicht zahlen kann oder weil ich aus…

00:21:29-3 Christian Dietrich: …weil der Akteur verstummt ist.

00:21:30-9 Lars Wallenborn: …weil der Akteur verstummt ist, weil es juristisch nicht – wissen wir nicht  – gestattet ist zu bezahlen, oder all solche Sachen irgendwie. Das möchte ich jetzt einfach so ein bisschen aus beruflichen Gründen erwähnen. Also in solchen Fällen nutzt es manchmal,  die Ransomware genau zu analysieren und auch die kryptographischen Algorithmen darin zu analysieren. Weil manchmal sind da Implementierungsfehler drin. Also dann wurde der Algorithmus falsch verwendet, oder es wurde ein falscher Algorithmus verwendet. Und da gibt es auch ein paar Fälle, in denen es dann möglich war, die verschlüsselten Daten zu entschlüsseln, ohne dass der Akteur den Schlüssel rausgegeben hat. Und da gehe ich jetzt auch einfach mal ganz nerdy ins Detail: Zum Verschlüsseln der Daten werden ganz viele Zufallszahlen benötigt. Und Zufallszahlen sind auf Computern sehr schwer zu kriegen. Und deswegen nimmt man ein bisschen echten Zufall, und macht daraus noch ganz viel mehr Zufall. Und wenn man nicht genug echten Zufall nimmt am Anfang, dann kommen eventuell nachher Zufallszahlen raus, die man doch vorhersagen kann. Und in solchen Situationen – ich meine, die kann man dann als Reverse Engineer, wenn man da viel Zeit drin versenkt, kann man solche Situationen erkennen. Und dann eventuell Opfern helfen, die Daten wieder zu bekommen, ohne dass sie die Schlüssel haben. Es gab auch noch andere Fälle. NotPetya zum Beispiel, da wurde ein Algorithmus, der eigentlich sicher ist, auf eine falsche Art und Weise kompiliert, also in Maschinen Code übersetzt, und dann war es auch möglich, den Algorithmus zu brechen. Da werden wir auch was in die Shownotes packen. Und ja, manchmal ist es so, dass der Schlüssel, der eigentlich an den Akteur geschickt wird, damit der den wieder für Geld rausgeben kann, dass der gar nicht richtig gelöscht wurde vom infizierten System. Und das macht man dann also manchmal so mit forensischen Mitteln, dass man dann versucht diesen Schlüssel zu rekonstruieren – auch ohne dass man Ransomware bezahlt. Das heißt also, wenn man Opfer geworden ist, dann besteht manchmal die Chance, dass man nicht bezahlen muss. Bei DoppelPaymer ist das allerdings nicht so, dass ist sicher.

00:23:26-3 Christian Dietrich: Das bringt uns zum Fazit und zum Abschluss dieser Folge. Lars, was ist denn dein Fazit?

00:23:33-3 Lars Wallenborn: Also ich würde sagen, das hier wäre fast ein Fall gewesen, wo eine Cyberwaffe – sage ich jetzt mal ganz dramatisch – auf einen Menschen gerichtet wurde, und das hat natürlich immer Sensationspotenzial. Das ist natürlich Katastrophenjournalismus und so, aber das ist hier passiert. In diesem Fall hat sich aber herausgestellt, dass es sich nicht um so einen Fall gehandelt hat, wo eine Cyberwaffe einen Menschen getötet hat. Einen zweiten, von drei Punkten, den ich noch gerne erwähnen würde, ist, dass ich glaube, dass Ransomware weiterhin eine sehr teure Bedrohung bleibt. In dem Fall glücklicherweise nicht Menschenleben-teuer, aber Geld wird, das glaube ich, es auch noch sehr viel kosten. Und der dritte Punkt, den ich gerne jetzt sagen würde, ist, dass Backups, richtig gut funktionierende Backups, die würden auch helfen. Und die helfen nicht nur gegen Ransomware, die helfen gegen Datenverlust allgemein, wenn es brennt, oder man versehentlich auf Löschen drückt, und so weiter. Also ich sehe das ein bisschen so, wenn man das Lösegeld nicht bezahlen will, dann muss man vorher für gute Backups bezahlen. Und diese Backups müssen dann auch so gut sein, dass man die wieder herstellen kann, ohne dass dadurch Kosten entstehen, die fast so hoch sind wie das Lösegeld. Also macht Backups Leute!

00:24:44-5 Christian Dietrich: Ich schließe da an der Stelle vielleicht direkt mal an. Jetzt gibt es ja Leute, die Versicherungen gegen Ransomware Angriffe abschließen. Und das finde ich auch einen sehr schwierigen Punkt. Denn eins muss einem klar sein, eine Versicherung gegen Ransomware Angriffe, die katalysiert solche Ransomware Cybercrime Vorfälle. Denn letztlich bezahlt nur jemand anders für mich.  Und ich könnte stattdessen auch einfach versuchen, funktionierende Backups und Restore Prozeduren zu etablieren, und könnte das Problem dann vielleicht auf eine andere Art und Weise versuchen in den Griff zu bekommen. Ich glaube, wenn wir uns so ein bisschen einen Ausblick  trauen, oder vielleicht so ein bisschen den Blick schweifen lassen über andere ähnliche Vorfälle, dann ist das definitiv kein Einzelfall. Also wir haben kürzlich in Südwest Frankreich einen Fall gehabt, wo ein Krankenhaus mit Ransomware wieder angegriffen wurde, wir haben mehrere US Krankenhäuser im Herbst 2020 gehabt, die betroffen waren, also bis zu sechs. Das heißt, das ist definitiv kein Einzelfall, auch wenn so ein Moratorium herumgeistert, dass Ransomware Akteure angeblich Krankenhäuser aussparen würden. Wenn wir versuchen, ein bisschen was Positives hier dem Fall abzugewinnen, dann ist es ja eben kein Beleg für einen Todesfall, der durch eine Ransomware verursacht wurde. Und das zweite: Man hat als Verteidiger auf jeden Fall eine Chance. Denn auch hier hat es eben wieder eine schlummernde Infektion gegeben – oder höchstwahrscheinlich. Wenn wir uns also noch mal vergewissern, was zwischen Dezember 2019, also vermutlich der späteste Zeitpunkt der initialen Infektion und September 2020, als so etwa neun Monate vergangen waren, bis der Ransomware Angriff zugeschlagen hat. In diesem Sinne, wir hoffen euch hat diese Folge gefallen und würden uns freuen, wenn ihr beim nächsten Mal wieder einschaltet.

00:26:30-6 Lars Wallenborn: Genau…und wenn ihr Backups macht.

00:26:32-9 Christian Dietrich: Bis dann!

#2 Hat-tribution: Attribution von Cyber-Spionen

In dieser Folge beleuchten wir das Thema “Attribution”. Einfach gesagt wollen wir herausfinden, wer einen Cyberangriff ausgeführt hat oder dafür verantwortlich war. Den Vorgang der Attribution werden wir in dieser Folge an dem in Fachkreisen bekannten Beispiel der “Hat-Tribution” konkretisieren.

Shownotes

Transkript anzeigen…

00:00:36-7 Christian Dietrich: Hallo, liebe Cyberfreunde. Mein Name ist Chris, ich bin Professor an der westfälischen Hochschule für Informatik und IT-Sicherheit…

00:00:38-2 Lars Wallenborn: … und ich bin Lars, und ich arbeite für CrowdStrike als Software Entwickler und als Reverse Engineer. Chris, lass uns heute mal über Attribution sprechen, über Attribution auf deutsch.

00:00:49-2 Christian Dietrich: Ja, schauen wir uns einen der ersten Fälle, also nicht unbedingt den ersten Fall, aber einen der frühen ersten Fälle an, in denen Cyberangriffe öffentlich attributiert wurden. Und dazu machen wir eine Zeitreise, und zwar ins Jahr 2007. War da eigentlich Angela Merkel schon Bundeskanzlerin?

00:01:07-7 Lars Wallenborn: Ja. Ich habe vor allem in meiner Recherche, was im Jahr 2007 war, herausgefunden, dass DJ Ötzi in den Charts war, mit „Ein Stern, der deinen Namen trägt“.

00:01:19-1 Christian Dietrich: Ja, okay. Das reicht dann vielleicht auch, um uns in die Zeit zurück zu versetzen. Aber auf jeden Fall gab es zu der Zeit eine Hackergruppe, die aktiv war und die in signifikantem Maße Cyber-Einbrüche verursacht hat. Und das ist so ein bisschen der Aufhänger. Wir wollen uns diesen Fall heute ein bisschen genauer anschauen.

00:01:38-8 Lars Wallenborn: Und um nicht immer den sperrigen Ausdruck und auch irgendwie diesen urteilenden Ausdruck Hackergruppe zu verwenden, werden wir wahrscheinlich jetzt in dieser Folge immer vom Akteur sprechen. Also das hat nichts mit Theater zu tun, sondern das meinen wir jetzt als neutralen Ausdruck, um eine Gruppe von Cyber-Kriminellen oder Spionen zu bezeichnen. Was hat denn diese Gruppe Großes gemacht, Chris?

00:02:02-2 Christian Dietrich: Ja die hat ab 2007 – möglicherweise auch schon davor, aber da findet man nicht wirklich Belege für – im großen Stil Unternehmen und Institutionen im Luft- und Raumfahrtsektor angegriffen. Das auch erfolgreich, und hat so alle möglichen Erkenntnisse zu Satellitentechnik, Kommunikationstechnik abgegriffen. Und das eben gegen Ziele sowohl in den USA, in Europa, als auch in Japan.

00:02:26-6 Lars Wallenborn: Also waren auf der ganzen Welt aktiv.

00:02:29-1 Christian Dietrich: Genau. Und das eben über viele Jahre hinweg. Also mindestens sieben Jahre. Also auch wirklich eine ganze Zeit, und dann auch regelmäßig in der Zeit. Mindestens ein Vollzeitjob, und zwar für mindestens eine Person, wahrscheinlich sogar für mehrere.

