#2 Hat-tribution: Attribution von Cyber-Spionen

00:00:36-7 Christian Dietrich: Hallo, liebe Cyberfreunde. Mein Name ist Chris, ich bin Professor an der westfälischen Hochschule für Informatik und IT-Sicherheit…

00:00:38-2 Lars Wallenborn: … und ich bin Lars, und ich arbeite für CrowdStrike als Software Entwickler und als Reverse Engineer. Chris, lass uns heute mal über Attribution sprechen, über Attribution auf deutsch.

00:00:49-2 Christian Dietrich: Ja, schauen wir uns einen der ersten Fälle, also nicht unbedingt den ersten Fall, aber einen der frühen ersten Fälle an, in denen Cyberangriffe öffentlich attributiert wurden. Und dazu machen wir eine Zeitreise, und zwar ins Jahr 2007. War da eigentlich Angela Merkel schon Bundeskanzlerin?

00:01:07-7 Lars Wallenborn: Ja. Ich habe vor allem in meiner Recherche, was im Jahr 2007 war, herausgefunden, dass DJ Ötzi in den Charts war, mit „Ein Stern, der deinen Namen trägt“.

00:01:19-1 Christian Dietrich: Ja, okay. Das reicht dann vielleicht auch, um uns in die Zeit zurück zu versetzen. Aber auf jeden Fall gab es zu der Zeit eine Hackergruppe, die aktiv war und die in signifikantem Maße Cyber-Einbrüche verursacht hat. Und das ist so ein bisschen der Aufhänger. Wir wollen uns diesen Fall heute ein bisschen genauer anschauen.

00:01:38-8 Lars Wallenborn: Und um nicht immer den sperrigen Ausdruck und auch irgendwie diesen urteilenden Ausdruck Hackergruppe zu verwenden, werden wir wahrscheinlich jetzt in dieser Folge immer vom Akteur sprechen. Also das hat nichts mit Theater zu tun, sondern das meinen wir jetzt als neutralen Ausdruck, um eine Gruppe von Cyber-Kriminellen oder Spionen zu bezeichnen. Was hat denn diese Gruppe Großes gemacht, Chris?

00:02:02-2 Christian Dietrich: Ja die hat ab 2007 – möglicherweise auch schon davor, aber da findet man nicht wirklich Belege für – im großen Stil Unternehmen und Institutionen im Luft- und Raumfahrtsektor angegriffen. Das auch erfolgreich, und hat so alle möglichen Erkenntnisse zu Satellitentechnik, Kommunikationstechnik abgegriffen. Und das eben gegen Ziele sowohl in den USA, in Europa, als auch in Japan.

00:02:26-6 Lars Wallenborn: Also waren auf der ganzen Welt aktiv.

00:02:29-1 Christian Dietrich: Genau. Und das eben über viele Jahre hinweg. Also mindestens sieben Jahre. Also auch wirklich eine ganze Zeit, und dann auch regelmäßig in der Zeit. Mindestens ein Vollzeitjob, und zwar für mindestens eine Person, wahrscheinlich sogar für mehrere.

00:02:41-2 Lars Wallenborn: Und ich würde mal für diese Folge vorschlagen, dass wir da die Analysten-Perspektive einnehmen. Also nicht aus Sicht des Angreifers herangehen, sondern wir tun jetzt so, als wären wir ein Cyber Threat Intelligence Analyst. Dafür spulen wir, glaube ich, am besten ein bisschen vor in der Zeit, da am besten, als es wirklich passiert ist, diese Analyse: Ins Jahr 2014.

00:03:02-3 Christian Dietrich: Genau.

00:03:02-3 Lars Wallenborn: Und wir wollen uns jetzt diese Aktivität angucken –  was das heißt, das machen wir gleich ein bisschen konkreter – und sie attributieren. Aber vielleicht wollen wir vorher noch darüber reden, warum?

00:03:12-0 Christian Dietrich: Ja, vielleicht hängen wir uns an diesem Begriff Attribution mal kurz auf. Attribution ist im Prinzip das, wenn man es jetzt mal vergleichen würde mit einer strafrechtlichen Ermittlung – ja, also das kennt man irgendwie, Polizei, Staatsanwaltschaften machen das, damit ist man vielleicht ein bisschen vertrauter. Und wenn das so im Spionagekontext angewendet wird, dann spricht man eben von Attribution. Ja, die Frage ist halt, warum will man überhaupt attributieren?

00:03:38-1 Lars Wallenborn: Ich denke, das hängt halt sehr davon ab, wer du bist. Es gibt glaube ich, einen ganzen Haufen von Gründen, warum man attributieren will. Aber ich glaube, gerade zum Beispiel für Staaten oder für große Unternehmen sind die Gründe eher verschieden. Also ich würde sagen, als ein großes Unternehmen – das ist dieser typische neue Enemy Standpunkt – dass man sagt, man will wissen, wer es auf einen abgesehen hat, damit man sich gegen den konkret besser verteidigen kann. Weil man sich nicht immer gegen alles verteidigen kann.

00:04:04-0 Christian Dietrich: Damit hängt auch vielleicht so ein bisschen zusammen, dass es sich bei diesen Akteuren, die sich gegen solche Unternehmen, solche großen Unternehmen richten, um sogenannte Advanced Persistent Threats handelt. Also quasi Akteure, die es nicht nur einmal probieren und dann aufgeben, sondern die es halt immer, und immer wieder probieren.

