#8 Close Access Operations — Cyberspionage Hautnah

Wenn Cyberagenten im gleichen Hotel wie ihre Ziele unterkommen und das Hotel-WLAN kompromittieren, dann fehlt die sonst übliche Distanz des Internets. In dieser Folge gehen wir auf eine Reise durch die Niederlande, die Schweiz und das Vereinigte Königreich. Wir folgen den Spuren der Cyberspionen, beleuchten wie sie vorgehen und welche Werkzeuge sie benutzen.

Shownotes

Transkript anzeigen…

00:00:20 Christian Dietrich: Hallo liebe Cyberfreunde. Mein Name ist Chris und ich bin Professor für Cybersicherheit an der Westfälischen Hochschule.

00:00:28 Lars Wallenborn: Und hallo, ich bin Lars. Ich arbeite als Softwareentwickler und Reverse Engineer bei CrowdStrike.

00:00:34 Christian Dietrich: Wir haben uns heute ein Thema rausgesucht, das ein bisschen weniger mit Malware, aber dafür mehr mit Spionage zu tun hat. Dazu versetzen wir uns noch mal in die Lage der Olympischen Sommerspiele 2016. Die waren nämlich in Rio, in Brasilien. Das Besondere an diesen Olympischen Sommerspielen war – und dazu müssen wir noch mal ein paar Jahre zurückschauen, nämlich zwei Jahre zurück zu den Olympischen Winterspielen, die 2014 in Sotschi in Russland stattfanden, – dass hier eine relativ wichtige Entscheidung noch ausstand. Nämlich die, ob russische Athletinnen und Athleten teilnehmen dürfen an den Olympischen Sommerspielen. Denn zwei Jahre vorher, also bei den Olympischen Winterspielen, war Russland die mit Abstand erfolgreichste Nation, also über 30 Medaillen insgesamt, davon elf Goldmedaillen. Aber durch Ermittlungen im Zusammenhang mit Doping sind insgesamt dann 48 Medaillen von russischen Athletinnen und Athleten zurückgezogen worden. Mehr als nur für die Olympischen Winterspiele 2014.

00:01:41 Lars Wallenborn: Und das war schon ein ziemlich großes Ding. Das ist zentral rausgekommen durch so eine ARD Dokumentation, die hieß „Geheimsache Doping. Wie Russland seine Sieger macht.“

00:01:49 Christian Dietrich: Von Hajo Seppelt.

00:01:51 Lars Wallenborn: Es gibt von dieser Dokumentation auch so eine Transkription, die wurde dann auch übersetzt. Wahrscheinlich, damit sie irgendwie in Anklageschriften verwendet werden kann und so weiter. Und die kam halt dann im Dezember 2014 raus und hat rausgebracht, dass Russland im großen Stil Doping bei den Olympischen Spielen unterstützt. Von staatlicher Seite. Und das hat wahrscheinlich viele Gründe. Ich denke mal, die Olympischen Spiele sind für viele Staaten ein richtiges wichtiges Ding – und gerade für Russland. Das spielt da, glaube ich, eine große Rolle. Das hat mit Nationalstolz zu tun, und hat man auch, glaube ich, viel genutzt damals, um von anderen innenpolitischen Problemen abzulenken. Und deswegen kam das gar nicht so gelegen, dass jetzt öffentlich wurde, wie da gedopt wurde und dass da gedopt wurde.

00:02:37 Christian Dietrich: Und weil dieses Thema eben von so hohem Interesse ist, also auch von politischem Interesse, macht es natürlich aus russischer Perspektive Sinn, dass man hier die Nachrichtendienste darauf ansetzt, als erste zu wissen, ob Russland denn jetzt ausgeschlossen wird oder nicht von den Olympischen Sommerspielen.

00:02:54 Lars Wallenborn: Genau. Ich fasse das noch mal kurz auf der Zeitleiste zusammen. 2014 waren die Olympischen Winterspiele in Russland in Sotschi, dann kamen die Dopingvorwürfe und dann musste entschieden werden, ob bei den Olympischen Sommerspielen zwei Jahre später, Russland überhaupt noch mitmachen darf oder nicht.

00:03:11 Christian Dietrich: Genau. Und in dem Moment betritt im Prinzip die erste Person die Bühne, die heute in der Folge noch mehrmals zutage treten wird. Und hier handelt es sich um einen russischen Agenten mit dem Namen Serebriakov, der eben auch zurzeit der Olympischen Sommerspiele in Rio vor Ort war. Das war nicht das erste Mal, dass er da war. Denn etwa einen Monat vorher war er schon mal für neun Tage in Rio. Und wir wissen gar nicht genau, was er da vor Ort gemacht hat, aber es ist ziemlich klar, dass er hier im Auftrag des russischen Nachrichtendienstes GRU nach Rio gereist ist. Die Olympischen Sommerspiele fanden statt und russische Athletinnen und Athleten durften teilnehmen, wenn auch unter etwas kuriosen Bedingungen, durften also nicht wirklich Russland vertreten in allen Disziplinen. Die Details ersparen wir euch da jetzt. Auf die wollen wir nämlich gar nicht unbedingt näher eingehen. Der interessante Teil der Geschichte, der beginnt nämlich nochmal etwa einen Monat später und der findet maßgeblich in Lausanne in der Schweiz statt.

00:04:18 Lars Wallenborn: Und dafür müsste man vielleicht wissen, auf welcher Basis so jemand überhaupt ausgeschlossen wird von den Olympischen Spielen. In dem Fall war es so, dass die WADA – das ist so eine weltweit operierende Organisation gegen Doping – die hat gegenüber dem Komitee, das die Olympischen Spiele ausrichtet, empfohlen, Russland komplett auszuschließen. Und in Lausanne – das was du jetzt ansprechen möchtest – da hat die nämlich eine Konferenz veranstaltet. Und da spielte Russland eine große Rolle. Wir haben uns mal so ein Meeting Protokoll runtergeladen. Wenn man darin nach Russland sucht oder nach Russia sucht, dann sind da auch 33 Hits. Also ich vermute mal, in diesem Meeting wurde da viel drüber gesprochen, auch wenn ich dieses ewig viele Seiten Dokument gar nicht komplett selber gelesen habe.

00:05:00 Christian Dietrich: Und der vorher benannte russische Agent Serebriakov war natürlich auch in Lausanne. Und zwar war er hier vom 18. September bis zum 22. September. Das ist eben genau der Zeitraum, in dem auch die von der WADA organisierte Anti Doping Konferenz stattfand. Und zwar in einem Hotel mit dem Namen Alpha Palmiers. Genau in diesem Hotel haben eben Serebriakov und ein Kollege von ihm sich auch zu dieser Zeit aufgehalten. Also die haben sich quasi aufgeteilt, einer war in dem Palmiers und einer war in dem anderen Hotel, das direkt um die Ecke war.

00:05:38 Lars Wallenborn: : Oder es waren einfach zwei russische Spione zufällig in der Schweiz im Urlaub, während eine Anti Doping Konferenz stattgefunden hat. Ein weiteres Event, das ein paar Monate nach dieser Konferenz und nach diesem Aufenthalt dieser beiden Spione in der Schweiz stattgefunden hat, oder was sich ereignet hat, war, dass das Canadian Centre for Ethics in Sport seine Netzwerke abgeschaltet hat. Das war im November 2016, also wie gesagt kurz danach. Wir können jetzt nicht nachweisen, dass das was damit zu tun hatte, aber man vermutet, dass da ein Hackerangriff stattgefunden hat. Und es ist möglich, sage ich mal, dass diese beiden Sachen irgendwas miteinander zu tun haben. Und eine Sache, die da passiert sein könnte, ist, dass diese beiden Spione in diesem Hotel in der Schweiz – da waren ja alle möglichen Abgesandten von allen möglichen Ländern da, auch aus Kanada – dass die da vielleicht Informationen akquiriert haben oder sogar Zugangsdaten irgendwie eingesammelt haben von den Leuten, die da in dem Hotel waren. Um dann einen Hackerangriff, einen Angriff auf dieses Canadian Centre for Ethics in Sport zu ermöglichen, zu einem späteren Zeitpunkt. Und solche Operationen, dass man einen Angreifer irgendwo hinschickt, in die physische Nähe seiner Ziele, solche Operationen nennt man Close Access Operations. Und darüber wollen wir heute reden.

00:07:00 Christian Dietrich: Du hast das gerade so vorsichtig formuliert, dass es möglicherweise diesen Zusammenhang geben kann zu der Abschaltung des Netzwerks, da im Canadian Centre for Ethics in Sport. Ich glaube, das ist tatsächlich ziemlich belastbar. Ich glaube, man hat da den Kausalzusammenhang tatsächlich herstellen können, indem man eben beobachtet hat, dass die beiden Agenten – unter ihnen eben einmal hier Serebriakov und sein Kollege – tatsächlich versucht haben, hier Malware auf dem Notebook eines Offiziellen des Canadian Centre for Ethics in Sport zu platzieren. Genau. Aber das ist eben Kern einer Close Access Operation, wenn man in physikalischer Nähe zur Zielperson ist.

00:07:44 Lars Wallenborn: Also um die Zeitlinie jetzt noch mal so ein bisschen ordentlich aufzubereiten: 2014 Olympische Winterspiele in Russland. Kurz danach kommt raus, dass Russland ein staatlich organisiertes Dopingprogramm hat. 2016 werden sie so semi ausgeschlossen von den Olympischen Spielen in Rio. Dort taucht dann unser Hauptakteur auf, Serebriakov. Kurz danach, im gleichen Jahr – auch 2016 – in der Schweiz, taucht er wieder auf: Auf einer Anti Doping Konferenz mit einem Kollegen zusammen. Und kurz danach werden wahrscheinlich Daten, die da gesammelt wurden, gegen eine kanadische Organisation eingesetzt, um da einzufallen. Kommen wir zur zweiten Geschichte.

00:08:20 Christian Dietrich: Im Folgejahr betritt ein anderer Agent – aber am selben Ort, nämlich auch in Lausanne – die Bühne, nämlich Sergejew. Und diesmal fand das WADA Annual Symposium in Lausanne statt. Es geht also wieder um Anti Doping. Und wieder ist ein vermeintlicher russischer Agent in der Nähe. Und dieser Agent Sergejew, der verknüpft das Ganze noch mal mit einem weiteren Vorfall, mit einem größeren Vorfall, über den wir jetzt als zweites sprechen wollen. Nämlich den Anschlag, den Vergiftungsanschlag gegen Sergej Skripal und seine Tochter.

00:08:55 Lars Wallenborn: So, und dieser Sergejew, der verknüpft jetzt ganz leicht diese beiden Ereignisse. Also der war 2017 in Lausanne und 2018 war er sehr zentral in die Vergiftung der Skripals verwickelt. Also man sagt, er hat da irgendwie die Operation on the Ground irgendwie vor Ort koordiniert. Ich glaube, also man vermutet, dass er nicht selber den Giftstoff ausgebracht hat, aber dass er irgendwie dabei geholfen hat oder das irgendwie koordiniert hat da, und war auch vor Ort in England.

00:09:26 Christian Dietrich: Jetzt müssen wir vielleicht noch mal kurz aufrollen, wie die Skripal Vergiftung und wie auch die Aufklärung danach so ein bisschen passiert ist. Sergej Skripal und seine Tochter wurden am 4. März 2018 in Salisbury in England mit Nowitschok vergiftet. Das ist ein Nervengift. Beide überleben nur knapp. Und dazu muss man vielleicht sagen, Skripal war Doppelagent. Also ehemaliger Agent des russischen Militärnachrichtendienstes GRU, der ja eben schon mal zur Sprache kam, ist dann angeworben worden vom britischen MI6, also quasi Doppelagent. Und na ja, es wurde berichtet, unter Berufung auf einen ranghohen Mitarbeiter der NATO Spionageabwehr, dass Skripal bis 2017 für insgesamt vier Nachrichtendienste von NATO Staaten gearbeitet habe. Also Skripal war da vielleicht …

00:10:16 Lars Wallenborn: Ziemlicher „busy beaver“ irgendwie.

00:10:17 Christian Dietrich: Genau.

00:10:18 Lars Wallenborn: Das war ein Riesending damals, 2018. Das war richtig in den Massenmedien. Und das Besondere an diesem Nowitschok Nervengift ist auch, dass ist so eine russische Entwicklung. Inzwischen steht das wahrscheinlich vielen Akteuren zur Verfügung aber es hat immer eine ganz starke Signalwirkung. Wenn heutzutage noch jemand mit Nowitschok vergiftet ist, dann kann man lapidar sagen „Die Russen waren’s und wollen auch signalisieren, dass sie es waren.“ Und das ergibt ja in dem Fall auch Sinn, dass da quasi der russische Geheimdienst ein Zeichen setzen wollte, dass das mit diesem Doppelagent sein, dass das nicht läuft.