00:02:41-2 Lars Wallenborn: Und ich würde mal für diese Folge vorschlagen, dass wir da die Analysten-Perspektive einnehmen. Also nicht aus Sicht des Angreifers herangehen, sondern wir tun jetzt so, als wären wir ein Cyber Threat Intelligence Analyst. Dafür spulen wir, glaube ich, am besten ein bisschen vor in der Zeit, da am besten, als es wirklich passiert ist, diese Analyse: Ins Jahr 2014.

00:03:02-3 Christian Dietrich: Genau.

00:03:02-3 Lars Wallenborn: Und wir wollen uns jetzt diese Aktivität angucken –  was das heißt, das machen wir gleich ein bisschen konkreter – und sie attributieren. Aber vielleicht wollen wir vorher noch darüber reden, warum?

00:03:12-0 Christian Dietrich: Ja, vielleicht hängen wir uns an diesem Begriff Attribution mal kurz auf. Attribution ist im Prinzip das, wenn man es jetzt mal vergleichen würde mit einer strafrechtlichen Ermittlung – ja, also das kennt man irgendwie, Polizei, Staatsanwaltschaften machen das, damit ist man vielleicht ein bisschen vertrauter. Und wenn das so im Spionagekontext angewendet wird, dann spricht man eben von Attribution. Ja, die Frage ist halt, warum will man überhaupt attributieren?

00:03:38-1 Lars Wallenborn: Ich denke, das hängt halt sehr davon ab, wer du bist. Es gibt glaube ich, einen ganzen Haufen von Gründen, warum man attributieren will. Aber ich glaube, gerade zum Beispiel für Staaten oder für große Unternehmen sind die Gründe eher verschieden. Also ich würde sagen, als ein großes Unternehmen – das ist dieser typische neue Enemy Standpunkt – dass man sagt, man will wissen, wer es auf einen abgesehen hat, damit man sich gegen den konkret besser verteidigen kann. Weil man sich nicht immer gegen alles verteidigen kann.

00:04:04-0 Christian Dietrich: Damit hängt auch vielleicht so ein bisschen zusammen, dass es sich bei diesen Akteuren, die sich gegen solche Unternehmen, solche großen Unternehmen richten, um sogenannte Advanced Persistent Threats handelt. Also quasi Akteure, die es nicht nur einmal probieren und dann aufgeben, sondern die es halt immer, und immer wieder probieren.

00:04:20-6 Lars Wallenborn: So richtig schön persistent.

00:04:22-2 Christian Dietrich: Ja genau. Mindestens so über diese sieben Jahre beispielsweise. Und das heißt, wenn ich einmal in die Arbeit investiert habe, und versucht habe zu verstehen wer das ist, dann kann ich vielleicht künftige Angriffsversuche besser abwenden. Wenn man sich jetzt vielleicht mal die Perspektive eines Staats anschaut, dann will man natürlich vielleicht so was erreichen wie tatsächlich Strafverfolgung. Also in dem Moment, wo  ich versuche herauszubekommen, oder tatsächlich herausbekomme, wer denn der Verursacher, der Täter einer bestimmten Aktion war, kann ich natürlich versuchen, den auch strafrechtlich zu belangen. Ein anderer Grund wäre vielleicht das Thema Abschreckung. Das heißt also, wenn ich irgendwie aufzeige, dass ich attributieren kann –  als Staat – dann überlegen sich das potenzielle zukünftige Täter vielleicht zweimal, ob sie denn tatsächlich so etwas durchführen. Ob das funktioniert oder nicht, können wir vielleicht erst einmal dahin gestellt lassen.

00:05:09-0 Lars Wallenborn: Ja, dazu habe ich gerade noch zwei Gedanken: Das erste was du sagst, mit der Strafverfolgung, also das stimmt natürlich. Aber gerade natürlich im Spionagekontext ist das mit der Strafverfolgung ein bisschen schwierig. Ich meine, der Spion, der da einen anderen Staat hackt, und da in gewisser Weise kriminelle Aktivitäten begeht, wird ja in seinem Staat dafür gar nicht verfolgt oder macht da was Falsches, sondern der macht da nur seinen Job. Und das mit der Abschreckung – ja, das stimmt. Also wenn man weiß, wer es ist, dann muss sich der Angreifer das zweimal überlegen. Oder auch anders formuliert, muss er mehr Arbeit betreiben, wenn er nicht direkt erkannt werden möchte – wenn das wichtig ist für den Akteur.

00:05:43-0 Christian Dietrich: Ja, und weil wir das Ganze so ein bisschen aus Analysten-Perspektive beleuchten wollen, stellen wir uns das Ganze jetzt mal so vor, dass wir – wie in diesen ganzen Kriminalfilmen üblich – wir haben also irgendwie diese Pinnwand. Diese Pinnwand, wo man irgendwie  Dinge mit so einem Pin dran heftet, und dann diesen roten Faden von Pin zu Pin zieht.

00:06:00-8 Lars Wallenborn: Ja, oder halt so ein ganzes Spinnennetz an Fäden hat, die dann in der Mitte zusammen laufen oder außen zusammen laufen oder so.

00:06:07-6 Christian Dietrich: Ja, jetzt fangen wir gerade aber mit der Analyse erst an, deswegen ist unsere Pinnwand natürlich leer.

00:06:11-7 Lars Wallenborn: Deswegen nehmen wir ein Post-it, machen ein Fragezeichen drauf und kleben es in die Mitte. Okay?

00:06:17-1 Christian Dietrich: Ja. Sehr gut. Okay, jetzt ist die Frage, in diesem Vorfall – diese Gruppe, die wir gerade angesprochen haben, Lars –  hat man da attributiert?

00:06:24-0 Lars Wallenborn: Ja. Das hat man gemacht. Und auch meiner Meinung nach sehr erfolgreich. Ich würde eigentlich mich sogar hinreißen lassen zu sagen, das geht inzwischen auch gar nicht mehr so erfolgreich. Weil alle sich mehr Mühe geben. Also da sind schon ganz viele Sachen zusammen gekommen, dass das so gut geklappt hat. Und wie funktioniert das überhaupt? Das würde ich vielleicht auch vergleichen mit so einem klassischen Verbrechen. Man hat einen Tatort, nur der Tatort ist jetzt halt das Internet oder der Cyberspace. Und an diesem Tatort hofft man, dass der Angreifer – oder hier der Akteur – Spuren hinterlässt, an denen man ihn irgendwie finden kann. Also erst mal feststellen kann, dass er da war und vielleicht auch wer er war.

00:06:59-9 Christian Dietrich: Wir reden jetzt halt nicht über Haare oder Fußabdrücke oder Fingerabdrücke, sondern natürlich über digitale Spuren. Und die können zum Beispiel so aussehen, dass irgendwie eine Art Schadsoftware verwendet wurde. Also erst mal die Tatsache, dass die Schadsoftware verwendet wurde, und dass diese Schadsoftware auch irgendwelche Begleitumstände erfordert. So was wie Domains, IP-Adressen, Server oder ähnliches, weil diese Schadsoftware ferngesteuert werden möchte. Also der Angreifer, der Akteur, möchte aus der Ferne bestimmte Aktionen in der Zielumgebung, in die er irgendwie eingedrungen ist, durchführen. Und dafür braucht er eben Schadsoftware. Und diese Schadsoftware hat dann nochmal so Begleitumstände oder Infrastruktur würde man vielleicht sagen, IT-Infrastruktur.

00:07:40-7 Lars Wallenborn: Schadsoftware ist hier jetzt übrigens synonym für Malware, den Begriff den man im Deutschen manchmal auch einsetzt, aber halt nicht immer. Aber Schadsoftware ist auf jeden Fall auch ein sehr schöner deutscher Begriff. Schön lang, zusammengesetzt – ich mag den.

00:07:51-8 Christian Dietrich: Ja und überall hinterlassen diese Akteure also virtuelle, charakteristische Spuren. Das heißt man muss sich vorstellen,  Spuren gibt es halt wie Sand am Meer, und der Schwerpunkt sollte hier vielleicht auf den charakteristischen Spuren liegen. Ja, was ist eine charakteristische Spur? Wie kann man sich das vorstellen? Da gibt es vielleicht eine Metapher: Und zwar kann man sich vorstellen, dass es durchaus möglich ist, das perfekte Verbrechen zu planen. Und möglicherweise auch das perfekte Verbrechen – wenn es denn genau nach Plan läuft – auch durchzuführen. Also wir stellen uns vor, es gibt den perfekten Bankraub. Also man plant alles bis ins Detail, und dann klappt dieser Plan und man kommt vielleicht als Täter auch davon.

00:08:34-7 Lars Wallenborn: Aber wie wir in der letzten Folge schon festgestellt haben, lohnt ja ein einzelner Bankraub mal so überhaupt nicht.

00:08:41-5 Christian Dietrich: Ja richtig. Und jetzt merkt man vielleicht als Akteur… man geht so in sich, auf seiner neuen Yacht, irgendwo – keine Ahnung – am Schwarzen Meer und überlegt sich: „Das lief ja ganz gut. Das will ich nochmal machen.“ Und dann macht man das ein zweites Mal, macht es ein drittes Mal, macht es ein viertes Mal und irgendwann wird man wahrscheinlich anfangen, charakteristische Spuren zu hinterlassen. Auch wenn man die vielleicht jedes Mal wieder sehr gut plant, diese Wiederholungstaten, dann wird man vielleicht unweigerlich bestimmte Muster erzeugen. Das heißt, bestimmte Dinge wird man auf gleiche Art und Weise erledigen. Also man wird vielleicht, was weiß ich, die gleiche Waffe verwenden, ja, so in der klassischen Kriminologie, und das sehen wir im Cyberspace halt auch.