00:04:20-6 Lars Wallenborn: So richtig schön persistent.

00:04:22-2 Christian Dietrich: Ja genau. Mindestens so über diese sieben Jahre beispielsweise. Und das heißt, wenn ich einmal in die Arbeit investiert habe, und versucht habe zu verstehen wer das ist, dann kann ich vielleicht künftige Angriffsversuche besser abwenden. Wenn man sich jetzt vielleicht mal die Perspektive eines Staats anschaut, dann will man natürlich vielleicht so was erreichen wie tatsächlich Strafverfolgung. Also in dem Moment, wo  ich versuche herauszubekommen, oder tatsächlich herausbekomme, wer denn der Verursacher, der Täter einer bestimmten Aktion war, kann ich natürlich versuchen, den auch strafrechtlich zu belangen. Ein anderer Grund wäre vielleicht das Thema Abschreckung. Das heißt also, wenn ich irgendwie aufzeige, dass ich attributieren kann –  als Staat – dann überlegen sich das potenzielle zukünftige Täter vielleicht zweimal, ob sie denn tatsächlich so etwas durchführen. Ob das funktioniert oder nicht, können wir vielleicht erst einmal dahin gestellt lassen.

00:05:09-0 Lars Wallenborn: Ja, dazu habe ich gerade noch zwei Gedanken: Das erste was du sagst, mit der Strafverfolgung, also das stimmt natürlich. Aber gerade natürlich im Spionagekontext ist das mit der Strafverfolgung ein bisschen schwierig. Ich meine, der Spion, der da einen anderen Staat hackt, und da in gewisser Weise kriminelle Aktivitäten begeht, wird ja in seinem Staat dafür gar nicht verfolgt oder macht da was Falsches, sondern der macht da nur seinen Job. Und das mit der Abschreckung – ja, das stimmt. Also wenn man weiß, wer es ist, dann muss sich der Angreifer das zweimal überlegen. Oder auch anders formuliert, muss er mehr Arbeit betreiben, wenn er nicht direkt erkannt werden möchte – wenn das wichtig ist für den Akteur.

00:05:43-0 Christian Dietrich: Ja, und weil wir das Ganze so ein bisschen aus Analysten-Perspektive beleuchten wollen, stellen wir uns das Ganze jetzt mal so vor, dass wir – wie in diesen ganzen Kriminalfilmen üblich – wir haben also irgendwie diese Pinnwand. Diese Pinnwand, wo man irgendwie  Dinge mit so einem Pin dran heftet, und dann diesen roten Faden von Pin zu Pin zieht.

00:06:00-8 Lars Wallenborn: Ja, oder halt so ein ganzes Spinnennetz an Fäden hat, die dann in der Mitte zusammen laufen oder außen zusammen laufen oder so.

00:06:07-6 Christian Dietrich: Ja, jetzt fangen wir gerade aber mit der Analyse erst an, deswegen ist unsere Pinnwand natürlich leer.

00:06:11-7 Lars Wallenborn: Deswegen nehmen wir ein Post-it, machen ein Fragezeichen drauf und kleben es in die Mitte. Okay?

00:06:17-1 Christian Dietrich: Ja. Sehr gut. Okay, jetzt ist die Frage, in diesem Vorfall – diese Gruppe, die wir gerade angesprochen haben, Lars –  hat man da attributiert?

00:06:24-0 Lars Wallenborn: Ja. Das hat man gemacht. Und auch meiner Meinung nach sehr erfolgreich. Ich würde eigentlich mich sogar hinreißen lassen zu sagen, das geht inzwischen auch gar nicht mehr so erfolgreich. Weil alle sich mehr Mühe geben. Also da sind schon ganz viele Sachen zusammen gekommen, dass das so gut geklappt hat. Und wie funktioniert das überhaupt? Das würde ich vielleicht auch vergleichen mit so einem klassischen Verbrechen. Man hat einen Tatort, nur der Tatort ist jetzt halt das Internet oder der Cyberspace. Und an diesem Tatort hofft man, dass der Angreifer – oder hier der Akteur – Spuren hinterlässt, an denen man ihn irgendwie finden kann. Also erst mal feststellen kann, dass er da war und vielleicht auch wer er war.

00:06:59-9 Christian Dietrich: Wir reden jetzt halt nicht über Haare oder Fußabdrücke oder Fingerabdrücke, sondern natürlich über digitale Spuren. Und die können zum Beispiel so aussehen, dass irgendwie eine Art Schadsoftware verwendet wurde. Also erst mal die Tatsache, dass die Schadsoftware verwendet wurde, und dass diese Schadsoftware auch irgendwelche Begleitumstände erfordert. So was wie Domains, IP-Adressen, Server oder ähnliches, weil diese Schadsoftware ferngesteuert werden möchte. Also der Angreifer, der Akteur, möchte aus der Ferne bestimmte Aktionen in der Zielumgebung, in die er irgendwie eingedrungen ist, durchführen. Und dafür braucht er eben Schadsoftware. Und diese Schadsoftware hat dann nochmal so Begleitumstände oder Infrastruktur würde man vielleicht sagen, IT-Infrastruktur.