00:10:49 Christian Dietrich: Natürlich läuft nach so einem Anschlag die Aufklärung an. Und da muss man eben sagen, gibt es hier vielleicht zwei wichtige Teile. Nämlich zum einen, da das Ganze in England passiert, gibt es natürlich englische, also britische Institutionen, Polizei und so weiter, die das versuchen aufzuklären. Und darüber hinaus gibt es aber noch eine ziemlich wichtige Organisation, die hier auch involviert ist, nämlich die OPCW. Und die OPCW, also wofür steht das? Das ist die Organisation for the Prohibition of Chemical Weapons. Oder auf Deutsch, die Organisation für das Verbot chemischer Waffen. Das ist eine unabhängige internationale Organisation, die durch die Vertragsstaaten der Chemiewaffenkonvention begründet wurde. Also eine internationale Organisation, keine direkte UN Organisation. Die ist 1997 gegründet, sitzt in Den Haag in den Niederlanden, und so kommen eben auch die Niederlande hier so ein bisschen ins Spiel. Und die Niederlande als Gastgeber haben eben die Aufgabe, die OPCW zu beschützen. Und jetzt ist eben folgendes passiert: Man hat eben nicht nur das Ganze durch britische Institutionen aufklären lassen, sondern man hat eben auch die OPCW involviert. Oder die OPCW hat sich ins Spiel gebracht, weil sie eben sehr viel Expertise hinsichtlich der Analyse von chemischen Kampfstoffen hat. Und darunter fällt eben auch Nowitschok, das hier verwendete Nervengift. Die OPCW scheint ein Geheimlabor zu betreiben, aber bedient sich durchaus auch anderer akkreditierter Labore. Und eins davon ist das Labor Spiez in der Schweiz. Und es ist gut möglich, dass das Labor Spiez auch mit einer Analyse von Nervengiftproben beauftragt wurde. Kommen wir zurück zu unserer Person Serebriakov. Denn was bringt diese Person hier ins Spiel? Bis jetzt muss man sagen, gibt es eigentlich noch keinen Link zwischen Serebriakov und dem Skripal Anschlag. Außer, dass Serebriakov für die selbe Organisation arbeitet wie Sergejew. Das ändert sich aber, als Serebriakov im April 2018 – am 10. April, also knapp einen Monat nach der Vergiftung von Skripal – in Amsterdam mit dem Flugzeug landet, mit dem Ziel, nach Den Haag weiterzufahren. Zu dem Zeitpunkt war aber auch schon relativ klar, dass es etwa sieben Tage später weitergehen sollte. Nämlich nach Basel, in die Schweiz.

00:13:23 Lars Wallenborn: Gut, dann wollen wir uns jetzt mal Serebriakov und sein in Anführungszeichen soziales Netzwerk anschauen, also die Leute, mit denen er da wahrscheinlich unterwegs ist. Denn wie sich rausstellt, war er weder in der Schweiz, noch die paar Jahre später in Den Haag alleine unterwegs, sondern hatte da einige Leute dabei, oder mindestens irgendeine andere Person dabei.

00:13:45 Christian Dietrich: Wir wollen uns dabei insbesondere auf den Vorfall in Den Haag konzentrieren, denn hier waren vier russische Agenten im Einsatz. Serebriakov und ein Kollege, der ähnlich wie Serebriakov technisch ausgelegt war. Also ein IT-affiner Agent, ein Cyberagent, könnte man sagen. Die beiden waren aber nicht alleine unterwegs, sondern die hatten eben HUMINT Support, also zwei weitere Agenten an ihrer Seite, die ebenfalls namentlich bekannt sind. Genau. Die zum Beispiel den Wagen gemietet haben, mit dem man dann irgendwie vom Flughafen Amsterdam Schiphol nach Den Haag gefahren ist, und so weiter. Die immer zugesehen haben, dass man den Müll irgendwie einsammelt und mitnimmt, damit man vielleicht nicht irgendwo Spuren hinterlässt und so weiter.

00:14:33 Lars Wallenborn: Du hast jetzt gerade einfach mal so en passant HUMINT verwendet. Vielleicht sollte man dann noch ganz kurz kommentieren, was du meintest. Die hatten zwei Leute dabei als HUMINT Support. Also HUMINT – es gibt ganz viel -INT, und HUMINT ist eine Form davon. Das bezeichnet verschiedene Formen von Intelligence und HUMINT steht für Human Intelligence, und das ist dieser ganze Klischee-Spion-Kram. Also Leute, die undercover irgendwo hingehen und wie du gerade gesagt hast, ihren Müll nirgendwo zurücklassen und falsche Papiere dabei haben. Also dieser Hollywoodfilm-Spion-Stuff mit Leuten mit Aktenkoffern voller Geld, und verschiedenen Ausweispapieren für verschiedene Länder, und so weiter und so fort. Und zwei davon waren dabei, die hießen Minin und Sotnikov. Und diese vier sind dann in Amsterdam gelandet. Am Flughafen haben sie sich dann ein Auto gemietet – da sind doch irgendwie so Quittungen rausgekommen – und sind mit diesem Auto dann zur OPCW gefahren.

00:15:36 Christian Dietrich: In Den Haag angekommen, ja, wie geht man da jetzt vor? Also es wird relativ offensichtlich aus dem Folgenden, dass es eben wieder eine Close Access Operation werden soll. Warum? Weil sie zunächst mal im Marriott Hotel direkt neben dem OPCW Gebäude einchecken. Das ist relativ gut und detailliert dokumentiert, weil eben die niederländischen Behörden hier diese Personengruppe observiert haben. Das heißt, die sind denen gefolgt. Und die haben eben alle Aktionen im Auge gehabt, haben diese Gruppe aber erst mal gewähren lassen. Jetzt muss man sich vorstellen, die fahren also mit ihrem Auto auf den Parkplatz vorm Hotel – das kann man sich vielleicht wirklich ganz gut aus so einer Vogelperspektive vorstellen – und da gibt es so einen relativ durchsichtigen Zaun, der … das ganze also im April, Anfang April, da waren die Bäume noch nicht wirklich grün … man konnte also ziemlich gut durch diesen Zaun sehen, auf das OPCW Gebäude. Und wo stellen die hier Auto hin? Ja natürlich in den Spot des Parkplatzes, wo sie irgendwie mit dem Kofferraum in Richtung OPCW zeigend parken können.

00:16:45 Lars Wallenborn: Und der Kofferraum? Der ist vollgestopft mit Hacker Tools. Da sind so Wi-Fi Antennen mit großer Reichweite drin, Batterien um Laptops und Computer zu betreiben, ein kleiner Transformer, um da irgendwie von den Batterien den Strom umzuspannen, und so weiter und so fort.

00:17:02 Christian Dietrich: Einige Handys …

00:17:04 Lars Wallenborn: Handys auch noch. Genau. Dieses ganze Equipment wurde dann später untersucht und man hat versucht wieder zu rekonstruieren, wofür das gedacht war. Und so wie das aussieht, waren quasi die Leute vor Ort dafür verantwortlich, dieses Equipment da auszurichten und zu betreiben, damit dann weitere Cyber Operateure aus der Ferne darüber dann das OPCW Netz kompromittieren können.

00:17:27 Christian Dietrich: Jetzt muss man sich eben vorstellen, das Auto ist geparkt, der Rechner wird hochgefahren oder die Rechner werden hochgefahren, die LTE Verbindung wird hergestellt, die Wi-Fi Antenne wird irgendwie in Position gebracht, noch so ein bisschen mit so einem Mantel abgedeckt, und jetzt schlagen die niederländischen Behörden eben zu. Also jetzt erfolgt ein Zugriff und die werden eben in flagranti erwischt. Jetzt muss man sich vorstellen: Mindestens einer von den Betroffenen checkt sofort, was Sache ist, schmeißt Handys auf den Boden, tritt drauf, also versucht auf die Art und Weise irgendwie Beweise zu vernichten. Aber die Lage ist eigentlich unmissverständlich jedem klar. Genau. Und in der Folge wird eben auch alles an Material dokumentiert durch die Niederländer. Und ein Großteil dieses Materials, würde ich sagen, ist eben auch öffentlich zugänglich. Oder unter anderem gibt es hier eine ganze Reihe an Spuren, die belegen, dass Serebriakov eben auch in Rio war. So schlägt sich der Bogen zu der Geschichte, die wir am Anfang erzählt haben. Und dass bereits Zugtickets gebucht waren, in die Schweiz. Nämlich nach Basel. Und von da aus möglicherweise weiter in Richtung Labor Spiez.

00:18:35 Lars Wallenborn: Und das war so richtig … also hat man so richtig Computerforensik gemacht. Also da kann man sich so richtig vorstellen, dass das, was wir Techies machen, dass das da eine Rolle spielt. Also hat sich jemand hingesetzt und den Laptop analysiert und herausgefunden, zu was für Wi-Fis der vorher connected war. Und da sind halt diese ganzen Sachen aufgeploppt, die du gerade erwähnt hast, Chris. Irgendwie das Palace Hotel in Lausanne und dann noch irgendwelche Wi-Fis, die man in Rio irgendwie zugeordnet hat, aber auch so was wie das Wi-Fi vom von einem russischen Flughafen und so weiter. Also da hat man so richtig schön technische Analysen gemacht, die dann da diese ganzen Fälle wieder zusammengezogen haben. Genau. Um das nochmal gerade so ein bisschen zusammenzufassen, weil es waren jetzt viele Namen, viele Zeiten, viele Personen: 2016, Serebriakov und ein Kollege, der Morenets, sind in Lausanne. Wahrscheinlich um für Russland da entweder Zugang zu besorgen zu Leuten, die an dieser Konferenz teilnehmen oder vielleicht auch einfach als Rache dafür, dass da Russland von den Spielen ausgeschlossen wurde und so. Und zwei Jahre später sind sie wieder für eine ähnliche Operation, aber in einem anderen Auftrag unterwegs, und zwar diesmal in den Niederlanden. Da sind sie beim OPCW und sollen da auch wieder so eine Close Access Operation durchführen und naja, also wurden da quasi in flagranti, kurz bevor sie wirklich losgelegt haben, erwischt und die Operation wurde abgebrochen. Und auch die darauffolgend geplante Operation, die wahrscheinlich dann auf das Labor Spiez es abgesehen hatte, wurde auch direkt mit vereitelt. Also ich ziehe meinen Hut vor den niederländischen Ermittlern hier, die da den Sack zugemacht haben.

00:20:18 Christian Dietrich: Richtig schön Gegenspionage gemacht. Ja, vielleicht beleuchten wir jetzt mal so ein bisschen, warum macht es überhaupt Sinn, Close Access Operationen zu machen?

00:20:29 Lars Wallenborn: Weil erst mal ist das natürlich super aufwendig. Also ich kann mir vorstellen, dass erst mal ich persönlich, wenn ich ein Hacker wäre, dann würde ich viel lieber vor meinem Computer sitzen, als dass ich durch die Weltgeschichte gondle, mit meinem eigenen Körper, der dann vielleicht verhaftet wird und ich in einem Gefängnis lande oder solche Dinge. Da bleibe ich doch lieber zu Hause vor meiner Tastatur sitzen.

00:20:51 Christian Dietrich: Vor allem, wenn man das vergleicht mit den sonstigen Infektionsvektoren, die wir so vorgestellt haben im Cyberbereich. Also sprich Spear-Phishing Mails verschicken. Hört euch dazu vielleicht noch mal die Folge zu Olympic Distroyer an…

00:21:03 Lars Wallenborn: Das heißt, es ist also viel billiger in gewisser Weise, diese Cyberoperationen aus der Ferne durchzuführen. Warum überhaupt Close Access? Warum überhaupt Leute mit einem Flugzeug durch die ganze Weltgeschichte gondulieren?

00:21:16 Christian Dietrich: Vermutlich auch viel weniger Risiko behaftet.

00:21:18 Lars Wallenborn: Genau. Man hinterlässt viel weniger Spuren. Also auch, wenn man meiner Meinung nach Spuren im Cyberspace hinterlässt. Wenn man im physischen Raum sich bewegt, hinterlässt man viel mehr Spuren, da hinterlässt man Zeugenaussagen, da hinterlässt man vielleicht irgendwelche Quittungen und eventuell auch seinen Müll, wenn man nicht aufpasst und so weiter.