00:09:26-9 Lars Wallenborn: Und es fängt bei so einfachen Sachen an, wie dass man die gleiche Schadsoftware einfach noch mal verwendet. Man hat da was programmiert, das verwendet man nochmal und dann erkennt man es wieder. Oder dass man, wenn man einen Server gemietet hat, man den gleichen Server einfach noch mal verwendet. Oder man nimmt einen anderen Server, aber aus irgendwelchen Gründen verwendet man eine Domain noch mal oder eine Adresse irgendwie noch mal. Oder selbst wenn man das Ganze einen Level weiter geht, und man ist super ordentlich und bei jedem Einbruch schreibt man seine Software komplett neu, selbst dann ist man halt letztendlich ein Mensch, der da an der Tastatur sitzt und seine Angewohnheiten hat. Und als Analyst versucht man diese Angewohnheiten zu identifizieren und wieder zu erkennen, in dem großen Heuhaufen von Spuren, der da im Internet ist. Dann ist die Hoffnung, dass der Akteur irgendwann auch noch so einen richtigen Fehler macht, dass man nicht nur in diesem Haufen an Spuren bestimmte Gruppen oder Cluster erkennen kann, sondern dass man dann so einem Cluster – weil ja ein Mensch hinter diesem Keyboard einen Fehler gemacht hat – diesem Cluster auch eine Person oder eine Gruppierung oder eine Institution zuordnen kann. Das wäre halt oder das ist die Königsklasse der Attribution, würde ich sagen.

00:10:41-6 Christian Dietrich: Das heißt also, der Bankräuber, der diesen perfekten Bankraub macht, der wird irgendwann leichtsinnig, weil es vielleicht zwei-, drei-, viermal geklappt hat, und dann fängt er halt an, Fehler zu machen. Und darauf wartet man als Analyst eben einfach nur. Vielleicht können wir, wenn wir die Attributionsmethodik mal genauer betrachten – also was macht man denn methodisch da eigentlich als Analyst, wenn man attributieren möchte? – in zwei Teile teilen. Nämlich einmal den technischen Teil, wo wir uns eher technische Aspekte anschauen und vielleicht dann auch noch mal so ein bisschen nicht-technische Aspekte. Lass uns doch mit den technischen mal anfangen. Du hast schon von charakteristischer Malware gesprochen. Wenn wir charakteristische Malware betrachten, dann ist das unheimlich schwer, das genau zu definieren. Was ist denn eine charakteristische Malware-Familie? Das sieht man auch in der Literatur, also immer dann, wenn von Malware-Familien gesprochen wird, ist es total schwer, das genau zu definieren. Und ich glaube das liegt daran, dass hier maßgeblich tatsächlich die Erfahrung eines Analysten ins Spiel kommt. Man kann das vielleicht so ein bisschen vergleichen mit – wie heißen diese Personen, in der klassischen Forensik? Die Blutspritzer-Analysten?

00:11:48-2 Lars Wallenborn: So wie Dexter in dieser Serie, BPA auf englisch.

00:11:52-1 Christian Dietrich: Genau. Und für uns sind das vielleicht nur ein paar Spritzer Blut an der Wand, aber der Spezialist, der kann daraus halt rekonstruieren, aus welcher Richtung wurde mit welchem Gegenstand vielleicht gestochen oder wie auch immer.

00:12:05-7 Lars Wallenborn: Bei Malware, würde ich sagen, ist das auch so. Das hängt sehr stark von der Erfahrung des Analysten ab, zu sagen: „Ja, das ist das Gleiche oder das ist was anderes.“ Und ich würde auch sagen, dass es sehr stark vom Fall abhängt. Manchmal sagt man, das ist die gleiche Familie, weil man vermutet, die wurde aus dem gleichen Quellcode kompiliert, wie man sagt – das werde ich gleich noch mal ein bisschen genauer erklären. Und manchmal reicht es auch nur, wenn man gewisse charakteristische Eigenschaften von so einer Malware sieht, die wiederkommen in einer anderen. Und dann würde man das auch der gleichen Familie zuordnen. Und das hat sehr viel mit Erfahrung zu tun, würde ich sagen.

00:12:38-1 Christian Dietrich: Man kann vielleicht ein paar Dinge auch fest definieren, von diesen Eigenschaften die du angesprochen hast. Und zwar so was wie welches Steuerprotokoll, welches Command and Control Protokoll spricht eine Malware. Das ist ja zum Beispiel auch häufig etwas was sich Akteure überlegen, wenn sie selber Malware schreiben. Das heißt, wie unterhält sich diese Malware mit einem Server, wenn sie ferngesteuert wird. Und Ähnlichkeiten in diesem Command and Control Protokoll sind zum Beispiel eine Eigenschaft, die man technisch auch tatsächlich irgendwie greifen kann.

00:13:07-7 Lars Wallenborn: So, und hier in dem Fall von diesem Akteur, hat man halt die gleiche Malware. Also man hat gesagt, man hat hier mehrere Beispiele von einer Malware und die wurde analysiert. Und dann hat man gesagt, die gehören jetzt zu einer Familie. Das heißt, in gewisser Weise hat man den gleichen Malware-Strang oder die gleiche Malware-Familie überall gesehen in diesem Einbruch. Und dann konnte man sich halt all diese Dateien, diese einzelnen Malware-Dateien angucken und aus denen dann wieder Spuren extrahieren. In dem Fall hat man da…ich hatte gerade schon angedeutet, es gibt den Vorgang des Kompilierens. Das machen nicht nur Hacker, sondern auch normale Programmierer. Wenn man Quellcode schreibt, dann wird der nicht einfach so auf dem Computer ausgeführt, sondern man muss den erst in eine Sprache übersetzen, die der Computer gut verstehen kann. Und diesen Vorgang nennt man kompilieren. Und das Programm das kompiliert, nennt man auch Compiler. Und diese Compiler, die hinterlassen selber auch wieder Spuren. Und eine Spur, die sehr häufig verwendet wird in der Analyse, ist der Zeitpunkt, an dem das Programm kompiliert wurde. Also Datum, Uhrzeit, als der Benutzer oder Programmierer, oder hier in dem Fall der Akteur, auf den Erstellen-Knopf in seiner Entwicklungsumgebung gedrückt hat.

00:14:15-8 Christian Dietrich: Genau. Also das ist quasi ein Artefakt. Also der Akteur hat nichts aktiv dafür tun müssen, dass es da reinkommt, sondern es passiert automatisch bei einigen Compilern – sagen wir mal, bei üblichen Compilern – in dem Moment, wo sie eben ihre Arbeit tun und die Malware in eine Form übersetzen, wie der Computer sie ausführen kann. Und wenn man jetzt eine ganze Menge an Schadsoftware-Samples, an Malware Samples aggregieren kann, die also alle diesem Akteur zuzurechnen sind, dann kann man auch da versuchen, da Muster zu erkennen. Zum Beispiel so was wie: Zu welchen Tageszeiten wurden denn Malware Samples kompiliert und zu welchen Tageszeiten nicht? Ja, weil da kann ich aus so einer Gesamtheit vielleicht herausrechnen, zu welchen Zeiten der Akteur eben wach war oder gearbeitet hat, also kompiliert hat, und zu welchen Zeiten eben nicht. Möglicherweise kann ich da so was wie die Wachzeiten im Prinzip herauslesen. Vielleicht kann ich auch so was wie Wochenrhythmen herauslesen. Also, wann ist das Wochenende? Das unterscheidet sich ja vielleicht eben von eher christlich geprägten Ländern, zu zum Beispiel eher muslimisch geprägten Ländern.

00:15:13-1 Lars Wallenborn: Oder auch bei sehr aktiven Akteuren, die quasi jeden Tag kompilieren, bei denen kann man feststellen, wenn sie es an einem Tag mal nicht gemacht haben, weil da zum Beispiel ein Urlaubstag war in irgendeinem Land…

00:15:22-3 Christian Dietrich: …oder ein Feiertag.

00:15:23-3 Lars Wallenborn: …oder ein Feiertag. Und jetzt hier, in unserem konkreten Fall, wurde diese Analyse durchgeführt und man konnte daraus grob ableiten, dass sich dieser Akteur, auf Basis dieser Kompilierzeitpunkte, wahrscheinlich irgendwo im asiatischen Raum aufhält. Das kann natürlich gefälscht werden, also der Angreifer oder der Akteur weiß natürlich auch, dass man diese Analysen durchführen kann. Oder vielleicht weiß er oder sie es, und kann dann entsprechend auch einfach falsche Uhrzeiten oder ein falsches Datum da eintragen. Und deswegen ist es bei der Attribution auch ganz wichtig, dass man nicht nur  einen roten Faden auf das Fragezeichen Post-it in der Mitte bewegt, sondern noch viel mehr Fäden. Da gibt es noch ein paar andere Fäden.

00:16:00-5 Christian Dietrich: Genau. Das heißt also, wir haben unsere Vermutungen, dass der aktuell im asiatischen Raum unterwegs ist. Das hatten wir über so einen roten Faden zu unserem Fragezeichen eben gezogen, und jetzt brauchen wir noch ganz viele mehr. Und wir können das zum Beispiel über die IT-Infrastruktur versuchen. Das heißt zum Beispiel, so was wie Domainnamen. Die müssen registriert werden. Da fallen also Metadaten an, und auch die können wir versuchen, uns genauer anzuschauen. Genau das wurde in der Analyse hier eben auch gemacht. Diese Domainnamen stehen eben in direktem Zusammenhang mit der verwendeten Malware, und immer dann, wenn man eine Domain registriert, muss man Registrierungsdetails angeben. Zum Beispiel eben Namen und Adressen. Wer möchte denn diese Domain hier registrieren? Zumindest bei den meisten Registraren ist das so. Dann kann man in der Analyse eben hergehen und versuchen die Metadaten, diese sogenannten Whois Informationen auszulesen – für alle Domains die eben registriert wurden und mit dieser Malware in Zusammenhang standen.