00:07:40-7 Lars Wallenborn: Schadsoftware ist hier jetzt übrigens synonym für Malware, den Begriff den man im Deutschen manchmal auch einsetzt, aber halt nicht immer. Aber Schadsoftware ist auf jeden Fall auch ein sehr schöner deutscher Begriff. Schön lang, zusammengesetzt – ich mag den.

00:07:51-8 Christian Dietrich: Ja und überall hinterlassen diese Akteure also virtuelle, charakteristische Spuren. Das heißt man muss sich vorstellen,  Spuren gibt es halt wie Sand am Meer, und der Schwerpunkt sollte hier vielleicht auf den charakteristischen Spuren liegen. Ja, was ist eine charakteristische Spur? Wie kann man sich das vorstellen? Da gibt es vielleicht eine Metapher: Und zwar kann man sich vorstellen, dass es durchaus möglich ist, das perfekte Verbrechen zu planen. Und möglicherweise auch das perfekte Verbrechen – wenn es denn genau nach Plan läuft – auch durchzuführen. Also wir stellen uns vor, es gibt den perfekten Bankraub. Also man plant alles bis ins Detail, und dann klappt dieser Plan und man kommt vielleicht als Täter auch davon.

00:08:34-7 Lars Wallenborn: Aber wie wir in der letzten Folge schon festgestellt haben, lohnt ja ein einzelner Bankraub mal so überhaupt nicht.

00:08:41-5 Christian Dietrich: Ja richtig. Und jetzt merkt man vielleicht als Akteur… man geht so in sich, auf seiner neuen Yacht, irgendwo – keine Ahnung – am Schwarzen Meer und überlegt sich: „Das lief ja ganz gut. Das will ich nochmal machen.“ Und dann macht man das ein zweites Mal, macht es ein drittes Mal, macht es ein viertes Mal und irgendwann wird man wahrscheinlich anfangen, charakteristische Spuren zu hinterlassen. Auch wenn man die vielleicht jedes Mal wieder sehr gut plant, diese Wiederholungstaten, dann wird man vielleicht unweigerlich bestimmte Muster erzeugen. Das heißt, bestimmte Dinge wird man auf gleiche Art und Weise erledigen. Also man wird vielleicht, was weiß ich, die gleiche Waffe verwenden, ja, so in der klassischen Kriminologie, und das sehen wir im Cyberspace halt auch.

00:09:26-9 Lars Wallenborn: Und es fängt bei so einfachen Sachen an, wie dass man die gleiche Schadsoftware einfach noch mal verwendet. Man hat da was programmiert, das verwendet man nochmal und dann erkennt man es wieder. Oder dass man, wenn man einen Server gemietet hat, man den gleichen Server einfach noch mal verwendet. Oder man nimmt einen anderen Server, aber aus irgendwelchen Gründen verwendet man eine Domain noch mal oder eine Adresse irgendwie noch mal. Oder selbst wenn man das Ganze einen Level weiter geht, und man ist super ordentlich und bei jedem Einbruch schreibt man seine Software komplett neu, selbst dann ist man halt letztendlich ein Mensch, der da an der Tastatur sitzt und seine Angewohnheiten hat. Und als Analyst versucht man diese Angewohnheiten zu identifizieren und wieder zu erkennen, in dem großen Heuhaufen von Spuren, der da im Internet ist. Dann ist die Hoffnung, dass der Akteur irgendwann auch noch so einen richtigen Fehler macht, dass man nicht nur in diesem Haufen an Spuren bestimmte Gruppen oder Cluster erkennen kann, sondern dass man dann so einem Cluster – weil ja ein Mensch hinter diesem Keyboard einen Fehler gemacht hat – diesem Cluster auch eine Person oder eine Gruppierung oder eine Institution zuordnen kann. Das wäre halt oder das ist die Königsklasse der Attribution, würde ich sagen.

00:10:41-6 Christian Dietrich: Das heißt also, der Bankräuber, der diesen perfekten Bankraub macht, der wird irgendwann leichtsinnig, weil es vielleicht zwei-, drei-, viermal geklappt hat, und dann fängt er halt an, Fehler zu machen. Und darauf wartet man als Analyst eben einfach nur. Vielleicht können wir, wenn wir die Attributionsmethodik mal genauer betrachten – also was macht man denn methodisch da eigentlich als Analyst, wenn man attributieren möchte? – in zwei Teile teilen. Nämlich einmal den technischen Teil, wo wir uns eher technische Aspekte anschauen und vielleicht dann auch noch mal so ein bisschen nicht-technische Aspekte. Lass uns doch mit den technischen mal anfangen. Du hast schon von charakteristischer Malware gesprochen. Wenn wir charakteristische Malware betrachten, dann ist das unheimlich schwer, das genau zu definieren. Was ist denn eine charakteristische Malware-Familie? Das sieht man auch in der Literatur, also immer dann, wenn von Malware-Familien gesprochen wird, ist es total schwer, das genau zu definieren. Und ich glaube das liegt daran, dass hier maßgeblich tatsächlich die Erfahrung eines Analysten ins Spiel kommt. Man kann das vielleicht so ein bisschen vergleichen mit – wie heißen diese Personen, in der klassischen Forensik? Die Blutspritzer-Analysten?

