Armchair Investigators

#12 GONEPOSTAL – Email-based Command & Control

Christian Dietrich und Lars Wallenborn — Mon, 15 Dec 2025 21:53:14 +0000

In diese Folge beleuchten wir die Technik der Email-basierten Fernsteuerung von Malware, einem sogenannten „Email-based Command & Control (C2) Channel“. Dazu ziehen wir das konkrete Implant GONEPOSTAL heran, das der Cyber-Spionagegruppe APT28 — auch bekannt als FANCY BEAR — zugeordnet wird. Wir haben diese Malware für euch analysiert und neben einer detaillierten Beschreibung diskutieren wir …

„#12 GONEPOSTAL – Email-based Command & Control“ weiterlesen

#11 Sunspot – Der unsichtbare Vorbote der Sunburst‑Attacke

Christian Dietrich und Lars Wallenborn — Fri, 10 Oct 2025 16:19:00 +0000

In dieser Folge dreht sich alles um Sunspot — die bislang wenig beachtete Malware, die das Build‑System von SolarWinds heimlich infiltrierte und damit den Weg für die berüchtigte Sunburst‑Schadsoftware ebnete. Die Folge: Vermutlich einer der heikelsten Datenabflüsse aus US-Regierungsinstitutionen überhaupt. Während Sunburst häufig als das eigentliche „Böse“ im Fokus steht, zeigen wir, wie Sunspot zunächst …

„#11 Sunspot – Der unsichtbare Vorbote der Sunburst‑Attacke“ weiterlesen

#10 Triton/Trisis — Der Cyber-Angriff in der Wüste

Christian Dietrich und Lars Wallenborn — Wed, 04 Sep 2024 19:49:05 +0000

Im August 2017 fand in der Wüste von Saudi-Arabien ein bedeutsamer Cyber-Angriff gegen eine Industrieanlage statt. Aus der Ferne haben Angreifende das Sicherheitssystem manipuliert, das die Anlage und insbesondere die dort Arbeitenden vor Schäden schützen soll. Wir schauen auf die komplexe Malware, die dort zum Einsatz kam, beleuchten die Rolle eines russischen Forschungsinstituts und versuchen …

„#10 Triton/Trisis — Der Cyber-Angriff in der Wüste“ weiterlesen

#9 Cyber Threat Intelligence – Snake Oil oder nicht?

Christian Dietrich und Lars Wallenborn — Mon, 01 May 2023 11:17:02 +0000

Was ist Cyber Threat Intelligence? Nur Marketing-Buzz oder sinnvoll? Spätestens seit dem Angriffskrieg Russlands auf die Ukraine spielt Cyber Threat Intelligence Sharing im Cyber-Konflikt eine zentrale Rolle und viele Staaten bauen gerade Kapazitäten auf, um damit umzugehen. Zeit also, das mal genauer anzusehen. Zusammen mit Matthias von Percepticon gehen wir Fragen rund um Cyber Threat …

„#9 Cyber Threat Intelligence – Snake Oil oder nicht?“ weiterlesen

#8 Close Access Operations — Cyberspionage Hautnah

Christian Dietrich und Lars Wallenborn — Wed, 08 Feb 2023 20:31:17 +0000

Wenn Cyberagenten im gleichen Hotel wie ihre Ziele unterkommen und das Hotel-WLAN kompromittieren, dann fehlt die sonst übliche Distanz des Internets. In dieser Folge gehen wir auf eine Reise durch die Niederlande, die Schweiz und das Vereinigte Königreich. Wir folgen den Spuren der Cyberspionen, beleuchten wie sie vorgehen und welche Werkzeuge sie benutzen. Shownotes

#7 Olympic Destroyer — Der Cyber-Angriff auf die Olympischen Winterspiele 2018

Christian Dietrich und Lars Wallenborn — Wed, 18 May 2022 19:53:50 +0000

Was ist eine False-Flag-Operation? Wie bereiten staatliche Cyberkräfte eine Sabotage-Aktion mittels Wiper-Malware vor? Wie erleben Betroffene einen solchen Angriff und wie wehren sie ihn ab? In dieser Folge bereiten wir den Cyberangriff gegen die Olympischen Winterspiele 2018 in Südkorea auf und versuchen Antworten auf die oben genannten Fragen zu geben. Folgt uns auf eine Reise …