00:16:55-3 Lars Wallenborn: Und eine offensichtliche Gegenmaßnahme dafür ist, natürlich zu sagen, ich verwende einfach nicht meinen echten Namen, sondern verwende immer Heinz-Peter oder so – wenn ich nicht zufällig Heinz-Peter heiße. Und das hat dieser Akteur auch in vielen Fällen gemacht, aber wohl ganz am Anfang dieser ganzen Operation hat er das einmal nicht gemacht. Da kommt dann zum Tragen, wenn man als Analyst diese Daten schon lange mitgeschnitten hat. Ja, wenn man auch historische Daten zur Verfügung hat und nicht nur die aktuellen Registrierungsinformationen für Domains hat. Sondern auch die: Was stand denn in diesen Registrierungsinformationen vor einem Jahr, vor zwei Jahren, und so weiter? Das sind dann solche Fehler, die solche Akteure machen können. Und sehr  häufig wird an dieser Stelle oder generell bei der Analyse, zwischen Angreifern und Verteidigern angeführt, dass es zwischen den beiden ein Ungleichgewicht gibt. Also dass man sagt, der Angreifer, der muss nur einmal erfolgreich sein, und der Verteidiger, der muss bei jedem Angriff erfolgreich sein, damit er seinen Job machen kann. Und hier, würde ich sagen, ist das genau umgedreht. Weil, wenn der Verteidiger – also der Analyst hier in dem Fall – historische Daten zur Verfügung hat, dann muss der Angreifer nur ein einziges Mal so einen Fehler gemacht haben, und der Verteidiger kann dann auf diese Daten einfach später auch noch zugreifen.

00:18:02-0 Christian Dietrich: Ich will vielleicht das mit den historischen Daten noch einmal kurz erklären. Was war hier passiert? Also der Angreifer hat – versehentlich wahrscheinlich – mit seinem echten Namen eine Domain registriert, und hat das dann kurze Zeit später auch abgeändert. Ja, auf eine gespoofte Identität, auf eine gefälschte Identität. Aber das war halt zu spät. Weil in diesem historischen Datenbestand war diese Spur eben drin. Sie musste eben nur gefunden werden. Ja und jetzt kann man eben anfangen, alle diese Spuren zusammen zu führen – man spricht eben auch von Clustern – also quasi in eine Menge zusammen zu fassen, und dann kann man anfangen, dieser Menge vielleicht auch mal einen Namen zu geben. Oder diesem Akteur, diesem Profil was man da geschaffen hat, irgendwie einen Namen zu geben. Und das machen wir jetzt einfach mal, genau wie die Analysten es damals gemacht haben, und wir nennen diesen Akteur ‚Putter Panda’, oder APT2.

00:18:53-9 Lars Wallenborn: Sind einfach Phantasienamen. Da zieht man sich irgendwas aus dem Hut und bleibt dann dabei, damit man mit anderen Leuten auch darüber reden kann. Also wenn man sagt: „Ich glaube, dieses neue Malware-Sample, diese neue Malware die wir gefunden haben, die gehört zum gleichen Cluster, aus den und den Gründen.“, dann macht man dann so weiter.

00:19:09-6 Christian Dietrich: Genau. Und wenn man jetzt den vermeintlichen Echtnamen, der bei der Registrierung verwendet wurde, nämlich Chen Ping, und die Tatsachen, dass es halt irgendwo im asiatischen Raum, möglicherweise in China verortet wurde, oder dass die Aktivitätszeit darauf schließen lässt, dass der Akteur im chinesischen Raum agiert oder aus dem chinesischen Raum heraus, dann kann man mal annehmen, als Hypothese, dass es sich vielleicht um einen chinesischen Akteur handelt.

00:19:33-3 Lars Wallenborn: Aber bei vielen von diesen technischen Artefakten kann man halt immer oder sehr leicht sagen, das kann alles immer gefälscht werden. Da kann jemand einfach so tun, als wäre er der, oder man kann falsche Spuren hinterlassen oder so was. Und deswegen möchte man sehr gerne bei Attributionen nicht nur technische Kriterien oder Faktoren heranziehen, sondern auch nicht-technische. Und da gehen wir jetzt drauf ein.

00:19:52-3 Christian Dietrich: Genau. Das wäre zum Beispiel, dass man sich mal anschaut, wie ist denn die Interessenlage? Also quasi so eine geopolitische Einschätzung, macht das überhaupt Sinn, dass ein mutmaßlich chinesischer Akteur diese Ziele angreift, die wir eben eingangs erwähnt haben. Ja, das wäre eben so eine geopolitische Einschätzung. Dann hätten wir so was, was man als Open Source Intelligence bezeichnet. Das heißt, man versucht öffentlich zugängliche Informationen oder Datenbanken – das Internet – zu durchsuchen. Das klappte hier auch relativ gut, weil dieser Akteur Chen Ping eben Profile in öffentlichen Internetforen hatte.

00:20:30-1 Lars Wallenborn: Oder an diesem Zeitpunkt der Analyse würde man eher sagen: Im Internet gibt es eine Person, die den gleichen Namen verwendet. Und jetzt wollen wir irgendwie noch weitere…also auf unserer Pinnwand haben wir jetzt so ein neues Post-it dran geklebt, mit Chen Ping. Und ein Post-it mit einem Chen Ping, der irgendwie einen privaten Blog hatte, wo auch ein Geschlecht und ein Geburtstag drauf stehen. Und dann haben wir noch einen Chen Ping, der hat auf einem Internetforum über Programmierung ein Profil. Und jetzt versucht man all diese Chen Ping Personas mit mehr roten Fäden zu verbinden.

00:20:59-8 Christian Dietrich: Dabei hilft zum Beispiel, dass ein Picasa Web Fotoalbum gefunden wurde, das eben einem von diesen Chen Ping Profilen zugeordnet war, was eben eine ganze Menge an Fotos beinhaltet hat. Und zum Beispiel auch eben Chen Ping in Uniform gezeigt hat. Und es gab dann ein Album, das eben ‚Office‘ – also auf deutsch so etwas wie Büro oder Arbeit – hieß. Auf dem auch eine ganze Menge an Gebäuden…also da waren auch Fotos im Freien…da wurden eine ganze Menge an Fotos gemacht und diese Fotos konnte man dann eben auch geolocaten. Das heißt, man konnte also anhand der Objekte die im Hintergrund waren – da war so ein ganz charakteristischer Turm und da wusste man eben, diesen Turm, den gibt es eben so in der Form nur in Shanghai. Und dann konnte man schon mal annehmen: Okay, dieses Fotos ist eben wahrscheinlich in Shanghai entstanden. Und das hat sich wiederum gedeckt mit den Informationen, die in diesen anderen Profilen von Chen Ping, vermeintlich also demselben Chen Ping, in anderen Internetforen angegeben wurden. Zum Beispiel so etwas wie der Wohnort, da wurde dann eben Shanghai angegeben. Außerdem konnte man über diese Fotos andere Gebäude identifizieren. Und diese Gebäude hatte man eben vorher schon mit militärischen Einrichtungen in Shanghai in Verbindung gebracht. Das heißt, also es gibt da, sowohl auf den Fotos, als auch durch die Uniform, als auch durch die eigenen Angaben, die eben in diesen Foren getätigt wurden, nämlich, dass man irgendwie zum Militär oder zu einer Sicherheitsbehörde gehört, einen Bezug zum Militär.

00:22:21-9 Lars Wallenborn: Das ist auch der Grund, warum man umgangssprachlich hier von dem Hat-tribution Erfolg redet. Also das ist Attribution nur über einen Hat, über einen Hut. Weil auf einem der Fotos – das war irgendwie betitelt mit Dormitory oder irgendwie Wohnheim oder so – da standen so ganz viele Flaschen mit hartem Alkohol und daneben lagen so zwei Hüte vom Militär. Diese ganz charakteristischen Riesendinger. Und die konnte man dann eindeutig sogar einer konkreten militärischen Einheit zuordnen. So hat man halt das alles jetzt zusammen gebracht. Ja, also da ist einer, und der ist wahrscheinlich fürs Militär tätig, hat irgendwie programmiert, zumindest war er in einem Internetforum zur Programmierung, man hat sein Geschlecht und seinen Geburtstag über seinen privaten Blog und noch verschiedenen Social Media Seiten, wo auch noch weitere rote Fäden unserer Pinnwand hinzugefügt werden.

00:23:11-4 Christian Dietrich: Das heißt in dem Moment haben wir eine Idee, wie die Person, wie der Akteur heißt. Oder wie zumindest ein Mitglied dieser Hacker-Gruppe heißt, könnten ja auch mehrere sein. Man hat Informationen über das Geschlecht, den Geburtstag, die berufliche Tätigkeit, Aufenthaltsorte und so weiter. Das ist natürlich ein relativ detailliertes Profil was man dann schon hat. Darüber hinaus gibt es eine weitere Möglichkeit der nicht-technischen Analyse. Und zwar gibt es natürlich eine ganze Menge an anderen Vorfällen, die man zeitgleich vielleicht auch bearbeitet oder auch nicht zeitgleich bearbeitet, sondern in der Vergangenheit mal bearbeitet hat, und da möchte man natürlich sich entweder abgrenzen oder Überschneidungen finden. Das kann man zum Beispiel versuchen, indem man sich die Infrastruktur anschaut und über die Infrastruktur Überschneidungen feststellt.

00:23:51-3 Lars Wallenborn: Und mit Infrastruktur meinst du jetzt so Domainnamen und Server, die so im Internet sind?

00:23:55-4 Christian Dietrich: Genau. Also ist irgendeine von den Domains oder den IP Adressen, die für die Malware verwendet wurden, schon mal in der Vergangenheit verwendet worden? Und auch da, in diesem Fall, gab es eben eine Überschneidung mit einer vorherigen Analyse, die öffentlich gemacht wurde. Und das heißt, man hatte auch da so eine Überschneidung. Die ist nämlich damals auch einem Arm oder einem Zweig des chinesischen Militärs zugerechnet worden. Das heißt, also auch da gibt es quasi keine widersprüchlichen Informationen oder keine widersprüchliche Schlüsse, sondern eben eher bestärkende, kohärente Schlüsse.