00:11:48-2 Lars Wallenborn: So wie Dexter in dieser Serie, BPA auf englisch.

00:11:52-1 Christian Dietrich: Genau. Und für uns sind das vielleicht nur ein paar Spritzer Blut an der Wand, aber der Spezialist, der kann daraus halt rekonstruieren, aus welcher Richtung wurde mit welchem Gegenstand vielleicht gestochen oder wie auch immer.

00:12:05-7 Lars Wallenborn: Bei Malware, würde ich sagen, ist das auch so. Das hängt sehr stark von der Erfahrung des Analysten ab, zu sagen: „Ja, das ist das Gleiche oder das ist was anderes.“ Und ich würde auch sagen, dass es sehr stark vom Fall abhängt. Manchmal sagt man, das ist die gleiche Familie, weil man vermutet, die wurde aus dem gleichen Quellcode kompiliert, wie man sagt – das werde ich gleich noch mal ein bisschen genauer erklären. Und manchmal reicht es auch nur, wenn man gewisse charakteristische Eigenschaften von so einer Malware sieht, die wiederkommen in einer anderen. Und dann würde man das auch der gleichen Familie zuordnen. Und das hat sehr viel mit Erfahrung zu tun, würde ich sagen.

00:12:38-1 Christian Dietrich: Man kann vielleicht ein paar Dinge auch fest definieren, von diesen Eigenschaften die du angesprochen hast. Und zwar so was wie welches Steuerprotokoll, welches Command and Control Protokoll spricht eine Malware. Das ist ja zum Beispiel auch häufig etwas was sich Akteure überlegen, wenn sie selber Malware schreiben. Das heißt, wie unterhält sich diese Malware mit einem Server, wenn sie ferngesteuert wird. Und Ähnlichkeiten in diesem Command and Control Protokoll sind zum Beispiel eine Eigenschaft, die man technisch auch tatsächlich irgendwie greifen kann.

00:13:07-7 Lars Wallenborn: So, und hier in dem Fall von diesem Akteur, hat man halt die gleiche Malware. Also man hat gesagt, man hat hier mehrere Beispiele von einer Malware und die wurde analysiert. Und dann hat man gesagt, die gehören jetzt zu einer Familie. Das heißt, in gewisser Weise hat man den gleichen Malware-Strang oder die gleiche Malware-Familie überall gesehen in diesem Einbruch. Und dann konnte man sich halt all diese Dateien, diese einzelnen Malware-Dateien angucken und aus denen dann wieder Spuren extrahieren. In dem Fall hat man da…ich hatte gerade schon angedeutet, es gibt den Vorgang des Kompilierens. Das machen nicht nur Hacker, sondern auch normale Programmierer. Wenn man Quellcode schreibt, dann wird der nicht einfach so auf dem Computer ausgeführt, sondern man muss den erst in eine Sprache übersetzen, die der Computer gut verstehen kann. Und diesen Vorgang nennt man kompilieren. Und das Programm das kompiliert, nennt man auch Compiler. Und diese Compiler, die hinterlassen selber auch wieder Spuren. Und eine Spur, die sehr häufig verwendet wird in der Analyse, ist der Zeitpunkt, an dem das Programm kompiliert wurde. Also Datum, Uhrzeit, als der Benutzer oder Programmierer, oder hier in dem Fall der Akteur, auf den Erstellen-Knopf in seiner Entwicklungsumgebung gedrückt hat.

00:14:15-8 Christian Dietrich: Genau. Also das ist quasi ein Artefakt. Also der Akteur hat nichts aktiv dafür tun müssen, dass es da reinkommt, sondern es passiert automatisch bei einigen Compilern – sagen wir mal, bei üblichen Compilern – in dem Moment, wo sie eben ihre Arbeit tun und die Malware in eine Form übersetzen, wie der Computer sie ausführen kann. Und wenn man jetzt eine ganze Menge an Schadsoftware-Samples, an Malware Samples aggregieren kann, die also alle diesem Akteur zuzurechnen sind, dann kann man auch da versuchen, da Muster zu erkennen. Zum Beispiel so was wie: Zu welchen Tageszeiten wurden denn Malware Samples kompiliert und zu welchen Tageszeiten nicht? Ja, weil da kann ich aus so einer Gesamtheit vielleicht herausrechnen, zu welchen Zeiten der Akteur eben wach war oder gearbeitet hat, also kompiliert hat, und zu welchen Zeiten eben nicht. Möglicherweise kann ich da so was wie die Wachzeiten im Prinzip herauslesen. Vielleicht kann ich auch so was wie Wochenrhythmen herauslesen. Also, wann ist das Wochenende? Das unterscheidet sich ja vielleicht eben von eher christlich geprägten Ländern, zu zum Beispiel eher muslimisch geprägten Ländern.

00:15:13-1 Lars Wallenborn: Oder auch bei sehr aktiven Akteuren, die quasi jeden Tag kompilieren, bei denen kann man feststellen, wenn sie es an einem Tag mal nicht gemacht haben, weil da zum Beispiel ein Urlaubstag war in irgendeinem Land…

00:15:22-3 Christian Dietrich: …oder ein Feiertag.