00:21:38 Christian Dietrich: Trotzdem gibt es natürlich Ziele, die mit solchen Close Access Operationen verfolgt werden. Das kann zum Beispiel eben sein: Typische Collection Requirements. Also quasi, dass man einfach Informationen sammelt, an die man vielleicht auf anderem Wege eben nicht unbedingt kommt. Oder man hat es probiert und es funktioniert vielleicht nicht so. Das heißt Spear-Phishing Mails funktionieren vielleicht aus irgendwelchen Gründen nicht oder funktionieren nicht in time. Also man hat ja auch einen gewissen zeitlichen Rahmen, in dem man vielleicht so ein Ziel einer Mission erfüllen muss. Und wenn das nicht klappt, macht es vielleicht Sinn, auf eine Close Access Operation zurückzugreifen. Und dieses Informationen gewinnen kann zum Beispiel ja bedeuten, dass man Netzwerkverkehr mitschneidet. Das heißt, wenn ich in dem Hotel Wi-Fi bin, in dem gleichen Hotel Wi-Fi wie mein Ziel, dann habe ich vielleicht andere Möglichkeiten, den Verkehr mitzuschneiden, als ich das aus der Ferne hätte.

00:22:32 Lars Wallenborn: Und Verkehr mitschneiden ist natürlich attraktiv, aus ganz vielen verschiedenen Gründen. Also erst mal, wenn sich da jemand über eine unverschlüsselte Verbindung irgendwo einloggt – und das ist früher mehr passiert als heute, aber ich meine, selbst heute passiert das noch – dann kann man vielleicht die Zugangsdaten, die da verwendet wurden, mitschneiden. Man kann, wenn über diese unverschlüsselten Netzwerkverbindungen so sensitives Material übertragen wurde wie irgendwelche Dokumente oder E-Mails, kann man die auch mitschneiden und für alle möglichen Dinge verwenden. Zum Beispiel um sie zu leaken oder um sogenannte Tainted Leaks durchzuführen. Das sind Leaks, in denen man noch so ein paar Falschinformationen reinpackt, sodass das insgesamt sehr glaubwürdig und whistleblowy aussieht, aber letztendlich dann doch die Ziele von dem Akteur verfolgt, der das geleakt hat. Oder zu guter Letzt, oder wie sagst du immer?

00:23:21 Christian Dietrich: Das jute alte Kompromat. Was ist das denn eigentlich?

00:23:27 Lars Wallenborn: Das sind nicht öffentliche Informationen, die rufschädigend sind. Das ist auch, ich glaube, das ist sogar irgendwie ein Begriff, der…

00:23:35 Christian Dietrich: Ein russischer Begriff, glaube ich.

00:23:37 Lars Wallenborn: Ein russischer Begriff. Und das bezeichnet halt einfach, du hast irgendwie belastendes Material …

00:23:42 Christian Dietrich: Kompromittierendes Material.

00:23:44 Lars Wallenborn: … kompromittierendes Material, Urlaubsfotos von einem Politiker mit seiner Geliebten am Strand oder so was halt. Aber die Hoffnung ist halt, dass wenn man jetzt vor Ort ist, dann ist man da im gleichen Wi-Fi und kann eventuell diese ganzen Daten mitschneiden. Diese Daten, die verlassen dieses Wi-Fi eventuell nicht, oder verlassen es erst und sind dann verschlüsselt, oder sind dann halt im Internet als Ganzes, wo man sehr viel schwerer rankommt als direkt vor Ort. Und eine zweite Sache, die man da eventuell machen kann, neben diesem Collection, wäre auch Access. Also Zugang zu Computersystemen sich zu verschaffen, indem man da irgendwie versucht Rechner zu infizieren. Und das ist jetzt noch nicht mal unbedingt der berühmte USB-Stick wie in einem Film, der reingesteckt wird, um dann irgendwie Malware auf dem Computer zu installieren, während der Besitzer des Laptops gerade auf dem Klo ist oder so was. Da kann man vielleicht auch noch ganz andere Dinge tun. Also wie gesagt, ich habe ja noch nie irgendwas offensives gemacht. So cool es auch wäre, es gemacht zu haben. Aber ich könnte mir vorstellen, was man alles machen kann, wenn man so ein Wi-Fi, so ein WLAN kompromittiert. Da gibt es ja meistens so Dinger, wenn man sich in Wi-Fi einloggt, wo man dann noch bestätigen muss: Hier, ich akzeptiere die AGBs, und meine Zimmernummer ist die und die. Diese Dinger nennt man Captive Portals. Und man könnte die zum Beispiel manipulieren, sodass da dann, weiß ich nicht, ein Text draufsteht, der so was heißt wie: Um ins Internet zu kommen, musst du das hier downloaden und ausführen. Und dann laden die Leute das runter und führen es aus. Weil das ist ja das Captive Portal vom Hotel, die werden schon nichts machen.

00:25:15 Christian Dietrich: Jetzt können wir vielleicht noch mal kurz ein bisschen den Bogen schließen. Was wir nämlich wissen ist, dass unsere russischen Agenten in Lausanne Access, also Zugriff, auf andere Systeme bekommen haben. Sie haben eben mindestens das WLAN in dem Hotel, in dem sie waren, kompromittiert. Und sie haben eben mindestens einen Computer kompromittiert, nämlich den von diesem kanadischen Offiziellen. Wir wissen aber nicht, wie sie genau technisch vorgegangen sind. Das ist also nicht öffentlich dokumentiert. Aber da hast du ja gerade schon so ein paar Ideen in den Raum geworfen und vielleicht können wir da noch mal ein paar weitere Beispiele sammeln, um einfach so ein bisschen zu verdeutlichen vielleicht, was man da so tun kann und was da vielleicht so die Gefahren sind.

00:25:57 Lars Wallenborn: Und was überraschend daran ist, man braucht gar nicht so viel Equipment. Also man muss nicht den Kofferraum voller Hacker Tools haben, um so was zu tun. Also ich sage mal, für so eine Low Key Close Access Operation reicht eigentlich schon ein Laptop mit einer guten WLAN Karte. Die WLAN Karte muss so was können, das nennt man Promiscuous Mode, und dann kann man schon sehr viel Wi-Fi Traffic mitschneiden. Das heißt nicht unbedingt, dass man allen Wi-Fi Traffic kriegt. Gerade heutzutage, da wird doch alles immer immer besser mit dem Datenschutz und so. Aber damit kommt man schon ein ganzes Stück weiter. Und du hast dir, glaube ich, auch so ein paar Sachen ganz konkret angeguckt, oder?

00:26:31 Christian Dietrich: Ja, ich habe mir mal eine Sache angeschaut. Genau. Super Interessant finde ich folgendes: Die ganzen Pentester kennen das wahrscheinlich, klar, das ist irgendwie altbekannt. Aber Windows, das Betriebssystem, was vermutlich ja viele auf ihren Rechnern irgendwie zum Einsatz bringen, das hat so einen Mechanismus, der nennt sich Link Local Name Resolution. Das heißt, das vertraut unter gewissen Voraussetzungen seinen Nachbarn, sag ich mal. Und damit meine ich die Rechner, die im selben Netzsegment liegen. Und das ist vermutlich bei einem WLAN auch erfüllt. Im Internet ist das aber nicht erfüllt, diese Voraussetzung. Und jetzt gibt es halt folgenden Trick: Man kann als Angreifer im selben Netzwerksegment – also als jemand, der so eine Close Access Operation fährt und das Hotel Wi-Fi irgendwie kompromittiert hat oder zumindest im selben Wi-Fi ist – kann man mit einem Tool, das nennt sich Responder, solche lokalen Namensauflösungen umleiten oder da gespoofte Antworten irgendwie zurückschicken.

00:27:28 Lars Wallenborn: Und das coole an diesem Responder Tool in diesem Kontext ist auch, dass wir auch wissen, dass das zum Einsatz kam von von unseren beiden russischen Spionen. Also wir wissen, Responder wurde von denen eingesetzt, um da Netzwerke, um dieses Netzwerk da anzugreifen.

00:27:40 Christian Dietrich: Genau, für die Techies unter euch, man muss sich das so vorstellen: Also das Windows des Zielsystems wird getriggert, um bestimmte Namensauflösungen vorzunehmen. Der Angreifer erfüllt diese Namensauflösung, das heißt also liefert da eine Antwort zurück. Und dann versucht Windows mit dem Zielsystem, also mit dem Zielsystem des Angreifers, irgendwie eine Verbindung aufzubauen. Und in den Schritten gibt es eben Protokollnachrichten, die man abgreifen kann. Und wenn man Glück hat, kann man daraus Zugangsdaten, so was wie Benutzername und Passwort rekonstruieren. Klappt nicht immer, aber das kann man versuchen. Und das ist eben ein Weg, den man aus der Ferne nicht durchführen kann, sondern den muss man lokal machen, so in der Form, wie wir ihn hier beschrieben haben.

00:28:22 Lars Wallenborn: Eine weitere Sache, die man lokal machen kann, wenn man bereit ist, sich dafür spezialisierte Hardware anzuschaffen, zum Beispiel – also muss man nicht, aber das macht es einfacher – sind sogenannte Rogue Access Points. Eine klassische, fertige Hardwarekomponente davon heißt Wi-Fi Pineapple. Das erwähnen wir jetzt hier auch noch, insbesondere, weil wir auch von den Fotos, die da in dieser niederländischen Untersuchung rausgekommen sind, wissen, dass die russischen Agenten so einen Pineapple dabei hatten im Kofferraum. Wir wissen nicht, ob er eingesetzt wurde und wofür und ob er überhaupt eingesetzt werden sollte. Vielleicht haben sie ihn nur mitgenommen als Option. Aber das ist so ein typisches Tool, was da zum Einsatz kommt. Und was macht das? Das kann man sich so vorstellen. Dann gibt es da so ganz viele Wi-Fi’s, die heißen dann …

00:29:05 Christian Dietrich: Du kommst hier net rein.

00:29:07 Lars Wallenborn: Genau. Und so ein Rogue Access Point, der macht sich quasi das zunutze. Der macht sich das zunutze, indem er selber unter dem gleichen Namen ein WLAN aufmacht. Und den kann man dann auch so konfigurieren, dass er die Clients von dem ersten, von dem echten WLAN dazu überredet, sich neu zu authentifizieren und so, sodass dann dieser Access Point so tut, als wäre er das Wi-Fi, mit dem man sich eigentlich verbinden wollte. Aber eigentlich ein ganz anderer ist. Also man kann – wenn man sich Mühe gibt – dann kann man halt nach hinten raus auch das Internet anbinden. Das heißt, die Leute haben die normale Experience, sie connecten sich zu dem Wi-Fi, haben Internet. Aber was dann in Wirklichkeit passiert, ist, dass dieser Pineapple dazwischen sitzt, so als Man in the Middle, und dann halt auch den ganzen Traffic mitschneiden kann.

00:29:51 Christian Dietrich: Lars, das war ja in der Vergangenheit, würde ich sagen, mal erfolgversprechender. Also heute hat sich das ein bisschen geändert, würde ich sagen. Oder? Also der Angriff, den kann man immer noch machen. Es ist vielleicht fraglich, ob man damit heute noch so wahnsinnig viel Informationen rauskriegt.

00:30:08 Lars Wallenborn: Ja, ich denke auf jeden Fall weniger weniger als früher. Also irgendwann gab es ja diese große Initiative von Let’s Encript und so, die gesagt haben, wir verschlüsseln jetzt mal das ganze Internet. Das war der Zeitpunkt, wo dann plötzlich – das haben vielleicht viele gar nicht mitbekommen – anstatt http:// oben in der Zeile plötzlich https:// steht. Ja, das ist ein einziger kleiner Buchstabe, aber ein Riesenunterschied. Der sorgt nämlich dafür, dass der ganze Netzwerk Traffic verschlüsselt wird. Von dem Computer, der da durch das Internet browsed, bis zu dem Server, der das Internet zur Verfügung stellt, der ist dann komplett verschlüsselt und auch authentifiziert. Das heißt, wenn da dann so ein Rogue Access Point in der Mitte ist, dann kann der nicht in den Traffic reingucken und kann den insbesondere auch nicht manipulieren. Also eine Sache, die man dann zum Beispiel auch machen könnte bei unverschlüsselten Traffic, wäre halt, dass man einfach so was macht wie: Jedes Mal, wenn jemand eine executable Datei runterlädt, liefere ich stattdessen Malware aus. Also dann ist man auf microsoft.com, lädt ein Windows Update runter, aber in Wirklichkeit ist es Malware. Dann sieht es so aus dann für die Person, dass man von der Microsoft Seite Malware heruntergeladen hat. Und eigentlich vertraut man microsoft.com ja. Solche Angriffe sind heute so ohne Weiteres nicht mehr möglich …

00:31:14 Christian Dietrich: Du Optimist.