00:24:26-6 Lars Wallenborn: Genau. Und das ist für mich sehr, sehr wichtig, dass das Gesamtbild in so einer Analyse kohärent ist. Vielleicht darf es hier und da mal so ein bisschen haken, aber insgesamt muss, so wie hier, sich ein stimmiges Gesamtbild ergeben, wo man sagt: „Ja, das ist anscheinend jemand, der war von 2007 bis jetzt 2014 aktiv, war wahrscheinlich so ein Mitte 30-jähriger, wahrscheinlich Soldat, hat wahrscheinlich für die chinesische Armee gearbeitet und hat wahrscheinlich in Shanghai gelebt.“

00:24:51-1 Christian Dietrich: Und wenn man alle diese Analyseschritte eben sorgfältig und intensiv durchlaufen hat, und das Gesamtbild danach immer noch kohärent ist, also auf mindestens eine Person zeigt, die eben etwa Mitte Dreißig ist, männlich, Soldat der chinesischen Armee, in Shanghai wohnend und dort auch beruflich tätig, dann kann man halt sagen, ist der Gesamteindruck, eben das Gesamtbild tatsächlich kohärent. Und dann glaube ich, hat die Attribution an der Stelle auch ein entsprechendes Gewicht.

00:25:21-0 Lars Wallenborn: Wir haben, um das noch ein bisschen in Perspektive zu setzen…also so was passiert nicht immer so sauber, wie das hier geklappt hat. Also da gehörte jetzt schon dazu, dass der Akteur wahrscheinlich in seiner Jugend ein paar Fehler gemacht hat oder irgendwie zu öffentlich war oder die Domain einfach mal auf seinen Namen registriert hat, das dann später geändert hat und so weiter. Also das hier ist schon so ein richtiger Bilderbuchfall von Attribution, würde ich sagen.

00:25:44-0 Christian Dietrich: Ja, ich weiß nicht, ob ich das so sehen würde. Ich würde eher sagen, das hier war ein Fall, wo man einfach den entsprechenden Aufwand betrieben hat, auch Analysten-seitig und sehr diszipliniert alle diese Analysemethoden abgearbeitet hat. Ich gebe dir recht, das bedeutet nicht automatisch immer Erfolg hinsichtlich Attribution. Aber ich glaube, das kann man hier schon sagen, dass einfach der entsprechende Aufwand durchaus notwendig war, um tatsächlich eben – das sind ja letztlich eben wirklich nur vereinzelte Fehler – und die muss man halt finden und die muss man dann eben zu diesem Gesamtbild zusammen setzen. Aber klar, du hast natürlich auch recht, das Ganze hat sich weiterentwickelt. Also hier, zum Ende dieser Attribution, dieses Attributionsprozesses, befinden wir uns im Jahr 2014, und danach hat sich natürlich vieles weiter entwickelt. Also sowohl die Analysten entwickeln sich weiter, klar, aber natürlich die Akteure auch.

00:26:32-5 Lars Wallenborn: Aber das Gute ist, dass dann trotzdem am Ende noch Menschen am Keyboard sitzen. Zumindest sieht es so aus, dass das noch eine Weile so bleibt. Und diese Menschen sind Menschen und machen deswegen auch Fehler. Also wie du gerade schon sagtest, das sind zwar weniger Fehler geworden und ich würde schon sagen, dass sich die Akteure ein bisschen weiter entwickelt haben und auch mehr aufpassen –  das ist jetzt immerhin sieben Jahre her und so – aber es sind Menschen, und sie werden ihre Gewohnheiten haben und weiterhin Fehler machen. Und vielleicht können wir dann jetzt in den Fazit-Teil dieser Folge übergehen?

00:27:01-9 Christian Dietrich: Ja, wir können vielleicht noch mal kurz zusammenfassen, welche Analysemethoden wir jetzt hier beleuchtet haben und was dabei herumkam. Wir haben angefangen mit charakteristisch eigener Malware, haben wir gesagt, also Experten-Erfahrung und vielleicht auch ein großer Korpus an bestehender Malware, mit der man das Ganze eben abgleichen kann. Wir haben uns die Zeitstempel angeschaut, die in den Malware-Samples vom Compiler als Artefakte entstehen, und da heraus resultierend eben die zeitlichen Muster. Also Tageszeiten, Nachtzeiten, Wochenenden, Feiertage. Wir haben uns die IT-Infrastruktur Metadaten angeschaut, so was wie Domains. Wer hat sie registriert? Wann wurden sie registriert? Und ähnliches. Das war so der Bereich aus dem technischen Teil. Und dann hatten wir den non-technischen Teil, in dem wir uns eben die geopolitische Gesamtsituation angeschaut haben und festgestellt haben, es handelt sich also um eine Militäreinheit, die eben genau auch auf diesen technologischen Bereich der Satelliten- und Luft- und Raumfahrttechnik zugeschnitten ist. Wir haben Open Source Intelligence betrachtet. Also das Sichten von öffentlich zugänglichen Informationen, Internetforen, Profilen, und so weiter. Und eben die Überschneidungsanalyse und das Abgrenzen,  beziehungsweise eben Überschneidungen finden mit bisherigen Fällen oder anderen Fällen.

00:28:15-2 Lars Wallenborn: Genau, und hier ist es auch wichtig, dass man einen großen Korpus an bestehender Malware schon haben muss, mit der man vergleichen kann. Oder einen großen Korpus an bestehenden Domain Metadaten, mit denen man vergleichen kann. Es ist auch wichtig, dass man einen bestehenden Korpus von Threat Intelligence hat, mit dem man vergleichen kann.

00:28:29-5 Christian Dietrich: Jetzt muss man vielleicht nochmal deutlich sagen, das Beispiel, was wir jetzt hier gebracht haben, ist eben ein Beispiel für eine, ja ich sage mal, nicht-nachrichtendienstliche Attribution. Ja, das heißt, wir haben hier natürlich an keiner Stelle irgendwie klassische nachrichtendienstliche Mittel gesehen. Und das liegt natürlich auch daran, dass diese Attribution maßgeblich aus der Privatwirtschaft gemacht wurde. Das heißt, man kann sich vor Augen führen, dass wir wenn wir so im nachrichtendienstlichen Umfeld das Ganze betrachten, natürlich noch weitere Methoden haben. Also wir wissen ja, dass Nachrichtendienste ganz andere Befugnisse haben, wenn es zum Beispiel darum geht, Verkehr mitzuschneiden, abzugreifen und so weiter. Das heißt, da gibt es sicherlich auch andere Methoden.

29:07-0 Lars Wallenborn: Oder auch Menschen in ein anderes Land zu schicken, um da sich mit anderen Menschen anzufreunden, die vielleicht mehr wissen und so weiter. Das hat alles hier nicht stattgefunden.

00:29:14-1 Christian Dietrich: Trotzdem hat die Attribution hier, würde ich sagen, relativ gut  funktioniert. Woran kann man das vielleicht auch festmachen? Ja, also dieser Akteur, Putter Panda, der ist halt tatsächlich verstummt. Mit öffentlich machen der Attributionsergebnisse ist dieser Akteur im Prinzip von der Bildfläche verschwunden. Zumindest gemessen anhand der Kriterien, anhand gemessen an dem Profil, was man über die Attribution herausgefunden hat.

00:29:35-9 Lars Wallenborn: Genau. Es könnte natürlich sein, dass die gleiche Person einfach all ihre Malware weggeschmissen hat und sich alle Gewohnheiten umorientiert hat, umgezogen ist, sodass man ihn nicht mehr wieder erkennen kann, in dem Heuhaufen, den man jetzt vor sich hat.

00:29:51-1 Christian Dietrich: Wir haben hier natürlich ein Beispiel rausgesucht – ganz bewusst – wo die Attribution sehr gut geklappt hat. Natürlich gibt es eine ganze Reihe Fälle, wo die Attribution nicht immer so einfach ist oder wo man vielleicht auch nicht mit dem Detailgrad, also bis auf eine bestimmte Person attributieren kann. Und deswegen wird das wahrscheinlich nicht die letzte Folge zur Attribution gewesen sein.

00:30:12-5 Lars Wallenborn: Stimme ich zu.

00:30:15-5 Christian Dietrich: Wir hoffen, euch hat diese Folge gefallen, und bis zum nächsten Mal. Ciao.

00:30:20-4 Lars Wallenborn: Tschüss.

#1 Der Cyber-Bankraub von Bangladesch

Vor 5 Jahren sollten fast eine Milliarde US-Dollar von Konten der Zentralbank Bangladeshs gestohlen werden – ein spektakulärer Bankraub im Cyberspace. Soweit der Plan…

Transkript anzeigen...

Armchair Investigators – Ein Dialog über Malware, Cybercrime und Cyberspionage. Mit Lars Wallenborn und Christian Dietrich.

00:00:28 Christian Dietrich: Hallo liebe Cyberfreunde. Mein Name ist Chris, ich bin Professor für IT Sicherheit an der Westfälischen Hochschule …

00:00:34 Lars Wallenborn: … und ich heiße Lars und ich arbeite für CrowdStrike als Reverse Engineer und Softwareentwickler.

00:00:41 Christian Dietrich: Lars, wir müssen über einen ziemlich interessanten Vorfall reden, der sich vor ziemlich genau fünf Jahren, also im Februar 2016 zugetragen hat. Und zwar geht es um einen Bankraub von fast einer Milliarde US Dollar.

00:00:54 Lars Wallenborn: Also ich sage mal, das kann kein normaler Bankraub gewesen sein. Denn eine Milliarde US Dollar wiegt wirklich sehr, sehr viel. Also da transportiert man lasterweise Geld von A nach B. Das wäre aufgefallen.