00:15:23-3 Lars Wallenborn: …oder ein Feiertag. Und jetzt hier, in unserem konkreten Fall, wurde diese Analyse durchgeführt und man konnte daraus grob ableiten, dass sich dieser Akteur, auf Basis dieser Kompilierzeitpunkte, wahrscheinlich irgendwo im asiatischen Raum aufhält. Das kann natürlich gefälscht werden, also der Angreifer oder der Akteur weiß natürlich auch, dass man diese Analysen durchführen kann. Oder vielleicht weiß er oder sie es, und kann dann entsprechend auch einfach falsche Uhrzeiten oder ein falsches Datum da eintragen. Und deswegen ist es bei der Attribution auch ganz wichtig, dass man nicht nur  einen roten Faden auf das Fragezeichen Post-it in der Mitte bewegt, sondern noch viel mehr Fäden. Da gibt es noch ein paar andere Fäden.

00:16:00-5 Christian Dietrich: Genau. Das heißt also, wir haben unsere Vermutungen, dass der aktuell im asiatischen Raum unterwegs ist. Das hatten wir über so einen roten Faden zu unserem Fragezeichen eben gezogen, und jetzt brauchen wir noch ganz viele mehr. Und wir können das zum Beispiel über die IT-Infrastruktur versuchen. Das heißt zum Beispiel, so was wie Domainnamen. Die müssen registriert werden. Da fallen also Metadaten an, und auch die können wir versuchen, uns genauer anzuschauen. Genau das wurde in der Analyse hier eben auch gemacht. Diese Domainnamen stehen eben in direktem Zusammenhang mit der verwendeten Malware, und immer dann, wenn man eine Domain registriert, muss man Registrierungsdetails angeben. Zum Beispiel eben Namen und Adressen. Wer möchte denn diese Domain hier registrieren? Zumindest bei den meisten Registraren ist das so. Dann kann man in der Analyse eben hergehen und versuchen die Metadaten, diese sogenannten Whois Informationen auszulesen – für alle Domains die eben registriert wurden und mit dieser Malware in Zusammenhang standen.

00:16:55-3 Lars Wallenborn: Und eine offensichtliche Gegenmaßnahme dafür ist, natürlich zu sagen, ich verwende einfach nicht meinen echten Namen, sondern verwende immer Heinz-Peter oder so – wenn ich nicht zufällig Heinz-Peter heiße. Und das hat dieser Akteur auch in vielen Fällen gemacht, aber wohl ganz am Anfang dieser ganzen Operation hat er das einmal nicht gemacht. Da kommt dann zum Tragen, wenn man als Analyst diese Daten schon lange mitgeschnitten hat. Ja, wenn man auch historische Daten zur Verfügung hat und nicht nur die aktuellen Registrierungsinformationen für Domains hat. Sondern auch die: Was stand denn in diesen Registrierungsinformationen vor einem Jahr, vor zwei Jahren, und so weiter? Das sind dann solche Fehler, die solche Akteure machen können. Und sehr  häufig wird an dieser Stelle oder generell bei der Analyse, zwischen Angreifern und Verteidigern angeführt, dass es zwischen den beiden ein Ungleichgewicht gibt. Also dass man sagt, der Angreifer, der muss nur einmal erfolgreich sein, und der Verteidiger, der muss bei jedem Angriff erfolgreich sein, damit er seinen Job machen kann. Und hier, würde ich sagen, ist das genau umgedreht. Weil, wenn der Verteidiger – also der Analyst hier in dem Fall – historische Daten zur Verfügung hat, dann muss der Angreifer nur ein einziges Mal so einen Fehler gemacht haben, und der Verteidiger kann dann auf diese Daten einfach später auch noch zugreifen.

00:18:02-0 Christian Dietrich: Ich will vielleicht das mit den historischen Daten noch einmal kurz erklären. Was war hier passiert? Also der Angreifer hat – versehentlich wahrscheinlich – mit seinem echten Namen eine Domain registriert, und hat das dann kurze Zeit später auch abgeändert. Ja, auf eine gespoofte Identität, auf eine gefälschte Identität. Aber das war halt zu spät. Weil in diesem historischen Datenbestand war diese Spur eben drin. Sie musste eben nur gefunden werden. Ja und jetzt kann man eben anfangen, alle diese Spuren zusammen zu führen – man spricht eben auch von Clustern – also quasi in eine Menge zusammen zu fassen, und dann kann man anfangen, dieser Menge vielleicht auch mal einen Namen zu geben. Oder diesem Akteur, diesem Profil was man da geschaffen hat, irgendwie einen Namen zu geben. Und das machen wir jetzt einfach mal, genau wie die Analysten es damals gemacht haben, und wir nennen diesen Akteur ‚Putter Panda’, oder APT2.

00:18:53-9 Lars Wallenborn: Sind einfach Phantasienamen. Da zieht man sich irgendwas aus dem Hut und bleibt dann dabei, damit man mit anderen Leuten auch darüber reden kann. Also wenn man sagt: „Ich glaube, dieses neue Malware-Sample, diese neue Malware die wir gefunden haben, die gehört zum gleichen Cluster, aus den und den Gründen.“, dann macht man dann so weiter.