„#7 Olympic Destroyer — Der Cyber-Angriff auf die Olympischen Winterspiele 2018“ weiterlesen

#6 Evolution von Ransomware

Christian Dietrich und Lars Wallenborn — Sun, 14 Nov 2021 21:09:31 +0000

Wie hat sich Ransomware entwickelt, dass heute eine signifikante Bedrohung von ihr ausgeht? Was sind Ransomware as a Service oder Double Extortion? Welche Belohnung gibt es für Hinweise, die zur Ermittlung eines Ransomware-Gang-Mitglieds führen? Diese Fragen beleuchten wir in der aktuellen Folge und ordnen vermutlich eines der ersten Urteile in Deutschland zu malwaregestützten Ransomware-Vorfällen ein. …

„#6 Evolution von Ransomware“ weiterlesen

#5 Shamoon

Christian Dietrich und Lars Wallenborn — Fri, 20 Aug 2021 20:11:11 +0000

Im August 2012 schlug eine destruktive Schadsoftware zu und sorgte dafür, dass mehr als 30.000 Computer des betroffenen Unternehmens nicht mehr starten konnten. Es kam in der Folge zu einem massiven, wochenlangen Ausfall. Wie funktioniert diese Wiper-Malware? Welche ihrer Eigenschaften sind charakteristisch und lassen sich etwa im Rahmen der Attribution nutzen? Wie wurde die Malware …

„#5 Shamoon“ weiterlesen

#4 Persistenz und LoJax

Christian Dietrich und Lars Wallenborn — Sun, 23 May 2021 11:16:06 +0000

Wie tief kann sich Malware in Computer einnisten? Kann eine Malwareinfektion überleben, wenn die Festplatte formatiert wird? Diesen Fragen gehen wir nach und begeben uns auf einen Streifzug durch Firmware, Persistenz, FANCY BEAR und LoJax. Darüber hinaus versuchen wir zu beleuchten, wie verbreitet firmwarepersistente Malware unter vorrangig staatlich-gestützten Akteuren ist und welche technischen Gegenmaßnahmen es …

„#4 Persistenz und LoJax“ weiterlesen

#3 Erpressung der Uniklinik Düsseldorf

Christian Dietrich und Lars Wallenborn — Fri, 02 Apr 2021 15:07:23 +0000

Im September 2020 erleidet eine Frau ein Aneurysma und muss ins Krankenhaus gebracht werden. Zu diesem Zeitpunkt ist die Uniklinik Düsseldorf allerdings von der Notaufnahme abgemeldet, da eine Ransomware (ein Verschlüsselungstrojaner) zugeschlagen hat und die IT nicht benutzt werden können. In dieser Folge beleuchten wir das Bedrohungsfeld durch Ransomware als eine Form der organisierten Kriminalität. …

„#3 Erpressung der Uniklinik Düsseldorf“ weiterlesen

#2 Hat-tribution: Attribution von Cyber-Spionen

Christian Dietrich und Lars Wallenborn — Fri, 12 Mar 2021 13:13:14 +0000

In dieser Folge beleuchten wir das Thema “Attribution”. Einfach gesagt wollen wir herausfinden, wer einen Cyberangriff ausgeführt hat oder dafür verantwortlich war. Den Vorgang der Attribution werden wir in dieser Folge an dem in Fachkreisen bekannten Beispiel der “Hat-Tribution” konkretisieren. Shownotes Timo Steffens – Auf der Spur der Hacker: Wie man die Täter hinter der …

„#2 Hat-tribution: Attribution von Cyber-Spionen“ weiterlesen

#1 Der Cyber-Bankraub von Bangladesch

Christian Dietrich und Lars Wallenborn — Wed, 24 Feb 2021 21:13:49 +0000

Vor 5 Jahren sollten fast eine Milliarde US-Dollar von Konten der Zentralbank Bangladeshs gestohlen werden – ein spektakulärer Bankraub im Cyberspace. Soweit der Plan…