00:31:15 Lars Wallenborn: … weil das ganze Internet verschlüsselt ist. Und wer seine Website nicht mit HTTPS anbietet, der ist selber schuld. Ja.

00:31:27 Christian Dietrich: So. Das heißt, wir haben jetzt so ein paar Beispiele genannt, was man technisch tatsächlich machen könnte, wenn man Close Access hat und insbesondere, was man vielleicht eben nicht aus der Ferne machen kann. Warum sich Close Access also lohnt. Wenn man das mal versucht so ein bisschen zu abstrahieren, ist Folgendes: Man verlässt sich eben nicht so sehr darauf, dass ein Mensch social engineered werden muss. Also wenn ich das noch mal kontrastiere, vielleicht zu Spear-Phishing E-Mail, dann brauche ich da in jedem Fall immer noch so die Interaktion des Benutzers. Und durch immer mehr Aufklärungskampagnen, Awareness, kann es natürlich sein, dass die Zielperson, auf die man es abgesehen hat, die Phishing E-Mail als solche enttarnt, und einfach dieser Vektor nicht funktioniert. Das mag vielleicht bei Close Access Operationen auch zu einem gewissen Grad gelten, aber wenn ihr euch mal so vielleicht ein bisschen dran erinnert, wenn ihr euch in WLANs einloggt, dann sehen ja irgendwie diese Captive Portals überall anders aus. Also es ist total schwer, den Sollzustand von einem Captive Portal im Vorhinein irgendwie abzusehen.

00:32:28 Lars Wallenborn: Ja, also bei den meisten Hotels in denen man ist, da sieht das Captive Portal einfach schon so aus, als wäre es kompromittiert, aber ist es gar nicht. Das sieht immer so aus. Das Hotel will einfach, dass man in dieses komische Feld da seinen Namen einträgt und auf Absenden drückt. Und in gewisser Weise, du hast gerade gesagt, das verlässt sich nicht so sehr darauf, dass Leute gesocialengineered werden. Wenn man sich doch noch darauf verlässt, sind es quasi auch leichtere Ziele. Weil die Leute da auch quasi ja bereit sind, mehr Risiken einzugehen. Die sind da irgendwie im Ausland, brauchen jetzt dringend Internetzugang, weil sie, weiß ich nicht, noch wichtige Emails verschicken würden. Die sind ja alle so super wichtig und deswegen brauchen sie jetzt Internet. Und deswegen klicken sie da überall drauf, und laden alles runter und führen alles aus, was da irgendwie nicht bei drei auf den Bäumen ist. Ja, und dagegen vorzugehen ist halt super schwer. Weil du hast ja gesagt, es gibt da so ganz viele E-Mail Kampagnen, und auch von Google diese Kampagne, wo man irgendwie raten soll, ob es Spam ist oder nicht und so was. Und das geht halt viel besser. Weil der E-Mail Client immer gleich aussieht und die E-Mails, die man bekommt, die sehen grob alle gleich aus. Da kann man den Leuten leichter beibringen: Hey, wenn da was ungewöhnlich ist, wenn da was phishy aussieht, dann ist es vielleicht auch phishy. Aber so was kann man bei Captive Portals nicht machen. Die sehen sowieso immer anders aus.

00:33:39 Christian Dietrich: Das bringt mich wieder zu deiner Büffeltheorie.

00:33:43 – 00:34:39

Lars Wallenborn: Ja, wobei die Büffeltheorie hier nicht ganz passt. Die passt hier nicht ganz, aber gut. Okay, wir können noch mal gerade über die Büffel reden. Ja, ja, die Büffeltheorie, die passt hier nicht so ganz. Aber ich dehne sie mal ein bisschen aus. Also, warum Close Access? In gewisser Weise, weil alle Büffel plötzlich lecker sind. Also, wenn ich so im Internet bin und versuche, Ziele zu kompromittieren, dann sind da ja alle anderen Leute auch da im Internet und dann – das hat natürlich Vorteile, das heißt also, alle Leute sind da, auch die Dummen – und dann kann man sich die leichtesten Ziele aussuchen. Aber die leichtesten Ziele sind vielleicht doch nicht die interessantesten. Dann wäre es doch vielleicht ganz gut, so eine Art Vorauswahl zu haben, dass man nur noch interessante Ziele hat. Zum Beispiel nur noch hochoffizielle Persönlichkeiten, die irgendwas mit Anti Doping zu tun haben. Und bei so einer Close Access Operation muss ich mir diese Ziele nicht suchen. Da setze ich mich in das Hotel, wo die WADA diese Konferenz organisiert und warte, bis meine Ziele zu mir kommen, bis mir quasi die Büffel in den Mund fliegen.

00:34:42 Christian Dietrich: Ich habe noch nie Büffel gegessen. Ich weiß gar nicht, ob die so lecker sind, aber wie auch immer.

00:34:46 Lars Wallenborn: So, dann versuchen wir jetzt mal unter dem Ganzen einen Strich drunter zu machen und nochmal so ein bisschen aufzuzählen, worüber wir geredet haben. Eine Sache, die für mich hier sehr zentral ist – hatten wir eben ganz kurz angesprochen, als wir darüber geredet haben – was man mit Close Access Operation erreichen kann. Also wir hatten da zwei mögliche Ziele, nämlich Access oder Collection. Und wir wissen hier in dem Fall, dass einige dieser collecteten Daten dann auch später verwendet wurden. Da ist jetzt so ein bisschen verworren, aber bleibt bei mir. Es gab so eine Webseite, die hieß fancybaer.net, war das glaube ich. Darauf hat sich quasi eine selbsternannte Hacktivistengruppe dargestellt. Die hat sich Fancy Bear’s Hackteam genannt, und hat da quasi Dokumente von so Anti Doping Organisationen und von Doping Kontrollinstanzen geleakt. Stellt sich raus: Diese Hacktivistengruppe war gar keine Hacktivistengruppe, sondern wahrscheinlich eine staatlich gesteuerte Organisation. Und die haben halt im Rahmen dieser Close Access Operationen, die wir heute beschrieben haben, Daten gesammelt von solchen Doping Kontrollinstanzen, haben die so ein bisschen modifiziert und dann geleakt. Um halt in dem Fall die Interessen Russlands zu unterstützen. Und das ist halt sehr fies, sag ich mal. Weil dann denkt man so: Ah ja, das ist ja ein Whistleblower. Und die sind da irgendwie … die leaken einfach nur Sachen – Informationen sind frei – in die Öffentlichkeit. Dann werden die Materialien analysiert und dann stellt sich raus, da hat jemand gedopt.

00:36:31 Christian Dietrich: Okay, das Ganze soll abstrakt also so aussehen: Guck mal, es gibt zig andere Sportler von anderen Nationen, die hier auch dopen. Und das versucht man ja mit solchen Dokumenten zu untermauern. Ein weiteres Ziel für Nachrichtendienste, insbesondere hier vielleicht so was wie die Collektion, ist eben, dass man eben in andere Organisationen pivoten kann. Man könnte sich vorstellen, wenn man jetzt von solchen sportbezogenen Institutionen hier Zugangsdaten abgreift und Identitäten annehmen kann, dann könnte man das wiederum verwenden, um dann zum Beispiel politische Ziele, ich sage mal zum Beispiel im Innenministerium oder so was anzugreifen. Also politische Institutionen, die dann wieder einen Bezug zu der Sportinstitution haben. Wo es vielleicht bestehende Kommunikationskanäle gibt oder wo man sich irgendwie kennt. Und das erlaubt eben dem Nachrichtendienst dann, sich in solche Kommunikationskanäle einzuklinken und eben Zugriff zu bekommen auf weitere Ziele. Also das, was man eben so als Pivoting vielleicht auch bezeichnen könnte. Und das macht natürlich Sinn, weil klar, für so einen Nachrichtendienst gibt es immer viele verschiedene Targeting Requirements gleichzeitig. Während wir jetzt hier vielleicht maßgeblich so diesen Sportsektor beleuchtet haben, gab es natürlich für die GRU die ganze Zeit über natürlich auch weiterhin die Anforderung, hier militärische Ziele nach Möglichkeit auszukundschaften.

00:37:52 Lars Wallenborn: Kommen wir dann wieder zurück zu dem ersten Charakter, der heute aufgetaucht ist Serebriakov. Der ist nämlich, seitdem er dann da erwischt wurde, nicht mehr irgendwie öffentlich aktenkundig geworden. Also wir wissen nicht, was mit ihm passiert ist. Er ist bisher nirgendwo noch mal angeklagt worden, vielleicht auch nicht mehr verreist. Der ist völlig in der Dunkelheit verschwunden.

00:38:14 Christian Dietrich: Was mir so ein bisschen hängengeblieben ist, wenn man jetzt diese Story von dem OPCW Vorfall in Den Haag so hört: Das heißt, da sind irgendwie vier Agenten, die sitzen in einem Auto und dann werden die da auf frischer Tat ertappt. Dann fragt man sich doch: So, was ist jetzt? Die werden doch bestimmt verhaftet. Und jetzt gibt es vielleicht zwei Fragen. Die erste Frage ist vielleicht: Ist das, was sie bisher gemacht haben, nämlich diese Vorbereitung da, ist das überhaupt strafbar? Ich denke, vermutlich schon. Also zumindest das, was da dokumentiert ist, da gehe ich schon davon aus, dass das irgendwie strafbar wäre. Obwohl ich jetzt auch das niederländische Strafrecht natürlich nicht so kenne. Aber was viel wichtiger ist: Man hat dem Ganzen versucht so ein bisschen vorzubauen, indem nämlich diese vier Agenten, die hier eingereist waren, mit Diplomatenpässen eingereist waren. Und das bedeutet, die genießen vermutlich diplomatische Immunität. Das bedeutet, dass sie eben größtenteils nicht der Strafbarkeit unterliegen. Und das wiederum bedeutet, dass eben so ein staatlicher Akteur – oder generell staatlich gestützte Akteure – solche Close Access Operationen prima vorbereiten können, oder mit einem etwas anderen Risiko möglicherweise fahren, wenn sie ihre Leute noch unter Diplomatenschutz stellen können.

00:39:29 Lars Wallenborn: Weil staatliche Akteure halt Diplomatenpässe drucken können. Was hier auch passiert ist, was hier auch absurderweise passiert ist, mit direkt aufeinanderfolgenden Passnummern und so. Also ich habe hier manchmal das Gefühl, hier wurde alles so ein bisschen übers Knie gebrochen.

00:40:02 Christian Dietrich: Wir hoffen, wir haben euch mit dieser Folge mal ein bisschen Einblicke geben können in Close Access Operationen. Natürlich haben wir auch ein bisschen das Glück gehabt, dass diese Operationen relativ gut dokumentiert waren. Man findet nämlich gar nicht so wahnsinnig viele öffentlich gut dokumentierte Close Access Operationen.

00:40:19 – 00:40:41

Lars Wallenborn: Aber wie immer: Alles, was wir verwendet haben für die Recherche zu dieser Folge, packen wir auch wieder in die Shownotes. Das heißt, wenn ihr da selber ein paar Spuren verfolgen wollt, dann könnt ihr das gerne mal alles durchlesen. Da sind auch bestimmt noch ganz viele weitere Details und ungeschliffene Diamanten drin versteckt, die wir jetzt komplett übersehen haben in der Vorbereitung. Dabei wünsche ich euch viel Spaß und dann hören wir uns beim nächsten Mal wieder. Ich freu mich drauf.

00:40:43 Christian Dietrich: Bis zum nächsten Mal. Tschau.

#7 Olympic Destroyer — Der Cyber-Angriff auf die Olympischen Winterspiele 2018

Was ist eine False-Flag-Operation? Wie bereiten staatliche Cyberkräfte eine Sabotage-Aktion mittels Wiper-Malware vor? Wie erleben Betroffene einen solchen Angriff und wie wehren sie ihn ab? In dieser Folge bereiten wir den Cyberangriff gegen die Olympischen Winterspiele 2018 in Südkorea auf und versuchen Antworten auf die oben genannten Fragen zu geben. Folgt uns auf eine Reise in die Welt der Cybersabotage und die Herausforderungen der Attribution.

Shownotes

Transkript anzeigen...

„In der Zielumgebung der olympischen Winterspiele schaffen es die Agenten, einen Administrationsaccount zu ergattern. Sie nutzen diesen Account, um auf mehr als 16.000 Computern in der Zielumgebung Passwörter abzugreifen. Insgesamt bekommen sie somit die Zugangsdaten zu 400 verschiedenen Accounts.“

00:00:40 Christian Dietrich: Hallo liebe Cyberfreunde. Mein Name ist Chris. Ich bin Professor für Cybersicherheit an der westfälischen Hochschule…

00:00:46 Lars Wallenborn: …und hallo, ich bin Lars. Ich arbeite als Softwareentwickler und Reverse Engineer für CrowdStrike.