00:19:09-6 Christian Dietrich: Genau. Und wenn man jetzt den vermeintlichen Echtnamen, der bei der Registrierung verwendet wurde, nämlich Chen Ping, und die Tatsachen, dass es halt irgendwo im asiatischen Raum, möglicherweise in China verortet wurde, oder dass die Aktivitätszeit darauf schließen lässt, dass der Akteur im chinesischen Raum agiert oder aus dem chinesischen Raum heraus, dann kann man mal annehmen, als Hypothese, dass es sich vielleicht um einen chinesischen Akteur handelt.

00:19:33-3 Lars Wallenborn: Aber bei vielen von diesen technischen Artefakten kann man halt immer oder sehr leicht sagen, das kann alles immer gefälscht werden. Da kann jemand einfach so tun, als wäre er der, oder man kann falsche Spuren hinterlassen oder so was. Und deswegen möchte man sehr gerne bei Attributionen nicht nur technische Kriterien oder Faktoren heranziehen, sondern auch nicht-technische. Und da gehen wir jetzt drauf ein.

00:19:52-3 Christian Dietrich: Genau. Das wäre zum Beispiel, dass man sich mal anschaut, wie ist denn die Interessenlage? Also quasi so eine geopolitische Einschätzung, macht das überhaupt Sinn, dass ein mutmaßlich chinesischer Akteur diese Ziele angreift, die wir eben eingangs erwähnt haben. Ja, das wäre eben so eine geopolitische Einschätzung. Dann hätten wir so was, was man als Open Source Intelligence bezeichnet. Das heißt, man versucht öffentlich zugängliche Informationen oder Datenbanken – das Internet – zu durchsuchen. Das klappte hier auch relativ gut, weil dieser Akteur Chen Ping eben Profile in öffentlichen Internetforen hatte.

00:20:30-1 Lars Wallenborn: Oder an diesem Zeitpunkt der Analyse würde man eher sagen: Im Internet gibt es eine Person, die den gleichen Namen verwendet. Und jetzt wollen wir irgendwie noch weitere…also auf unserer Pinnwand haben wir jetzt so ein neues Post-it dran geklebt, mit Chen Ping. Und ein Post-it mit einem Chen Ping, der irgendwie einen privaten Blog hatte, wo auch ein Geschlecht und ein Geburtstag drauf stehen. Und dann haben wir noch einen Chen Ping, der hat auf einem Internetforum über Programmierung ein Profil. Und jetzt versucht man all diese Chen Ping Personas mit mehr roten Fäden zu verbinden.

00:20:59-8 Christian Dietrich: Dabei hilft zum Beispiel, dass ein Picasa Web Fotoalbum gefunden wurde, das eben einem von diesen Chen Ping Profilen zugeordnet war, was eben eine ganze Menge an Fotos beinhaltet hat. Und zum Beispiel auch eben Chen Ping in Uniform gezeigt hat. Und es gab dann ein Album, das eben ‚Office‘ – also auf deutsch so etwas wie Büro oder Arbeit – hieß. Auf dem auch eine ganze Menge an Gebäuden…also da waren auch Fotos im Freien…da wurden eine ganze Menge an Fotos gemacht und diese Fotos konnte man dann eben auch geolocaten. Das heißt, man konnte also anhand der Objekte die im Hintergrund waren – da war so ein ganz charakteristischer Turm und da wusste man eben, diesen Turm, den gibt es eben so in der Form nur in Shanghai. Und dann konnte man schon mal annehmen: Okay, dieses Fotos ist eben wahrscheinlich in Shanghai entstanden. Und das hat sich wiederum gedeckt mit den Informationen, die in diesen anderen Profilen von Chen Ping, vermeintlich also demselben Chen Ping, in anderen Internetforen angegeben wurden. Zum Beispiel so etwas wie der Wohnort, da wurde dann eben Shanghai angegeben. Außerdem konnte man über diese Fotos andere Gebäude identifizieren. Und diese Gebäude hatte man eben vorher schon mit militärischen Einrichtungen in Shanghai in Verbindung gebracht. Das heißt, also es gibt da, sowohl auf den Fotos, als auch durch die Uniform, als auch durch die eigenen Angaben, die eben in diesen Foren getätigt wurden, nämlich, dass man irgendwie zum Militär oder zu einer Sicherheitsbehörde gehört, einen Bezug zum Militär.

00:22:21-9 Lars Wallenborn: Das ist auch der Grund, warum man umgangssprachlich hier von dem Hat-tribution Erfolg redet. Also das ist Attribution nur über einen Hat, über einen Hut. Weil auf einem der Fotos – das war irgendwie betitelt mit Dormitory oder irgendwie Wohnheim oder so – da standen so ganz viele Flaschen mit hartem Alkohol und daneben lagen so zwei Hüte vom Militär. Diese ganz charakteristischen Riesendinger. Und die konnte man dann eindeutig sogar einer konkreten militärischen Einheit zuordnen. So hat man halt das alles jetzt zusammen gebracht. Ja, also da ist einer, und der ist wahrscheinlich fürs Militär tätig, hat irgendwie programmiert, zumindest war er in einem Internetforum zur Programmierung, man hat sein Geschlecht und seinen Geburtstag über seinen privaten Blog und noch verschiedenen Social Media Seiten, wo auch noch weitere rote Fäden unserer Pinnwand hinzugefügt werden.