00:01:07 Christian Dietrich: Du bist ziemlich gut in Kopfrechnen oder du hast schon viele Assessment Center hinter dir, wo solche Fragen gestellt werden. Und ich habe mal geschaut: Was glaubst du, was der durchschnittliche Ertrag eines Bankraubs in den USA 2019 war?

00:01:20 Lars Wallenborn: Keine Ahnung.

00:01:20 Christian Dietrich: 6.500 Dollar.

00:01:23 Lars Wallenborn: Wow. Das lohnt sich wirklich nicht. Ich meine, dann macht man einen Bankraub, ist danach polizeilich gesucht und dabei kommen sechs- gut, vielleicht für einige Leute sind 6.000 Dollar vielleicht dann doch so viel Geld.

00:01:33 Christian Dietrich: Dieses typisch amerikanische Verbrechen, dieser Bankraub, der lohnt sich einfach irgendwie gar nicht mehr. Aber das sieht eben anders aus, wenn man das Ganze versucht online zu machen. Und zwar geht es hier um das Ziel, die sogenannte Bangladesch Bank. Das ist die Zentralbank von Bangladesch. Das Besondere hierbei ist, dass es sich um einen Angriff handelt, also der komplett online stattfand, und wo eben Schadsoftware eine gewisse Rolle gespielt hat. Wir beide als Reverse Engineer, als Malware-Analysten, schauen uns das natürlich gerne irgendwie mal ein bisschen genauer an. Was macht das Ganze so besonders, Lars?

00:02:05 Lars Wallenborn: Es gibt viele Dinge, die das hier besonders machen. Und um da jetzt vielleicht erstmal auf die Schadsoftware ein bisschen genauer einzugehen, muss man jetzt so ein paar Sachen über das SWIFT System irgendwie kennen. Also SWIFT ist ein sehr altes System, das Banken verwenden, um miteinander zu kommunizieren und um zu sagen, welches Geld von wo nach wo fließen soll. Und klassischerweise ist dieses System so in sich geschlossen, also jede Bank ist an dieses System angeschlossen. Und das Interessante bei diesem Banküberfall jetzt auf die Bangladesch Bank war, dass nicht das System an sich angegriffen wurde – also von außen irgendwie Nachrichten da eingeschleust wurden oder so was, sondern dass die Software, die da den Schaden verursacht hat, die lief auf dem System der Bangladesch Bank, das mit dem SWIFT System verbunden ist.

00:02:46 Christian Dietrich: Das heißt, die haben tagtäglich sowieso SWIFT Transaktionen durchgeführt. Und genau der Rechner, von dem eben aus dieser Bangladesch Bank tagtäglich diese SWIFT Transaktionen durchgeführt wurden, genau von dem haben die Akteure eben auch agiert in diesem Vorfall.

00:03:01 Lars Wallenborn: Genau. Und da wurden fünfunddreißig SWIFT Nachrichten abgeschickt. Und also – Spoiler Alarm – und von denen sind nicht alle durchgegangen. Also vielleicht sind da doch keine ganze Milliarde US Dollar verschwunden, sondern ein bisschen weniger.

00:03:13 Christian Dietrich: Okay, aber das fällt doch auf. Das muss doch auffallen. Also wenn da jemand irgendwie fünfunddreißig Nachrichten, fünfunddreißig Überweisungen irgendwie versucht zu tätigen – also, wenn ich auf meinen Kontoauszug gucken würde, würde mir das auch auffallen.

00:03:23 Lars Wallenborn: Richtig. Das wäre auch beinahe aufgefallen. Aber die Akteure, die haben sich anscheinend vorher ganz genau angeguckt, was da passiert ist. Und die Bank hat halt auch sowas wie einen Kontoauszug, oder also in dem Fall sogar zwei Mechanismen um zu ermöglichen da Sichtbarkeit zu schaffen in den Transaktionen. Das eine ist eine Oracle Datenbank, also eine Software die irgendwo läuft und in der mitprotokoliert wird, welche Transaktionen stattgefunden haben. Und daneben, neben dem Computer, stand auch noch ein Drucker. Und der druckt einfach permanent alle Transaktionen aus, die passieren. Das klingt jetzt irgendwie absurd, aber ich finde eigentlich, dass das eine ganz coole Sache und eine coole Möglichkeit ist, weil, dass die Transaktionen halt also wirklich protokolliert- also um das zu manipulieren muss man wirklich zum Drucker gehen und das Papier klauen.

00:04:11 Christian Dietrich: Ich habe mir die Malware mal- ich habe die mal so ein bisschen auseinandergenommen und du hast ja auch mal einen Blick in die reingeworfen – das ist schon ziemlich abgefahren, was die gemacht haben. Also die hatten ziemlich gute Kenntnis über den Systemaufbau von diesem System auf dem diese SWIFT Software da irgendwie läuft, oder diese SWIFT Appliance da irgendwie läuft, und das heißt, die wussten genau, welche Arten von Nachrichten dort ausgetauscht werden, wenn sie Transaktionen abschicken. Und dann haben sie eben dafür gesorgt, dass diese beiden Protokollmechanismen – also sowohl die Datenbank, als auch der Drucker – eben keine Spuren hinterlassen, oder keine Artefakte irgendwie ausdrucken oder festhalten von den Transaktionen. Das haben sie gemacht, indem sie sich die Verwendungstexte ganz bewusst gestaltet haben. Also man muss sich vorstellen, diese Überweisungen, die haben ähnlich wie Überweisungen die wir so kennen, wie jetzt in Deutschland beispielsweise, so Verwendungszweckfelder. Und da haben die eben ganz bestimmte Nummern selber verwendet und anhand dieser Nummern haben sie später diese Transaktion halt auch erkennen können. Und die sind sogar noch einen Schritt weitergegangen. Denn für jede ausgeführte Überweisung kommt auch eine Bestätigung zurück. Das heißt, hier wurde maßgeblich von einem Konto, das bei der New York Federal Reserve Bank in New York, also in den USA lag, Geld weg überwiesen. Und dieses Konto gehört der Bangladesch Bank. Also Kontoinhaber ist die Bangladesch Bank. Und das heißt für alle diese Transaktionen kam eben auch eine Bestätigung zurück. Und auch diese Bestätigungsnachricht, auch die wurde eben aus dieser Datenbank getilgt und es wurde eben dafür gesorgt, dass die eben eigentlich nicht gedruckt werden sollte.

00:05:49 Lars Wallenborn: Ja und das ist vielleicht jetzt – also jetzt kann man theoretisieren warum das alles passiert ist und ich würde vielleicht soweit gehen zu sagen, das liegt an einem der großen Unterschiede zwischen Online- und Offline Bankrauben. Nämlich bei einem Offline-Bankraub dann – ich meine du holst das Geld aus dem Tresor, also ich weiß ja nicht wie das genau läuft, aber ich stell mir das so vor – holst das Geld aus dem Tresor, steigst damit in dein Fluchtfahrzeug und dann geht es ab in den Sonnenuntergang und dann hat man halt das Geld. Bei einem Online-Bankraub ist das natürlich nicht unbedingt so. Weil es gibt so bestimmte SWIFT Transaktionsnachrichten, die können Transaktionen rückgängig machen oder zumindest darum bitten, diese Transaktionen rückgängig zu machen. Und da muss man dann halt aufpassen als Bankräuber, dass man das Geld, dass man sich irgendwo hin überwiesen hat, dann auch behält – oder halt, dass es schnell genug dann ausbezahlt wird. Und da muss man halt so ein bisschen Zeit gewinnen. Ich vermute, dass das eine der Hauptmotivationen war, da diese ganzen Protokollmechanismen auszuhebeln.

00:06:41 Christian Dietrich: Genau, das heißt innerhalb von einem bestimmten Zeitraum kann man diese Transaktionen vielleicht noch stoppen oder man kann sie vielleicht irgendwie zurück holen – und das ist auch passiert. Also von diesen fünfunddreißig Nachrichten, von diesen fünfunddreißig SWIFT Transaktionen, sind wahrscheinlich alle bis auf vier zurückgerufen worden. Aus einer ganzen Reihe von Gründen. Und das ist nämlich auch ganz interessant. Zum einen lag es eben daran, dass man festgestellt hat- also eine der Transitbanken bei diesen SWIFT- oder bei diesen internationalen Transaktionen, da ist es teilweise eben so, dass es über mehrere Banken läuft. Weil nicht unbedingt die Ursprungsbank mit der Zielbank, wo das Geld ursprünglich oder letztlich landen soll, eine direkte Verbindung hat. Sondern dann gibt es so Vermittlerbanken. Zum Beispiel die Deutsche Bank war eine dieser Transitbanken und da wurden wir Deutschen vielleicht ein bisschen unserem Image gerecht –

00:07:27 Lars Wallenborn: Jaja, da hat der deutsche Bankbeamte seinen Rotstift rausgenommen und gesagt, du hast Fundation falsch geschrieben. Das heißt der Empfänger der ist gar nicht da, die Transaktion geht zurück. Also hier haben die Akteure einen Fehler gemacht – anstatt Fundation haben die Fandation geschrieben – und das ist jemandem aufgefallen und dann wurde die Transaktion zurück gebucht.

00:07:42 Christian Dietrich: Also achte auf den – genau die richtige Schreibweise des Empfängers, ansonsten verlierst du irgendwie eine Milliarde US Dollar. Andere Gründe waren, dass es ungewöhnlich viel Geld war, das letzten Endes bei Privatleuten landen sollte. Also auf Konten von Privatleuten. Normalerweise überweisen diese Zentralbanken wohl eher an größere Institute. Andere Banken, irgendwelche Versicherungen oder ähnliches, aber nicht unbedingt an Privatpersonen. Also auch das fiel auf.

00:08:09 Lars Wallenborn: Und der letzte Grund, den finde ich auch wirklich albern, also da gab es irgendwie eine Überlappung zwischen einem Namen von einer Firma und der Straße der Zielbank, oder so.