00:00:51 Christian Dietrich: Den Einspieler, den wir gerade gehört haben, der bezieht sich auf Inhalte aus einem relativ großen Vorfall, über den wir heute sprechen wollen. Und das Ganze bezieht sich auf die Olympischen Winterspiele 2018, die in Südkorea stattfanden. Und zwar in der Stadt Pyeongchang.

00:01:09 Lars Wallenborn: Nicht zu verwechseln mit Pjöngjang. Das ist eine ganz andere Stadt natürlich. Ja, und warum spielt das eine große Rolle? Na ja, gut, es sind erst mal Olympische Winterspiele, das heißt also ein weltweit riesen Event. Ja, also jeder kriegt das mit, wenn Olympische Winterspiele sind.

00:01:22 Christian Dietrich: Zum zweiten war es ein destruktiver Angriff. Also es ging um Sabotage.

00:01:25 Lars Wallenborn: Und das ist immer was ganz besonderes. Wenn man nur unseren Podcast hört, könnte man denken, dass jeder zweite oder dritte Cyberangriff ein Sabotageangriff ist, aber das ist mitnichten so. Wir finden die nur besonders interessant. Deswegen machen wir dazu so viele Folgen. Wie zum Beispiel die Folge Nummer Fünf, über die destruktive Malware Shamoon. Genau. Und das hier war auch so ein Sabotage Fall.

00:01:42 Christian Dietrich:  Und das dritte Argument ist vielleicht, wir haben ja so ein gewisses Faible für Attribution oder Fragen der Attribution, und auch vor dem Hintergrund ist dieser Vorfall besonders interessant. Man könnte sich nämlich hier im Kontext die Frage stellen: Was ist eigentlich eine False Flag Operation?

00:01:57 Lars Wallenborn: Und wir werden unter anderem auch jetzt gleich abdecken, wie lange so eine Vorbereitung auf so einen Angriff oder einen Hack überhaupt ist. Also da gibt es ja verschiedenen Filme oder Serien, die das verschieden gut oder schlecht darstellen. Also wie sich nämlich herausstellen wird – oh Wunder –  ist es nicht eine Person, die vor vier Monitoren sitzt und wild auf einer Tastatur herum tippt, sondern es ist eine monatelange Vorbereitung von vielen Leuten, die daran Vollzeit arbeiten. Und das kann man hieran auch gut erkennen.

00:02:25 Christian Dietrich: Ja. Außerdem ist für diesen konkreten Fall ganz interessant, dass kürzlich ein Kopfgeld ausgesetzt wurde oder eine Belohnung. Nämlich in Höhe von 10 Millionen US Dollar – durch das FBI –  für Hinweise zur Ergreifung der betroffenen Personen, der Beschuldigten hier. Und das unterstreicht nochmal, dass der Fall auch heute noch – also mehr als vier Jahre später – noch wichtig zu sein scheint. Lars, wie lange dauert denn eigentlich so eine Vorbereitung von so einem Hack?

„Der Agent beginnt mit der Reconnaissance. Er recherchiert, welche Firmen die Olympischen Winterspiele unterstützen. Unternehmer, die als Partner oder Sponsor auf der Webseite genannt werden, geraten so ins Fadenkreuz. Er verfasst Spear-Phishing E-Mails und schickt sie an 29 Adressen bei diesen Partnerunternehmen. Darunter befinden sich auch IT Dienstleister. Der Agent fälscht den Absender der E-Mail, sodass sie angeblich vom IOC Commission Chairman kommt. Der Anhang ist eine schadhafte Word Datei, die den Computer infiziert, auf dem sie geöffnet wird. Außerdem wird die Domain msrole.com registriert.“

00:03:36 Lars Wallenborn: So, und das ist alles passiert – du hattest ja gerade gefragt – im November 2017. Also es geht um die Olympischen Spiele 2018 und das ist jetzt im Vorjahr und da im November. Da sind also verschiedenen Dinge passiert. Und wie wir gerade gehört haben, da ist etwas, das nennt man, wenn man sich edel ausdrücken will Reconnaissance. Also da hat eine Person recherchiert, was überhaupt gute Ziele sind. Ja, also in dem Fall was IT Dienstleister sind, die die olympischen Spiele versorgt haben.

00:04:02 Christian Dietrich: Genau. Und das ist der Startpunkt. Das heißt also, das war scheinbar der Zeitpunkt, wo der der Angreifer, also die Akteure begonnen haben, diesen Angriff, den wir später noch kennenlernen werden, vorzubereiten. Und bei solchen öffentlichen Veranstaltungen ist ganz praktisch, dass die natürlich auch ihre Sponsoren darstellen wollen. Das heißt, in der Reconnaissance wurde hier eben ausgelotet, welche Dienstleister gibt es denn? Man muss sich das im Prinzip so vorstellen, dass es natürlich Partnerunternehmen gibt, die da bestimmte Dienstleistungen erbringen. Das ist also nicht die Kernorganisation für Olympische Spiele, die jetzt da zum Beispiel die IT Infrastruktur macht, sondern das sind natürlich Zulieferer. Also große IT Unternehmen beispielsweise, vielleicht auch kleine, die da bestimmte Aufgaben eben übernehmen.

00:04:49 Lars Wallenborn: Und dabei geht es halt darum, dass man da so als Angreifer, ich sage immer gern den langsamsten Büffel identifiziert. Also man will halt nicht den sichersten von den sichersten IT Dienstleistern kompromittieren, sondern man will halt unter all denen die es gibt, quasi den Schwächsten finden und den dann kompromittieren. Einfach aus Effizienzgründen.

00:05:05 Christian Dietrich: Ja, und was wurde von den Akteuren hier maßgeblich gemacht? Es wurden jede Menge Spear-Phishing E-Mails verfasst und mit einem schadhaften Word Dokument im Anhang verschickt.

00:05:15 Lars Wallenborn: Und das ist so ein Word Dokument, wie man das sich vorstellt. Das ist so eine Datei, die macht man auf, dann fragt die einen, ob man Makros aktivieren möchte und dann klickt man auf „Ja“ – also wenn man im Sinne des Angreifers handelt. Und dann macht diese Word Datei ihre bösen Dinge auf dem Computer, auf dem sie geöffnet ist.

00:05:33 Christian Dietrich: Wir haben uns mal eine E-Mail rausgesucht, die hier verschickt wurde, eine solche Spear Phish E-Mail. Und wenn euer Podcast Player das unterstützt, dann zeigt er den Text oder den Screenshot einer solchen E-Mail, wie sie in einem E-Mail Programm angezeigt werden würde, jetzt an. Ich lese das mal kurz vor. Also der Text ist relativ kurz in dieser Mail. Sie soll angeblich kommen von einem Absender, der da ‚IOC Info‘ heißt. IOC steht eben für International Olympic Committee. Und der Text lautet: „Dear Partners, the preparations for the Olympic Winter Games have successfully ended and in this connection, we would like to express our gratitude to you. We would be happy to foster our cooperation and present a list of our commercial offers. Looking forward to further cooperation…“ Und so weiter und so fort. Und da ist dann eine Signatur und auch so ein bisschen das Logo des IOC und so weiter drunter.

00:06:27 Lars Wallenborn: Das fällt jetzt natürlich direkt auf, dass das nicht so perfekt englisch ist. Man könnte jetzt sagen: Ja, das erkennt man doch sofort. Aber andererseits selbst im richtigen Business Kontext sprechen ja nicht alle immer perfekt englisch. Also hier fällt einem vielleicht dieses „…in this connection, we would like to express our gratitude…“, also das hat man wahrscheinlich aus einer anderen Sprache so was übersetzt wie „..in Bezug darauf möchten wir unsere Dankbarkeit aussprechen.“

00:06:49 Christian Dietrich: Genau. Man brauchte halt einfach nur irgendwie Text, der den Empfänger dazu verleitet, diesen Anhang zu öffnen. Es geht eigentlich gar nicht so sehr um den Text der da drin steht, und man könnte eben auch provokant sagen: Na ja, also jemand der bei so einem Text hier schon irgendwie stutzig wird, und gar nicht erst den Anhang öffnet, der würde wahrscheinlich bei so einer internationalen Organisation wie dem IOC oder in diesem Kontext gar nicht klar kommen, weil da wahrscheinlich eine ganze Menge solcher E-Mails irgendwie verschickt werden. Das heißt, die Wahrscheinlichkeit, dass die Adressaten, diese E-Mail hier entsprechend öffnen und den Anhang öffnen ist vermutlich recht hoch.

00:07:24 Lars Wallenborn: Ja, das würde ich eigentlich auch sagen. Genau. Dann das letzte, was wir gerade noch gehört haben, wie gesagt, wenn man sich wieder vornehm ausdrücken möchte, so wie man eben sagt, jemand googelt, nennt man das Reconnaissance. Jetzt wurde hier eine Domain registriert, msrole.com, das könnte man auch als Infrastruktur Setup bezeichnen. Also auch auf so einer Ebene, man registriert eine Domain, die man vielleicht später verwenden will, damit Malware mit der Domain kommuniziert, die bereitet man jetzt auch schon vor. Also man setzt die Infrastruktur auf, die dann für diesen Cyberangriff vielleicht nötig werden wird.

00:07:55 Christian Dietrich: Wenn wir uns ganz kurz noch einmal den zeitlichen Verlauf vor Augen führen: Im Februar fanden die Olympischen Winterspiele statt. Wir haben jetzt gehört, was im November passiert ist, springen wir mal in den nächsten Monat, nämlich den Dezember.

„Für die folgenden drei Monate werden das Verfassen und Versenden von  Spear-Phishing E-Mails eine immer wiederkehrende Tätigkeit. Am 06. Dezember 2017 alleine, wurden etwa 220 E-Mails auf diese Weise verschickt. Zwei Tage später 98 weitere. Ein Agent beginnt mit der Vorbereitung für die Entwicklung einer Wiper Schadsoftware. Andere Agenten führen einen Scan des Zielnetzwerkes durch, mit dem Ziel, Schwachstellen zu finden.“

00:08:37 Lars Wallenborn: So, was ist jetzt passiert? Das war jetzt einen Monat später, also das deckt jetzt schon einen Teil des Dezembers ab, 2017. Da wurde also angefangen, eine Schadsoftware zu entwickeln. Also Malware zu entwickeln. Und zwar eine Wiper Malware. Das ist eine Malware, die sich darauf fokussiert, Dateien von einem Computer zu löschen. Also da geht es nicht darum, Dateien irgendwie zu verschlüsseln oder so, sondern da geht es so um Schaden verursachen, Computer beschädigen, im Sinne von Daten davon löschen, sodass sie zum Beispiel nicht mehr booten oder so was.

00:09:06 Christian Dietrich: Wenn ihr dazu mehr wissen wollt, hört euch vielleicht mal Folge Fünf an, da reden wir ein bisschen über Wiper.

00:09:10 Lars Wallenborn: Und das kann man sich jetzt wirklich so ganz konkret vorstellen. Also da setzt sich jetzt so eine Person hin und will eine Windows Software programmieren, und macht dafür die Entwicklungsumgebung auf…

00:09:21 Christian Dietrich: Wahrscheinlich Microsoft Virtual Studio.

00:09:23 Lars Wallenborn: …und dann wird da Programmiercode in diese Entwicklungsumgebung rein getippt, so in C oder C++, dann wird das kompiliert und dann kommt da eine ausführbare Datei bei raus. Also dieser Programmiervorgang dauert jetzt natürlich etwas länger, aber na ja, jetzt im Dezember wird damit halt schon mal angefangen. Auch vielleicht bezeichnend: Bevor man überhaupt Zugriff auf irgendwelche Systeme hat.  Klar, da wurden schon Spear-Phishing E-Mails verschickt und so, aber die Akteure die dahinter stecken, die sehen halt voraus, dass sie  wahrscheinlich irgendwann auf irgendwas Zugriff bekommen, und bereiten sich dann schon mal vor, Malware zu schreiben, die sie dann da ausbringen können.