00:23:11-4 Christian Dietrich: Das heißt in dem Moment haben wir eine Idee, wie die Person, wie der Akteur heißt. Oder wie zumindest ein Mitglied dieser Hacker-Gruppe heißt, könnten ja auch mehrere sein. Man hat Informationen über das Geschlecht, den Geburtstag, die berufliche Tätigkeit, Aufenthaltsorte und so weiter. Das ist natürlich ein relativ detailliertes Profil was man dann schon hat. Darüber hinaus gibt es eine weitere Möglichkeit der nicht-technischen Analyse. Und zwar gibt es natürlich eine ganze Menge an anderen Vorfällen, die man zeitgleich vielleicht auch bearbeitet oder auch nicht zeitgleich bearbeitet, sondern in der Vergangenheit mal bearbeitet hat, und da möchte man natürlich sich entweder abgrenzen oder Überschneidungen finden. Das kann man zum Beispiel versuchen, indem man sich die Infrastruktur anschaut und über die Infrastruktur Überschneidungen feststellt.

00:23:51-3 Lars Wallenborn: Und mit Infrastruktur meinst du jetzt so Domainnamen und Server, die so im Internet sind?

00:23:55-4 Christian Dietrich: Genau. Also ist irgendeine von den Domains oder den IP Adressen, die für die Malware verwendet wurden, schon mal in der Vergangenheit verwendet worden? Und auch da, in diesem Fall, gab es eben eine Überschneidung mit einer vorherigen Analyse, die öffentlich gemacht wurde. Und das heißt, man hatte auch da so eine Überschneidung. Die ist nämlich damals auch einem Arm oder einem Zweig des chinesischen Militärs zugerechnet worden. Das heißt, also auch da gibt es quasi keine widersprüchlichen Informationen oder keine widersprüchliche Schlüsse, sondern eben eher bestärkende, kohärente Schlüsse.

00:24:26-6 Lars Wallenborn: Genau. Und das ist für mich sehr, sehr wichtig, dass das Gesamtbild in so einer Analyse kohärent ist. Vielleicht darf es hier und da mal so ein bisschen haken, aber insgesamt muss, so wie hier, sich ein stimmiges Gesamtbild ergeben, wo man sagt: „Ja, das ist anscheinend jemand, der war von 2007 bis jetzt 2014 aktiv, war wahrscheinlich so ein Mitte 30-jähriger, wahrscheinlich Soldat, hat wahrscheinlich für die chinesische Armee gearbeitet und hat wahrscheinlich in Shanghai gelebt.“

00:24:51-1 Christian Dietrich: Und wenn man alle diese Analyseschritte eben sorgfältig und intensiv durchlaufen hat, und das Gesamtbild danach immer noch kohärent ist, also auf mindestens eine Person zeigt, die eben etwa Mitte Dreißig ist, männlich, Soldat der chinesischen Armee, in Shanghai wohnend und dort auch beruflich tätig, dann kann man halt sagen, ist der Gesamteindruck, eben das Gesamtbild tatsächlich kohärent. Und dann glaube ich, hat die Attribution an der Stelle auch ein entsprechendes Gewicht.

00:25:21-0 Lars Wallenborn: Wir haben, um das noch ein bisschen in Perspektive zu setzen…also so was passiert nicht immer so sauber, wie das hier geklappt hat. Also da gehörte jetzt schon dazu, dass der Akteur wahrscheinlich in seiner Jugend ein paar Fehler gemacht hat oder irgendwie zu öffentlich war oder die Domain einfach mal auf seinen Namen registriert hat, das dann später geändert hat und so weiter. Also das hier ist schon so ein richtiger Bilderbuchfall von Attribution, würde ich sagen.

00:25:44-0 Christian Dietrich: Ja, ich weiß nicht, ob ich das so sehen würde. Ich würde eher sagen, das hier war ein Fall, wo man einfach den entsprechenden Aufwand betrieben hat, auch Analysten-seitig und sehr diszipliniert alle diese Analysemethoden abgearbeitet hat. Ich gebe dir recht, das bedeutet nicht automatisch immer Erfolg hinsichtlich Attribution. Aber ich glaube, das kann man hier schon sagen, dass einfach der entsprechende Aufwand durchaus notwendig war, um tatsächlich eben – das sind ja letztlich eben wirklich nur vereinzelte Fehler – und die muss man halt finden und die muss man dann eben zu diesem Gesamtbild zusammen setzen. Aber klar, du hast natürlich auch recht, das Ganze hat sich weiterentwickelt. Also hier, zum Ende dieser Attribution, dieses Attributionsprozesses, befinden wir uns im Jahr 2014, und danach hat sich natürlich vieles weiter entwickelt. Also sowohl die Analysten entwickeln sich weiter, klar, aber natürlich die Akteure auch.