00:08:20 Christian Dietrich: Genau, also es ging um ein mutmaßlich iranisches Logistikunternehmen, Jupiter Seaways, die sanktioniert waren. Und dieser Begriff Jupiter, der kam auch in der Straße einer Bankfiliale vor, zu der ein Teil des Geldes sollte. Nämlich die RCBC Bank auf den Philippinen in Manila. Die war nämlich auf der Jupiter Street. Und allein dieser eine Name, dieser Teil des Namens, der hat dafür gesorgt, dass also auch diese Transaktion geflaggt wurde oder irgendwie markiert wurde, dass da eben ein Analyst mal drüber schauen sollte. Und das waren eben so ein paar Gründe, warum das irgendwie nicht funktioniert hatte oder warum Teile der Transaktionen eben nicht durchgingen, nämlich ein Großteil der Transaktionen.

00:08:59 Lars Wallenborn: Okay. Also schade oder gut. Je nachdem wie man das sieht. Also von den fünfunddreißig Transaktionen sind ganz schön viele gecancelt worden, also es ist keine ganze Milliarde mehr übrig. Ich glaube es sind noch vier Transaktionen übriggeblieben, die dann nicht in irgendeinem von diesen Dingen hängengeblieben sind.

00:09:14 Christian Dietrich: Und was erkennen wir daraus? Menschen machen Fehler. Auch solche Akteure. Und das ist für uns als Verteidiger natürlich super, oder als Analysten, denn da können wir ansetzen. Und da können wir versuchen, Hinweise zu bekommen auf die Attribution, also auf die Frage, wer war es.

00:09:31 Lars Wallenborn: Ja genau, wie man so schön sagt, also „Follow the Money“. Und dann gucken wir uns jetzt mal an, wo diese vier Transaktionen gelandet sind. Das waren dann noch einundachtzig Millionen US Dollar, die da übriggeblieben sind. Die sind dann auf vier Bankkonten gelandet bei der RCBC Bank auf den Philippinen, wurden dann teilweise überwiesen oder teilweise irgendwie auch bar – da ist die Berichterstattung meiner Meinung nach nicht ganz eindeutig – zu einem oder mehreren Casinos übertragen, um das Geld dann zu waschen.

00:10:03 Christian Dietrich: Gut. Jeder Ermittler, der sich irgendwie mit diesem Fall beschäftigen würde, würde natürlich den Leitspruch anwenden „Follow the Money“. Das heißt wir müssen uns erstmal anschauen, wo ging das Geld denn hin oder wie verliert sich die Spur des Geldes möglicherweise. Und das tut sie nämlich, indem ein Großteil des Geldes was eben bei der RCBC Bank auf den Philippinen ankam, auf Konten eines Casinos überwiesen wurde oder mehrerer Casinos sogar überwiesen wurde, eben auch in den Philippinen, und teilweise wohl auch in bar dorthin gekarrt wurde. Und das Ganze passierte eben relativ zügig, nach Ankunft der Überweisung – schauen wir uns vielleicht gleich nochmal genauer an. Und eigentlich muss man jetzt erklären, dass zu der Zeit, 2016, zwei Dinge den Angreifern in die Hände gespielt haben. Nämlich einmal die Tatsache, dass auf den Philippinen das Bankgeheimnis sehr viel Wert ist. Das ist ähnlich wie in der Schweiz. Und das zweite ist, dass die Geldwäschevorgaben für Casinos zu dem Zeitpunkt, ich sage mal vorsichtig, nicht so wahnsinnig hoch waren. Und das war ein Riesenproblem, denn im Prinzip hat sich die Spur des Geldes, sagen wir mal mehr oder weniger, verloren, als das Geld da irgendwie auf den Casino Konten war.

00:11:11 Lars Wallenborn: Ja man weiß aber doch schon noch, dass es irgendwie wahrscheinlich in bar dann per Flugzeug woanders hingebracht wurde. Nicht wahr?

00:11:17 Christian Dietrich: Das mutmaßt man. Es gibt also die Vermutung, dass dort Leute in Richtung Macao mit einem Teil des Geldes in bar sich abgesetzt haben-

00:11:28 Lars Wallenborn: Um auch gerade noch einmal auf das Gewicht des Geldes zurück zu kommen. Also es handelt sich hier wahrscheinlich noch so um achtundfünfzig Millionen die sie dann da so von den Konten heruntergeschafft haben. Und das sind irgendwie Mengen, die kann man transportieren. Also ich habe mal kurz auf einer Serviette irgendwie überschlagen: Das ist eine gute halbe Tonne. Und so vom Volumen her ist das so ungefähr ein Kubikmeter. Also wenn man mal eine Waschmaschine auf einem Umzug transportiert hat, dann sind das vier davon. Also da musste man jetzt keine Laster voller Geld irgendwie von A nach B bringen, sondern das kann man im Kofferraum machen. Dann muss man es natürlich noch irgendwie in ein Flugzeug bringen, wenn man es dann rausschaffen will, aber das ist logistisch sehr viel einfacher.

00:12:01 Christian Dietrich: Wieder so eine Assessment Center Frage: Sie haben achtundfünfzig Millionen US Dollar bei einem Bankraub erwirtschaftet. Wie transportieren Sie das? (Lachen) Also du sagst, wenn das in US Dollar vorgelegen hätte, kein Problem, hätte man transportieren können. Vier Taxis bestellt, Flugzeug und man ist weg. Aber wir wollten uns ja eigentlich der Frage nähern, wer war es. Und ich glaube, da kann man sagen, es gibt zwei ganz interessante Quellen. Es gibt zum einen so privatwirtschaftliche Unternehmen, die da natürlich Aufklärung betrieben haben, teilweise Incident Response gemacht haben, das heißt in der IT Infrastruktur nach Spuren gesucht haben. Und zum anderen gibt es eine Strafanzeige, die veröffentlicht wurde vom FBI. Und beide Quellen kommen eben zu der Überzeugung, dass wir es hier mit einem ganz besonderen Akteur zu tun haben. Nämlich der Akteur ist kein üblicher Cyberkrimineller, wie man vielleicht erst einmal meinen würde, also jemand, der sich selber bereichern will, sondern es ist eben ein Akteur, der einen Staat hinter sich stehen hat, der also Interessen eines Staats umsetzt.

00:12:56 Lars Wallenborn: Und da möchte ich jetzt vielleicht direkt mal einhaken, warum das so ungewöhnlich ist. Also klassischerweise konnte man daran, an der Motivation von so einer Aktivität, schon als Hinweis dafür benutzen, wer dahintersteht. Also klassischerweise haben Staaten die Motivation der Spionage, also Informationsbeschaffung, oder der Sabotage, also irgendwie Systeme sabotieren. Und klassischerweise sind die finanziell motivierten Cyberkriminellen halt hinter Geld her. Und das hier ist jetzt eine neue große Sache, dass es jetzt hier einen großen Staat gibt, Nordkorea, der finanziell motiviert ist. Und dafür gibt es auch Gründe, Chris.

00:13:34 Christian Dietrich: Du hast es eben so beiläufig erwähnt, Nordkorea. Genau, also man mutmaßt, dass hier nordkoreanische Interessen umgesetzt werden, eben mit der Gewinnung von Finanzmitteln. Und das kann man erklären, weil Nordkorea seit 2006 eben mit Sanktionen belegt ist. Maßgeblich US Sanktionen, auch die EU hat Sanktionen. Die beziehen sich darauf oder das ist eine Reaktion des Raketenprogramms, das Nordkorea entwickelt und insbesondere des Atomwaffenprogramms. Und in Folge dieser Sanktionen, die immer wieder verschärft wurden, ist Nordkorea eigentlich vom internationalen Finanzmarkt abgeschnitten. Also es gibt eigentlich keine Möglichkeit mehr, irgendwie Finanzmittel nach Nordkorea zu bringen, sodass Nordkorea ein von Mangel geplagtes Land ist. Dort wird nach wie vor an dem Raketenprogramm gearbeitet, auch wenn glaube ich im letzten Jahr nicht unbedingt Raketentests stattfanden, aber es gibt eben staatliche Interessen, Finanzmittel zu gewinnen. Und das setzt sich eben fort – wenn wir mal so ein bisschen den Blick schweifen lassen, also so ein bisschen von diesem Vorfall der Bangladesch Bank auszoomen – dann zeigt sich eine ganze Reihe an Vorfällen, die eben auf ähnliche Art und Weise Nordkorea attributiert werden. Wir haben zum Beispiel 2017 die WannaCry Ransomware. Also eine Ransomware, eine Erpressungssoftware, oder scheinbare Erpressungssoftware, die ja weltweit Infektionen nach sich gezogen hat. Es gibt da also kaum ein Unternehmen, das nicht irgendwie betroffen war. Von der man heute eben auch davon ausgeht, dass sie dafür sorgen sollte, Bitcoin für Nordkorea-

00:15:13 Lars Wallenborn: Genau. Das passt dann gut ins Bild. Man hat wahrscheinlich da irgendwie Teile der Regierung oder irgendwie von der Regierung unterstützte Entitäten oder Gruppierungen, die dann damit beauftragt werden, Geld ranzuschaffen. Weil man sonst, privatwirtschaftlich, das nicht mehr hinkriegt. Das ist natürlich nicht das Einzige was Nordkorea macht. Also das ist nicht so, dass die ihre ganzen finanziellen Mittel jetzt aus Cyberoperationen irgendwie beziehen, aber es scheint eine Komponente der Nordkoreanischen Strategie zu sein.