00:09:56 Christian Dietrich: Genau. Das sind halt Leute, die das nicht zum ersten Mal machen und die wissen, dass sie hier parallele Aktivitätsstränge haben müssen. Also die haben Reconnaissance im letzten Monat gestartet, dann Infrastruktur begonnen und jetzt fangen sie eben auch schon mit der Malware Entwicklung an. Und was machen sie noch? Sie betreiben Vulnerability Scanning. Das heißt, sie suchen nach Schwachstellen in der Ziel-Infrastruktur. Das kann man sich so vorstellen, also vielleicht so eine Metapher wäre, dass man mal die ganzen Häuser in einer Straße abgeht und überall die Türklinke mal so runter drückt, so auf gut Glück, um zu gucken, ob die Tür offen ist. Ist sie vielleicht gar nicht abgeschlossen, sondern kommt man irgendwo rein? Man drückt mal gegen jedes Fenster und guckt ob man da irgendwie reinkommt. Wenn man da so ein bisschen versucht zu übertragen, dann wäre das so ein bisschen was wie Vulnerability Scanning. Das heißt man weiß vielleicht auch schon so in etwa, wie man welches Fenster am besten drückt, damit es irgendwie aufspringt. Und das machen die eben.

00:10:47 Lars Wallenborn: Und in welchem Stadtteil man das macht, oder sogar bei welchem Haus man das machen will und solche Dinge.

00:10:51 Christian Dietrich: Genau. Vielleicht kann man an der Stelle sagen, also das wirkt alles jetzt nicht virtuos, aber wir können festhalten: Diese Akteure beherrschen die Klaviatur der Offensivtechniken.

„Zwei schadhafte Smartphone Apps mit dem Namen „Seoul Bus Tracker” und „HanMail“ werden entwickelt und jeweils ein paar Tage später veröffentlicht. Die entsprechenden App Stores verhindern aber eine Verbreitung. Der Agent scannt die Webseite des Komitees für Sport und Olympische Spiele Korea nach Schwachstellen. Das gleiche passiert auch bei einem koreanischen Energieunternehmen und einem koreanischen Flughafen. Am 19. Dezember erlangen die Agenten Zugriff auf das Netzwerk eines Partners der Olympischen Spiele. Drei Tage später auf das Netzwerk eines weiteren Partners. Sie erzeugen außerdem eine Kopie von Teilen der Webseite des koreanischen Landwirtschaftsministeriums. Dann erhält ein Agent zum ersten Mal Zugriff auf einen Computer in der Zielumgebung der Olympischen Winterspiele.“

00:11:54 Lars Wallenborn: So, das war jetzt also immer noch Dezember. Da wurden jetzt zwei Smartphone Apps entwickelt. Das finde ich ganz kurios. Vor allem weil das halt auch so erfolglos ist, und vor allem weil es auch zwei sind. Also man entwickelt irgendwie eine Smartphone App und bringt die auf dem App Store raus, die wird sofort geblockt und dann entwickelt man noch eine Smartphone App, bringt die wieder auf dem App Store raus, und die wird wieder sofort geblockt. Also erst mal Kudos zu den entsprechenden Leuten, die dafür gesorgt haben, dass die so schnell geblockt wurde. Aber da ist ja ein System hinter. Also da hat wahrscheinlich sich schon jemand überlegt, es lohnt sich, diese Apps zu entwickeln. Und ich vermute, das liegt so daran, dass – man könnte sagen, Handys sind der neue Computer. Also es gibt ja auch Leute heutzutage, die haben halt überhaupt keinen Computer mehr. Die machen all ihre Kommunikation im Internet über ihr Smartphone. Ja, also E-Mails verschicken und irgendwelche Nachrichten und so. Also das ist nicht so ganz mein Fall. Also ich finde diese Handy Tastaturen einfach zu klein um sie zu bedienen. Aber ja, Handys spielen schon eine sehr zentrale Rolle und haben ja vor allem eine ganze Menge sehr leckere und interessante Daten für Angreifer. Also Handys haben immer direkt Geolocation Funktionalität, und darüber läuft dann auch immer viel Kommunikation ab, das heißt also man kann auch in die privatesten privaten Nachrichten von Leuten rein gucken.

00:13:07 Christian Dietrich: Ja, trotzdem finde ich, ist das irgendwie merkwürdig. Also man könnte jetzt sagen, irgendwie klar, so eine App zu entwickeln, das ist eben wieder eine weitere Technik in dieser Klaviatur der Offensivtechniken. Aber man kann sich natürlich schon fragen: Okay, in welche Richtung geht das ganze hier eigentlich gerade? Denn wenn ich so eine App entwickle, und es auf diese Daten absehe, wie du gerade beschrieben hast, dann würde sich das ja besonders lohnen, wenn ich über Close Access Operationen rede. Das heißt, wenn ich es auf bestimmte Leute abgesehen habe und denen möglicherweise vielleicht auch irgendwie physikalisch nahe kommen will oder wissen will, wo die sind. Das sind Dimensionen, die können wir, glaube ich, hier nicht abschließend bewerten. Aber es ist eben zweifelsfrei belegt, dass diese Apps entwickelt wurden. Der zweite Punkt ist, dass in diesem Zeitfenster das erste Mal Zugriff auf Computer in der Zielumgebung passierten. Das heißt also, jetzt sechs Wochen nach dem Kickoff haben wir den ersten Zugriff in der Zielumgebung.

00:14:05 Lars Wallenborn: Cool würde ich sagen. Also sechs Wochen um Zugriff auf die Olympischen Spiele zu bekommen – also ich könnte das nicht, sage ich mal.

00:14:12 Christian Dietrich: Ja genau, man könnte jetzt denken: Mission accomplished! Ganz soweit sind wir ja noch nicht. Man muss sich da vielleicht auch noch mal eins vergewissern: Nur in der Zielumgebung zu sein, heißt ja noch nicht, dass man am Ziel ist, ja in Bezug auf die Mission die man da vielleicht hat. Das heißt, jetzt hat man irgendeinen Computer bei einem – beziehungsweise mehreren der Dienstleister haben wir ja gehört – kompromittiert als Angreifer, und na ja, jetzt muss man halt so ein bisschen gucken: Okay, was gibt es da zu holen und wie durchwandere ich im Prinzip die Zielumgebung, bis ich an dem Ort bin, wo ich wirklich hin will.

00:14:45 Lars Wallenborn: Genau. Und das Durchwandern ist halt super wichtig, weil wenn ich nur den Computer, den ich jetzt kompromittiert habe zum Beispiel, wipe, dann kriegt das vielleicht jetzt noch nicht mal jemand mit. Und wenn man so eine Wiping Kampagne macht, dann zielt man immer auf einen großen Impact. Dann zielt man immer auf einen Knall ab. Also man will, dass das in die Medien kommt. Man will, dass da Leute nicht mehr ihre Arbeit machen können und so weiter. Und wenn man einfach nur einen Computer kaputt macht, das ist ganz normal, manchmal gehen Computer auch kaputt, ohne dass es einen Malware Angriff gibt. Und damit können Firmen ziemlich gut umgehen heutzutage.

00:15:17 Christian Dietrich: Okay. Das heißt, der Akteur ist jetzt in der Zielumgebung auf mindestens einem Rechner – wahrscheinlich sind mehrere kompromittiert – aber noch nicht so viele. Und jetzt ist die Frage: Was sind denn jetzt die nächsten Schritte?

„Weitere Spear-Phishing E-Mails werden verfasst. Wieder wird der Absender gefälscht. Dieses Mal sieht die E-Mail so aus, als ob sie von Koreas nationalem Anti-Terror Zentrum käme. In Wirklichkeit hat sie erneut eine schadhafte Word-Datei im Anhang, die den Computer des Empfängers infizieren soll. Die Malware tarnt ihre Kommunikation dabei als Bild, mittels Invoke PSImage. Einer Software, die nur wenige Tage vorher auf GitHub veröffentlicht wurde.“

00:15:57 Lars Wallenborn: Auf jeden Fall busy, diese Angreifer. Also immer weiter Spear-Phishing E-Mails schicken ist quasi so, ich sage mal, die langweiligste Art und Weise, wenn man mich fragt, wie man eine Organisation angreift. Also ganz viele Spear-Phishing E-Mails schicken, in der Hoffnung, dass irgendeine davon mal angeklickt und ausgeführt wird.

00:16:16 Christian Dietrich: Genau, ich meine das Interessante ist auch, die haben ja eigentlich schon Zugriff, aber die schicken trotzdem weiter Spear-Phishing E-Mails. Also man versucht sich möglicherweise Fall Back Möglichkeiten zu schaffen…genau, also man macht einfach immer weiter…

00:16:26 Lars Wallenborn: Und diese Sache mit Invoke PSI finde ich hier besonders interessant. Das war so ein Tool, das ist damals – also wir sind ja jetzt irgendwie Weihnachten herum, im Dezember – und Mitte Dezember hat das irgendjemand auf Twitter gepostet. Wir können den Tweet nachher auch mal in die Shownotes tun. Das war jetzt keiner, der mit den Angreifern zu tun hat oder so. Da hat einfach jemand ein Tool entwickelt, um mit Power Shell – das ist so was, das ist bei Windows immer dabei, so eine Scripting Sprache – um mit Power Shell in Bilddateien Schadsoftware oder bösartige Komponenten zu verstecken.

00:16:56 Christian Dietrich: Steganografisch, glaube ich.

00:16:58 Lars Wallenborn: Ja, ich glaube auch. Und dieses Tool hat er halt veröffentlicht, so Open Source auf GitHub, und hat dann darüber getwittert. Und jetzt kurz danach wird das schon eingesetzt hier. Das hat jetzt natürlich viele Implikationen. Also erst mal vermute ich, dass dieser Agent der dahinter steckt, das wahrscheinlich – so wie ich auch – auf Twitter gelesen hat. Und das dann heruntergeladen hat, und gedacht hat: Das ist eine coole Idee, das probiere ich jetzt mal aus. Und ja, hat das dann einfach benutzt.

00:17:25 Christian Dietrich: Gewisse interessante Risikobereitschaft eigentlich, das in so einer laufenden Mission irgendwie so zu probieren.

00:17:31 Lars Wallenborn: Ja gut, andererseits heißt es aber auch, dass man am Puls der Zeit bleibt. Also ich glaube, das ist halt auch wichtig, als Angreifer, dass man immer wieder auch neue Tools ausprobiert und neue Sachen macht und…ja.

00:17:41 Christian Dietrich: In einer laufenden Mission? Na ja, vielleicht hat man in den 8 Tagen auch irgendwo getestet, das kann natürlich sein.

00:17:46 Lars Wallenborn: Irgendeine Mission läuft immer, also ich meine…vermute ich zumindest. Ja und das Zweite, das soll jetzt nicht irgendwie die Moralkeule sein, aber Open Source, wenn man so was in Open Source veröffentlicht, dann heißt das halt schon, dass es wirklich öffentlich ist, und dass es jedem zur Verfügung steht auch. Jetzt in dem Fall hier den Angreifern. Also man könnte sagen, die Person hat dann da halt ein Tool veröffentlicht – ich will da keinen Vorwurf machen – das ist halt…Open Source ist Open Source. Ich bin da eher so ein bisschen liberal. Aber ja, das kann dann halt schon passieren, dass es dann eingesetzt wird, um so ein weltweites Event zu beeinflussen, wie zum Beispiel die Olympischen Spiele.

00:18:21 Christian Dietrich: Okay. Wie geht die Geschichte weiter?

„Der Agent veröffentlicht die kurz vorher entwickelte Hmail App auf dem Google Play Store. Die App wird auf mindestens 47 Accounts installiert, bevor sie geblockt wird. Das Versenden von E-Mails mit gefälschtem Absender geht weiter. Dieses Mal geraten die Athlet:innen selbst ins Fadenkreuz, mit einem Betreff von „Accommodation Conditions in Hotel.“ In der Zielumgebung der Olympischen Winterspiele schaffen es die Agenten, einen Administrationsaccount zu ergattern. Sie nutzen diesen Account, um auf mehr als 16.000 Computern in der Zielumgebung Passwörter abzugreifen. Insgesamt bekommen sie somit die Zugangsdaten zu 400 verschiedenen Accounts. Der Agent exfiltriert wichtige Unterlagen zum Aufbau des Netzwerks. Unter anderem Dateien, mit dem Namen „PyeongChang 2018 – Network architecture.docx“ oder „PyeongChang LAN Network Diagram.vsd“. Der Agent verschickt drei weitere Spear-Phishing E-Mails, die behaupten, eine Bewerbung auf eine Stelle als Zeitnehmer im Stadion zu enthalten. Tatsächlich aber enthalten sie aber bösartige Makros, die die im November registrierte Domain msrole.com verwenden. Auf diese Weise wird versucht, weitere Computer zu infizieren. Diesmal in einem anderen Unternehmen, nämlich einem Zeitmessungsunternehmen.“

00:19:51 Christian Dietrich: Okay, was haben wir hier gehört? Die machen mit dieser Smartphone App Entwicklung immer noch weiter. Und nachdem sie zweimal gescheitert sind, diese App in den entsprechenden Store zu bringen, da in den Play Store zu bringen, und sie schaffen es, dass die App 47 mal heruntergeladen wird. Also wahrscheinlich auf 47 verschiedenen Geräten zum Einsatz kommt.