00:26:32-5 Lars Wallenborn: Aber das Gute ist, dass dann trotzdem am Ende noch Menschen am Keyboard sitzen. Zumindest sieht es so aus, dass das noch eine Weile so bleibt. Und diese Menschen sind Menschen und machen deswegen auch Fehler. Also wie du gerade schon sagtest, das sind zwar weniger Fehler geworden und ich würde schon sagen, dass sich die Akteure ein bisschen weiter entwickelt haben und auch mehr aufpassen –  das ist jetzt immerhin sieben Jahre her und so – aber es sind Menschen, und sie werden ihre Gewohnheiten haben und weiterhin Fehler machen. Und vielleicht können wir dann jetzt in den Fazit-Teil dieser Folge übergehen?

00:27:01-9 Christian Dietrich: Ja, wir können vielleicht noch mal kurz zusammenfassen, welche Analysemethoden wir jetzt hier beleuchtet haben und was dabei herumkam. Wir haben angefangen mit charakteristisch eigener Malware, haben wir gesagt, also Experten-Erfahrung und vielleicht auch ein großer Korpus an bestehender Malware, mit der man das Ganze eben abgleichen kann. Wir haben uns die Zeitstempel angeschaut, die in den Malware-Samples vom Compiler als Artefakte entstehen, und da heraus resultierend eben die zeitlichen Muster. Also Tageszeiten, Nachtzeiten, Wochenenden, Feiertage. Wir haben uns die IT-Infrastruktur Metadaten angeschaut, so was wie Domains. Wer hat sie registriert? Wann wurden sie registriert? Und ähnliches. Das war so der Bereich aus dem technischen Teil. Und dann hatten wir den non-technischen Teil, in dem wir uns eben die geopolitische Gesamtsituation angeschaut haben und festgestellt haben, es handelt sich also um eine Militäreinheit, die eben genau auch auf diesen technologischen Bereich der Satelliten- und Luft- und Raumfahrttechnik zugeschnitten ist. Wir haben Open Source Intelligence betrachtet. Also das Sichten von öffentlich zugänglichen Informationen, Internetforen, Profilen, und so weiter. Und eben die Überschneidungsanalyse und das Abgrenzen,  beziehungsweise eben Überschneidungen finden mit bisherigen Fällen oder anderen Fällen.

00:28:15-2 Lars Wallenborn: Genau, und hier ist es auch wichtig, dass man einen großen Korpus an bestehender Malware schon haben muss, mit der man vergleichen kann. Oder einen großen Korpus an bestehenden Domain Metadaten, mit denen man vergleichen kann. Es ist auch wichtig, dass man einen bestehenden Korpus von Threat Intelligence hat, mit dem man vergleichen kann.

00:28:29-5 Christian Dietrich: Jetzt muss man vielleicht nochmal deutlich sagen, das Beispiel, was wir jetzt hier gebracht haben, ist eben ein Beispiel für eine, ja ich sage mal, nicht-nachrichtendienstliche Attribution. Ja, das heißt, wir haben hier natürlich an keiner Stelle irgendwie klassische nachrichtendienstliche Mittel gesehen. Und das liegt natürlich auch daran, dass diese Attribution maßgeblich aus der Privatwirtschaft gemacht wurde. Das heißt, man kann sich vor Augen führen, dass wir wenn wir so im nachrichtendienstlichen Umfeld das Ganze betrachten, natürlich noch weitere Methoden haben. Also wir wissen ja, dass Nachrichtendienste ganz andere Befugnisse haben, wenn es zum Beispiel darum geht, Verkehr mitzuschneiden, abzugreifen und so weiter. Das heißt, da gibt es sicherlich auch andere Methoden.

29:07-0 Lars Wallenborn: Oder auch Menschen in ein anderes Land zu schicken, um da sich mit anderen Menschen anzufreunden, die vielleicht mehr wissen und so weiter. Das hat alles hier nicht stattgefunden.

00:29:14-1 Christian Dietrich: Trotzdem hat die Attribution hier, würde ich sagen, relativ gut  funktioniert. Woran kann man das vielleicht auch festmachen? Ja, also dieser Akteur, Putter Panda, der ist halt tatsächlich verstummt. Mit öffentlich machen der Attributionsergebnisse ist dieser Akteur im Prinzip von der Bildfläche verschwunden. Zumindest gemessen anhand der Kriterien, anhand gemessen an dem Profil, was man über die Attribution herausgefunden hat.

00:29:35-9 Lars Wallenborn: Genau. Es könnte natürlich sein, dass die gleiche Person einfach all ihre Malware weggeschmissen hat und sich alle Gewohnheiten umorientiert hat, umgezogen ist, sodass man ihn nicht mehr wieder erkennen kann, in dem Heuhaufen, den man jetzt vor sich hat.

00:29:51-1 Christian Dietrich: Wir haben hier natürlich ein Beispiel rausgesucht – ganz bewusst – wo die Attribution sehr gut geklappt hat. Natürlich gibt es eine ganze Reihe Fälle, wo die Attribution nicht immer so einfach ist oder wo man vielleicht auch nicht mit dem Detailgrad, also bis auf eine bestimmte Person attributieren kann. Und deswegen wird das wahrscheinlich nicht die letzte Folge zur Attribution gewesen sein.

00:30:12-5 Lars Wallenborn: Stimme ich zu.

00:30:15-5 Christian Dietrich: Wir hoffen, euch hat diese Folge gefallen, und bis zum nächsten Mal. Ciao.

00:30:20-4 Lars Wallenborn: Tschüss.