00:15:43 Christian Dietrich: Ich habe mir mal so ein paar UN Berichte angeschaut, die eben die Sanktionen begründen und das ist wirklich erstaunlich. Also es gibt eine ganze Reihe von Ländern, die durch Vorfälle dieser Art, eben mutmaßlich von nordkoreanischen Akteuren, betroffen sind. Das ist Bangladesch, klar, haben wir hier uns angeschaut, Chile, Costa Rica, Gambia, Guatemala, Indien, Kuweit, Malaysia, Malta, Nigeria, Polen, Südkorea ganz massiv, Slowenien, Südafrika, Tunesien und Vietnam. Und das zeigt eben, dass diese Art der Gewinnung von Finanzmitteln hier scheinbar durchaus sehr ausgeprägt ist.

00:16:21 Lars Wallenborn: Gut, dann lass uns doch jetzt mal anschauen, wie man so was dann macht. Und da kann man sich das auf zwei Arten und Weisen irgendwie angucken. Wir wollen uns erstmal so einen groben Überblick von weit weg verschaffen, über die langen Zeiträume die da vergangen sind, und dann nochmal reinzoomen auf das Wochenende, wo dann dieser Banküberfall wirklich stattgefunden hat. Also fangen wir mal mit dem Makropicture, also dem großen Bild von außen irgendwie an. Also der Bankraub selber, der hat im Februar 2016 stattgefunden, und dann kann man sich jetzt natürlich fragen, sind die Akteure am gleichen Tag da erst eingebrochen oder eine Woche vorher? Oder wie sich jetzt in dem Fall hier herausstellt, wahrscheinlich oder höchstwahrscheinlich schon ein ganzes Jahr vorher. Also im Februar 2015 – das ist ein Jahr vorher – hat wahrscheinlich die initiale Infektion der Bank stattgefunden. Und im Zeitraum dazwischen, also zwischen dieser initialen Infektion und dem eigentlichen Ausführen der Operation ist also ein Jahr vergangen, oder fast ein Jahr vergangen. Und es sind halt verschiedene Dinge passiert im laufe- also erst einmal wurden diese Konten bei der RCBC Bank, diese vier Stück wo das Geld hingegangen ist, eröffnet und wahrscheinlich auch alle anderen Konten, wo Geld hinüberwiesen wurde. Und ich würde sogar so weit gehen zu vermuten, dass die Akteure diesen Zeitraum auch genutzt haben, dieses ganze Jahr, wo sie in der Bank schon drin waren, um sich da umzuschauen, und sich an die ganze Infrastruktur zu gewöhnen. Und was man da tun muss.

00:17:48 Christian Dietrich: Zu lernen SWIFT zu bedienen, zum Beispiel.

00:17:50 Lars Wallenborn: Ja, und welche Nachrichten man schicken muss und verstecken muss vielleicht.

00:17:53 Christian Dietrich: Wieviel Geld auf welchen Konten ist.

00:17:55 Lars Wallenborn: Also ich kann mir jedenfalls vorstellen, dass nicht jede Bank genau diesen Oracle Datenbankserver mit dieser DLL verwendet und diesen Drucker verwendet, den man so genau daran hindern kann, zu drucken. Ich würde sagen, das wurde dann hier zumindest angepasst auf diesen konkreten Fall. Und es war ein ganzes Jahr, das die drin waren. Das ist auch wieder so ein Punkt. Die sind ja währenddessen schon auch aktiv gewesen. Man hätte – im Nachhinein ist immer alles leicht – man hätte die Möglichkeit gehabt, da wirklich zu sehen, dass da jemand ist und aktiv ist und so. Man hätte ein ganzes Jahr lang Zeit gehabt, da was gegen zu tun.

00:18:33 Christian Dietrich: Wenn man jetzt auf dieser Makroperspektive nochmal schaut, dann kann man sogar noch weiter zurückgehen. Denn die ersten Aktivitäten, also das Auskundschaften der Ziele, die sogenannte „Reconnaissance“, die fand im Oktober 2014 bereits statt. Das heißt wir sind jetzt deutlich über ein Jahr insgesamt Zeitraum, bis es sozusagen zu diesem Stichtag kam, wo eben das Geld rausgeholt werden sollte. Ich finde, das zeigt nochmal zwei Dinge: Zum einen, der Täter kann es sich leisten so lange zu warten, er hat also entsprechend Ressourcen, kann diese Zeit locker irgendwie überbrücken, scheint kein Problem zu sein und – das ist der zweite Punkt – er versucht seine Chancen zu maximieren. Und das versteht man eigentlich nur, wenn man sich das Timing auf der Mikroebenen noch mal anschaut und zwar zu dem Zeitpunkt, wo der tatsächliche Bankraub stattfindet, im Februar 2016. Das Ganze fand nämlich an einem Wochenende statt, quasi zwischen dem 05. und dem 09. Februar 2016. Und jetzt muss man eben wissen, Bangladesch ist ein muslimisch geprägtes Land. Das heißt, Freitag und Samstag sind da Wochenende. Und an einem Donnerstagabend, so etwa um 20:00 Uhr Ortszeit, also relativ spät-

00:19:39 Lars Wallenborn: … wenn alle schon nach Hause gegangen sind.

00:19:40 Christian Dietrich: Genau, da hat der Akteur angefangen, diese Transaktionen zu tätigen. Das heißt also spät abends am Donnerstag fängt man an diese Transaktionen zu starten. Das ist in New York, wo die Konten liegen, donnerstags Morgen. Das heißt also man hat den ganzen Tag noch Zeit und sogar den Freitag darauf auch noch, damit diese Transaktionen auch irgendwie durchgeführt werden können, für den Fall, dass da irgendjemand draufschaut. Das ist wohl auch passiert. Es gab da ein paar Rückfragen, die sind aber erst am Freitag aus New York gekommen – Freitag war Wochenende in Bangladesch, es hat also keiner irgendwie bekommen – die Transaktionen wurden ausgeführt. Und jetzt gibt es eben zwei wichtige Dinge: Nämlich erstens in der Datenbank wurden keine Spuren hinterlassen und der Drucker hat nicht gedruckt. Das heißt, es hat also mindestens bis zum ersten Arbeitstag in Bangladesch gedauert – das war der Sonntag – bis man überhaupt eine Chance gehabt hätte, festzustellen, dass dort solche Transaktionen getätigt wurden.

00:20:32 Lars Wallenborn: Das war bestimmt ein stressiger Sonntagmorgen oder Montagmorgen, wie es bei uns wäre. Kommt man zur Arbeit und der Drucker ist kaputt und dann haben die wahrscheinlich erst einmal rausgefunden warum. Also ich meine der Drucker ist kaputt, ist erstmal kein Grund zur Panik, würde ich vermuten. Aber vielleicht bei diesem speziellen Drucker dann schon. Und dann hat sich wohl am gleichen Tag noch rausgestellt, dass da was schiefläuft und dann hat man wohl versucht, von Bangladesch aus, diese Transaktionen zu stoppen.

00:20:55 Christian Dietrich: Ja, war blöderweise halt Sonntag, da war nicht so viel los.

00:20:59 Lars Wallenborn: Da war in New York halt keiner auf der Arbeit.

00:21:00 Christian Dietrich: Zumindest nicht in der New York Fed. Und jetzt kommt noch ein super interessanter Aspekt: Denn ein Großteil des Geldes sollte ja auf die Philippinen. Und auf den Philippinen war Samstag und Sonntag Wochenende, und der Montag war aber noch ein Feiertag. Das heißt man hatte noch einen Tag mehr, bis man jetzt auf den Philippinen, wo eben das Geld mittlerweile war, bis man dort irgendjemanden hätte erreichen können. Sondern das ging halt erst am Dienstag den 09.Februar. Und da waren eben schon achtundfünfzig Millionen US Dollar von diesen einundachtzig Millionen US Dollar außerhalb des Einflussbereichs der RCBC Bank. Also quasi weg.

00:21:36 Lars Wallenborn: Und ich kann mir nicht vorstellen, dass das ein Zufall ist. Also das ist entweder- nein, das war kein Zufall. Die haben sich das genau überlegt. Es gibt, glaube ich, in so einem Jahr gar nicht so viele Wochenenden, an denen das so günstig zusammenfällt. Die haben sich einfach die Zeit gelassen, bis diese für die Angreifer günstige Situation vorlag. Gut, wollen wir dann jetzt ein Fazit ziehen, von der ganzen Folge.

00:21:58 Christian Dietrich: Ja, es handelt sich wahrscheinlich um einen der größten Bankraubvorfälle überhaupt. Geplant war eine Milliarde US Dollar zu stehlen. Hat nicht ganz geklappt. Einundachtzig Millionen US Dollar sind gestohlen worden, ausgeleitet worden. Ich glaube nicht so wahnsinnig-

00:22:13 Lars Wallenborn: … ist doch immer noch eine Menge würde ich sagen.

00:22:15 Christian Dietrich: Würde mir reichen. Wir haben gesehen, dass zielgerichtete Schadsoftware verwendet wird und das macht es, finde ich, super interessant. Man hat also ganz bewusst aus der Ferne agiert und alle lokalen Protokollmechanismen versucht auszuhebeln. Und wir haben einen Akteur, der die Interessen eines Staates umsetzt. Und das eben auf eine besonders untypische Art und Weise – nämlich mit dem Ziel der Gewinnung von Finanzmitteln. Ich glaube das sind so in meinen Augen die Kernaspekte die das Ganze zu einem ziemlich besonderen Vorfall machen.

00:22:43 Lars Wallenborn: Ja, da stimme ich dir zu. Das war ein großer Bankraub. Die Schadsoftware war sehr gezielt und der Akteur ist ein Beispiel für einen staatlichen Akteur, der finanziell motiviert ist.

00:22:53 Christian Dietrich: Ich glaube diese Frage der Attribution, die sollten wir uns irgendwann in einer der nächsten Folgen nochmal genauer anschauen- oder?

00:23:01 Lars Wallenborn: Ja, das hört sich nach einem guten Plan an.

00:23:01 Christian Dietrich: In diesem Sinne. Wir hoffen, euch hat diese Folge gefallen und bis zum nächsten Mal.

00:23:07 Lars Wallenborn: Genau. Bis dann.