00:20:11 Lars Wallenborn: Ja gut, aber ich würde mal sagen, um eine App zu entwickeln, sind 47 jetzt nicht so erfolgreich. Also ich würde sagen, die ersten beiden Versuche diese App im Play Store zu vertreiben waren erfolglos und der dritte war relativ erfolglos.

00:20:25 Christian Dietrich: Die Frage ist, welche 47 damit infiziert wurden. Also wenn du quasi irgendwie das Steuerungskomitee, das IOC oder so was…ja, dann hast du die richtigen 47. Ja, vielleicht reicht dir das ja. Aber das wissen wir nicht. Darüber hinaus, also wir sehen, es geht immer noch weiter mit Spear-Phishing E-Mails, also auch jetzt wo die Angreifer Domain Controller Admin Access haben – das ist also die höchste Stufe des Zugriffs, mehr oder weniger in so einer Windows Umgebung –  machen die trotzdem weiter und verschicken diese Spear-Phish E-Mails und sie richten ihre Angriffe eben auch auf andere Unternehmen.

00:20:57 Lars Wallenborn: Und was sie mit diesem Domain Controller Access hier anscheinend gemacht haben, ist, dass sie Credentials hier abgreifen. Also man kann sich einen Domain Controller vorstellen, wie so einen Computer, einen Administrationscomputer für Computer. Also das ist ein Computer im Netzwerk, der kann quasi Befehle auf allen anderen Computern ausführen und die generell einfach administrieren. Das heißt also, das ist ein richtig guter Ort, um auf all diesen Computern, die unter dem Domain Controller quasi darunter hängen, zum Beispiel Passwörter und User Accounts und so was alles abzugreifen. Und das machen die hier bei richtig vielen Computern. Ja, also…

00:21:29 Christian Dietrich: 16.000!

00:21:30 Lars Wallenborn: Ich würde sagen: Fette Beute. Also das war sehr erfolgreich. Und es ist jetzt erst Januar.

00:21:34 Christian Dietrich: Genau. 16.000 Computer und sie haben 400 verschiedene Zugangsdaten. Das ist halt auch eine Nummer. Also es geht hier nicht um einen Account, den man mal irgendwie blocken müsste. Nee, du müsstest hier 400 Accounts blocken, wenn du die Angreifer da irgendwie aussperren wolltest.

00:21:51 Lars Wallenborn: Ja, und vor allem müsstest du auch erst mal merken, dass diese 400 Accounts geklaut wurden. Also das ist natürlich auch die Herausforderung.

00:21:56 Christian Dietrich: Und du müsstest eben auch den Domain Controller Zugang sperren. Was bedeutet, dass deine legitimen Administratoren wahrscheinlich gar nicht mehr so einfach Zugriff auf diese Infrastruktur haben. Das heißt, jetzt kann man sagen, ist ein Großteil der Infrastruktur kompromittiert. Und nochmal zur Erinnerung, wir sind jetzt am 12. Januar. Das heißt also einen knappen Monat vor Eröffnung der Spiele. Soweit könnte man sagen, läuft alles nach Plan.

„Die Agenten verschicken eine weitere Spear-Phishing E-Mail an einen auf der Sponsorenseite aufgeführten Partner. Außerdem gehen weitere 20 E-Mails an das koreanische Anti-Terror Zentrum. Ein Agent registriert eine E-Mail Adresse, die der Adresse des Chefs, des eben erwähnten Zeitmessungsunternehmen nachempfunden ist, und verwendet sie, um E-Mails an 13 Adressen eben dieses Zeitmessungsunternehmens zu verschicken. Sie alle enthalten einen Link auf eine mit Malware infizierter Datei, mit Namen bonuses.xls. Am Tag der Eröffnungsfeier wird um 18:24 Uhr Ortszeit, etwa 1,5 Stunden vor Beginn der Feierlichkeiten die zerstörerische Schadsoftware in die Zielumgebung übertragen, aber noch nicht aktiviert. Achtzehn Minuten vor Beginn der Feier, um 19:42 Ortszeit, wird diese Wiper Malware in der Domain verteilt und aktiviert. 23 Minuten nach Beginn der Eröffnungsfeier sucht der Agent aktuelle Nachrichten rund um das Zeiterfassungsunternehmen und einen russischen Server aus. Die Zuliefererfirmen für IT und das Zeiterfassungsunternehmen melden seltsames Verhalten und Ausfälle ihrer Systeme.“

00:23:38 Lars Wallenborn: Genau. Das ist jetzt der Moment, wo die Bombe geplatzt ist. Also diese Malware wurde dahin übertragen und ausgeführt. Das ist so die Kurzzusammenfassung. Aber hier ist was passiert, das ist vielleicht nicht so ganz klar bei so einem offensiven Angriff. Ich meine, man könnte sich fragen: Warum wird diese Wiper Malware erst so kurz vorher dahin übertragen? Und auf der anderen Seite könnte man auch sagen, Na ja, warum wird sie – Computer sind ja super schnell und Internetverbindungen sind auch schnell – warum wird sie ganze 17 Minuten vorher übertragen, wenn es irgendeinen Grund dafür gibt, sie nicht zu früh zu übertragen? Warum macht man es dann nicht genau in dem Moment wo man sie ausführen will?

00:24:10 Christian Dietrich: Also drei Sekunden vorher. Und das ist super spannend. Weil genau diese Balance muss der Angreifer hier natürlich finden. Denn er darf nicht zu früh sein, sonst riskiert er, dass sein Wiper entdeckt wird, und gar nicht irgendwie aktiv werden kann. Aber er darf halt auch nicht zu spät kommen. Sonst hat er irgendwie sein Ziel verfehlt.

00:24:30 Lars Wallenborn: Ja, und er darf auch nicht zu spät kommen, weil eventuell läuft ja noch etwas schief. Ich meine, das mit den Computern ist schon kompliziert genug, wenn alle zusammenarbeiten wollen und hier arbeitet ein Software Entwickler, sage ich mal – in dem Fall der Angreifer – gegen das System, auf dem er sich installieren möchte. Das heißt, da kann auch noch alles mögliche schief gehen. Und dann hat man das, ich weiß nicht, für das falsche Betriebssystem kompiliert und muss es nochmal übertragen. Da sollte man sich auch so ein bisschen Zeit nehmen um noch irgendwelche Bugs zu fixen.

00:24:54 Christian Dietrich: Man kann vielleicht nochmal betonen, dass man so was nicht testen kann. Also diese Systeme, in der Komplexität, kann man nicht wirklich abbilden. Also klar, man kann die Ausführung einer Wiper Instanz testen, aber man kann halt nicht wirklich testen, wie sich so eine Infrastruktur verhält. Schon gar nicht, wenn gerade irgendwelche Spiele und Eröffnungsfeiern laufen oder vorbereitet werden. Das kann man nicht wirklich vorher evaluieren oder prüfen. Das heißt, in dem Moment hat man tatsächlich auch ein gewisses Risiko. Und das scheint hier ja aus Angreifer Perspektive geklappt zu haben. Man hat es also geschafft, den Wiper da in die Zielumgebung zu bringen und auch zu verteilen, sodass er eben auf verschiedenen Rechnern dann zugeschlagen hat.

00:25:38 Lars Wallenborn: Und was hier auch noch besonders nasty ist, ist, dass die Angreifer das mit der Eröffnungsfeier getimed haben. Also der Plan war wahrscheinlich, da irgendwie so einen Wiper auszuführen, dann gehen diese ganzen Computer während der Eröffnungsfeier irgendwie kaputt – wahrscheinlich in der Hoffnung, dass es dann besonders medienwirksam ist.

00:25:53 Christian Dietrich: Ja. Man wollte also sicherstellen, dass die Welt zuschaut, wenn das Chaos beginnt. Wenn wir mal kurz zusammen fassen: Was haben wir aus dieser Vorbereitungsphase gelernt? Also wir haben gelernt, Spear-Phishing geht immer…

00:26:04 Lars Wallenborn: Ja, und zwar richtig viel. Also je mehr Spear-Phishing desto besser. Immer weiter Spear-Phishing. Also egal, wenn du nicht weißt – when in doubt – Spear-Phishing.

00:26:12 Christian Dietrich: Es gibt mehrere, ich sag mal Baustellen, gleichzeitig. Das heißt also mehrere Aktionsstränge seitens des Akteurs. Es wurde gerade mal drei Monate vor der Eröffnungsfeier angefangen mit dieser Mission. Einen Monat vorher – Pi mal Daumen –  war man drin, war man in der Zielumgebung drin. Und zwei Wochen vorher hat man dann das Credential Dumping gemacht auf den 16.000 Rechnern mit 400 Accounts, die man dann eben zum Zugriff hatte. Eineinhalb Stunden vorher wurde die Malware in das Zielnetz geladen, etwa 20 Minuten vorher wurde sie verbreitet und zur Eröffnung der Eröffnungsfeier schlug sie dann eben los.

00:26:47 Lars Wallenborn: Also selbst wenn man sich damit beschäftigt – und retrospektiv weiß man ja, was dann passiert ist – bleiben so ein paar Fragen offen. Zum Beispiel: Warum diese Smartphone Apps, die so schlecht funktioniert haben? Und auf wen hatte man es damit abgesehen? Also das ist ein riesen Fragezeichen für mich.

00:27:07-9 Christian Dietrich: Man könnte sich natürlich auch fragen, war es eigentlich von Anfang an klar, dass das eine Sabotage Aktion wird? Ich würde mal vermuten ja, weil die Wiper Entwicklung auch so früh begonnen hat.

00:27:17 Lars Wallenborn: Gut, aber Wiper auf Smartphones? Klar, also ich meine Wiper auf Smartphones ist ja immer technisch…

00:27:22 Christian Dietrich: Nein, nicht auf Smartphones.

00:27:22 Lars Wallenborn: Ja, ist schon klar. Also Wiper auf Smartphones? Man könnte ja sagen es ist eine Wiper Aktion, dann will man vielleicht mit diesen Smartphone Apps auch Smartphones wipen. Das geht erst mal technisch halt natürlich nicht, das wissen wir ja beide, aber man kann auf dem Smartphone ganz andere Sachen machen. So Screen Locker irgendwie schreiben, das sind dann so Fenster, die sind dann so groß wie der ganze Bildschirm des Smartphones und verhindern, dass das Smartphone noch funktioniert. Das wäre halt auch schon, wenn man das auf richtig vielen Geräten installiert, wahrscheinlich schon auch ein krasser Impact. Weil für viele Leute ist das Smartphone das Ding. Also wenn das Smartphone kaputt ist, dann ist der Tag oder die Woche gelaufen. Und na ja, wenn jetzt zu den olympischen Spielen gehen heißt, dass das Smartphone kaputt ist, hätte das natürlich auch viel Impact. Aber wie gesagt, da stehe ich sehr im Dunkeln. Ich weiß nicht, was diese Apps konnten oder können wollten, und die waren ja jetzt auch nicht so erfolgreich. Aber ansonsten stimme ich dir zu. Das war glaube ich von Anfang an als destruktive Aktivität geplant. Vielleicht nicht nur, du hast ja auch gesagt, es gibt da so verschiedene Handlungsstränge, die die verfolgen. Aber insbesondere ist die Wiper Malware schon ziemlich früh in der ganzen Operation angefangen worden zu entwickeln, und das würde ich sagen, spricht dafür, dass zumindest eine Komponente des Angriffs, destruktiv sein sollte.

00:28:30 Christian Dietrich: Okay. Wir haben verstanden, die Angreifer wollen möglichst nah ran kommen, an die TV Übertragung und das ganze eben so versuchen negativ zu beeinflussen. Aber zurück zur Story, und wir wechseln jetzt mal so ein bisschen die Perspektive. Schauen wir uns doch mal an, wie das für Betroffene sich gestaltete:

„Practice makes perfect. So, before the opening ceremony of the Pyeongchang Winter Olympic Games, we have prepared. We had worried about the Cyber Attacks by the North Korean hackers. „

Wir haben hier Wansik Kim gehört, ein Südkoreaner, nämlich der Deputy Manager des International Broadcast Centers. Der sozusagen verantwortlich oder mitverantwortlich war für die Medienübertragung.

00:29:22 Lars Wallenborn: Und insbesondere hat er so eine verteidigende Rolle in dieser ganzen Olympischen Spiele Situation gespielt. Und er hat gerade, in diesem Ausschnitt den wir eingespielt haben, ja auch gesagt „Practice make perfect.“, also Übung macht den Meister. Die haben sich also vorbereitet. Die haben sich halt vorbereitet auf einen Angriff von nordkoreanischen Hackern, also diese beiden Länder sind ja historisch…haben ja eine etwas schwierige Beziehung, und da wollte man halt vorbereitet sein. Und dann hat man wahrscheinlich so Drills gemacht und so weiter. Und irgendwann ist es dann wahrscheinlich aufgefallen, dass da dieser Wiper sein Unwesen treibt und dann na ja, war es keine Übung mehr.

00:29:59 Christian Dietrich: Und da merkt man halt, Südkorea ist halt ein hochtechnologisches Land, die können das schon vernünftig einschätzen. Die haben realistische Bedrohungen auch schon in der Vergangenheit gehabt, zum Beispiel in Form von Cyber Angriffen, wie du  ja auch gerade erwähnt hast. Zum Beispiel aus Nordkorea, aber mutmaßlich natürlich auch aus vielen anderen Staaten. Und das ist der Grund, dass die eben versucht haben, sich vernünftig vorzubereiten. Trotzdem gab es da einen gewissen Effekt. Und man muss sagen, außerhalb der Umgebung bei den Olympischen Winterspielen haben es auch Leute gemerkt. Allen voran zum Beispiel Sicherheitsforscher.

00:30:31 Lars Wallenborn: So wir haben jetzt auch mal versucht so ein bisschen zusammenzutragen, was denn öffentlich so an Impact überhaupt herausgekommen ist zu dem Zeitpunkt. Und da gibt es erst mal so ein YouTube Video von so einer Sicherheitsfirma Talos, die hat irgendwie in dem YouTube Video erwähnt, dass die Website nicht erreichbar war. Dass vor Ort auf den Olympischen Spielen Tickets nicht ausgedruckt werden konnten und einige Besucher eben keinen Zugriff auf die Event Informationen hatten, die da irgendwie verteilt wurden. Was auch wohl irgendwie war, dass in irgend so einem Journalismus Center das Wi-Fi nicht funktioniert hat – ah ja, Main Press Center, heißt das irgendwie und das wohl für mehrere Stunden.

00:31:09 Christian Dietrich: Okay. Das ist aber alles irgendwie nicht wirklich dramatisch. Also wahrscheinlich hat die Übertragung an sich immer noch funktioniert. Das ist ja wahrscheinlich so mit das Wichtigste, also die Millionen die da vor den Bildschirmen sitzen, zu Hause, die sehen also irgendwie noch was. Das Pyeongchang Organizing Committee hat dann später auch verlautbart, dass 50 Server impacted wurden, also betroffen waren durch dieses Wiping. Da waren allerdings Aktiv Directory und Datenbankserver dabei. Also man kann sagen, dass waren dann auch schon durchaus auch zentrale Server, die da betroffen waren. Insgesamt gab es wohl etwa 300 Server. Genau. Lass uns vielleicht mal noch weiter reinzoomen, nämlich in die erste Nacht. Also um 20:00 Uhr Ortszeit beginnt die Eröffnungsfeier, um 19:42 Uhr, also etwa knapp 20 Minuten vorher wurde der Wiper aktiv. Was ist dann eigentlich passiert?

00:31:59 Lars Wallenborn: Ja, dann waren wohl am Anfang direkt neun Domain Controller betroffen, also die wurden dann wahrscheinlich irgendwie gewiped. Und was man dann halt machen kann, so als Verteidiger, ist die neu aufzusetzen.

00:32:09 Christian Dietrich: Erstmal ist ja vielleicht völlig unklar, warum so Domain Controller auf einmal ausfallen, oder? Ist das sofort klar, dass das irgendwie eine Malware ist? Wahrscheinlich nicht unbedingt?

00:32:19 Lars Wallenborn: Nein, aber Domain Controller fallen, glaube ich, nicht so oft…also anders, wenn dir der Domain Controller häufiger mal so ausfällt, dann bist du glaube ich eh an einem sehr schlechten Ort. Und ich glaube die waren an einem guten Ort. Also die haben sich glaube ich auf viel vorbereitet.

00:32:31 Christian Dietrich: Okay, aber du könntest vielleicht auch denken, die sind vielleicht überlastet oder keine Ahnung. Es ist schon wichtig, du weißt, glaube ich, in dem Moment noch nicht, dass du hier einen Wiper Angriff gerade eigentlich hast. Sondern was machst du? Du setzt Ersatz Domain Controller auf, und versuchst das Problem dadurch vielleicht dadurch in den Griff zu bekommen.

00:32:46 Lars Wallenborn: Aber was da wohl passiert ist, ist, dass sie das Problem gar nicht in den Griff bekommen haben. Also die haben die Domain Controller ausgetauscht, und durch neue ersetzt, neu installiert, und irgendwie sind dann andere wieder kaputt gegangen und so weiter. Und dann hat man halt kurz vor Mitternacht eine relativ drastische Entscheidung getroffen, nämlich dieses ganze Netz vom Internet zu trennen. Und das ist relativ drastisch, weil das halt viele, viele Implikationen hat. Das heißt, dass man das Netzwerk nur noch von innen administrieren kann zum Beispiel…

00:33:12 Christian Dietrich: Die ganzen Journalisten können nicht mehr nach Hause mailen oder telefonieren…

00:33:16 Lars Wallenborn: Genau, also da spielt man quasi – wenn man zu dem Zeitpunkt schon denkt, dass es sich um einen Angreifer handelt, der einen destruktiven Angriff durchführen möchte – dann spielt man dem quasi in die Hände, weil man selber auch destruktive Entscheidungen trifft. Nämlich die Internetverbindung selbst zu trennen. Kann aber natürlich auch eine gute Idee sein, falls der Akteur dann noch aktiv ist auf den Computern, ja also den buchstäblichen – oder in dem Fall den virtuellen –  Stecker zu ziehen, ist auf jeden Fall schon mal ein Schritt, der dafür sorgt, dass die gesamte Situation so ein bisschen deterministischer wird. Also man hat nicht auch noch jemanden, der da aktiv Dinge auf den Computern macht.

00:33:52 Christian Dietrich: Ja, weil man eben verhindert, oder hofft zu verhindern, dass der Angreifer die Malware überhaupt noch kontrollieren kann. Die Angreifer sind ja nicht vor Ort, sondern sie kontrollieren eben die Malware aus der Ferne, eben über das Internet. Und diese Möglichkeit will man ihnen halt nehmen, in der Hoffnung, dass sie dann nicht eben sich weiter verbreitet. Aber, die Malware agiert eben autonom.

00:34:11 Lars Wallenborn: Die Malware braucht überhaupt keinen Akteur, der sie steuert. Also…

00:34:15 Christian Dietrich: Zu dem Zeitpunkt.

00:34:16 Lars Wallenborn: Genau. Zu dem Zeitpunkt. Die wurde ausgebracht und hat von da an quasi autonom ihr Werk verrichtet. Und was die Malware auch gemacht hat, dass sie sich auch selber in dem Zielnetz weiter verteilt hat. Und auch neue Computer infiziert hat und auf denen dann auch wieder Dateien zerstört hat und so weiter.

00:34:31 Christian Dietrich: Was es aber schon verhindert, ist, dass die Akteure jetzt irgendwie weitere Malware nachschieben können oder irgendwie halt das Verhalten der Malware beeinflussen können. Das heißt, auch die Akteure müssen sich jetzt drauf verlassen, dass das, was sie da vorher hinein programmiert haben, an Verhalten in die Malware, dass das halt irgendwie wirkt.

00:34:48 Lars Wallenborn: Und jetzt nerde ich gerade mal ein bisschen über das, was die Malware da gemacht hat. Also da gab es irgendwie viele Theorien darüber, was da passiert ist. Wir haben uns das jetzt mal…ich habe mir das jetzt noch mal selber angeguckt und so, was nämlich ganz interessant ist, wenn man sich Samples, wenn man sich Dateien von dieser Malware anguckt, und dann einfach mal guckt, was sind da so für Zeichenketten drin. Dann fällt einem auf, da sind so User Namen und Passwörter und so Domain Namen von den betroffenen Organisationen, von den Zielumgebungen in der Malware drin. Und es kann natürlich erst mal daran liegen, oder es liegt wahrscheinlich auch daran, dass der Akteur diesen Malware Samples dann ein Startset an Credentials an Benutzernamen und Passwörtern dann mitgegeben hat. Das liegt aber auch noch daran, dass die Malware nämlich folgendes macht. Wenn die ausgeführt wird, die enthält nämlich noch so ein paar andere Unterdateien, die sogenannten PE Ressourcen. Da sind zwei dabei, die sind dafür da, noch Credentials von dem Computer auf dem sie ausgeführt wird, einzusammeln. Das heißt, diese Malware sammelt auf dem Computer auf dem sie ausgeführt wird, erst mal weitere Benutzernamen-Passwort-Kombinationen ein. Und erzeugt dann eine Kopie von sich selber und erweitert diese Liste, die in ihr drin ist, um diese gerade eingesammelten Benutzernamen und Passwörter. Und verteilt sich dann mit denen weiter im Netzwerk. Und die Intention dahinter ist halt, na ja, ein Computer, der auf andere Computer Zugriff hat, der hat auf die ja wahrscheinlich auch Zugriff. Also der hat da wahrscheinlich auch irgendwie gespeicherte Passwörter und gespeicherte Benutzernamen. Die werden da alle mit eingesammelt. Und bei der nächsten Iteration, wenn die Malware sich auf den nächsten Computern verteilt hat, dann hat die halt jetzt noch mehr von diesen Usernames und Passwords zur Verfügung. Und das kann sie alles alleine machen.

00:36:23 Christian Dietrich: Genau. Das hat sie auch gemacht. Und jetzt würde man eben meinen, alles klar, man kann eigentlich irgendwie aufgeben, Handtuch werfen und man kann nichts mehr machen. Aber so waren die Südkoreaner hier an der Stelle eben nicht drauf. Sondern die haben natürlich eben versucht, den Kampf da weiter zu führen. Die haben um 5:00 Uhr morgens – also die haben die ganze Nacht durchgemacht –  um 5:00 Uhr morgens hatten sie es geschafft, eine Signatur für diese Schadsoftware, also für diesen Wiper, zu schreiben. Die hatten da wohl Unterstützung von einem koreanischen Antiviren Unternehmen, AhnLab. Und mit Hilfe dieser Signatur konnten sie eben die Schadsoftware auf allen Computern erkennen und auch blockieren. Und in dem Moment gab es auch wieder Hoffnung.

00:37:00 Lars Wallenborn: Und jetzt kommt noch das zum Tragen, was wir eben gesagt haben. Das hat jetzt den Vorteil, dass diese Computer nicht mehr mit dem Internet verbunden sind, weil jetzt gibt es eine Signatur für diese Malware, die wird jetzt hoffentlich geblockt von der Antiviren Software die auf den Computern läuft, und der Akteur hat jetzt keine Möglichkeit mehr, noch was anderes hinterher zu schieben. Was die jetzt wahrscheinlich auch gemacht haben, ist dafür zu sorgen, dass der Akteur auch seinen Zugriff verliert, wahrscheinlich indem sie ganz viele Usernames und Passwords resettet haben.

00:37:24 Christian Dietrich: Dieser Wiederaufbau, der war um 08:00 Uhr morgens abgeschlossen. Das ist halt phänomenal. Also das heißt, um etwa 20:00 Uhr am Vorabend beginnt die Eröffnungsfeier, das Chaos nimmt seinen Lauf, um 05:00 Uhr am nächsten Morgen gibt es irgendwie den Hoffnungsschimmer am Horizont, und um 08:00 Uhr morgens läuft die komplette Infrastruktur im Prinzip wieder so, wie sie vorher lief. Sodass man also sozusagen mit Tagesanbruch eigentlich schon fast nicht mehr gemerkt hat, dass da in der Nacht vorher so ein destruktiver Sabotageakt passiert ist.

00:37:56 Lars Wallenborn: Man könnte sich jetzt fragen, war das jetzt ein erfolgreicher Angriff oder nicht?

00:38:00 Christian Dietrich: Ganz genau. Das hängt davon ab, was der Angriff wirklich bezwecken sollte. Vermutlich sollte es bezwecken: Die ganze Welt schaut zu, und dann fällt irgendwie die Medienübertragung aus. Schwarze Bildschirme, die Leute an den Fernsehern wissen nicht, was los ist. Aber diesen Ausfall der Medienübertragung, den gab es nicht, oder zumindest war der wiederum nicht medienwirksam. Es waren wahrscheinlich nur lokal die Journalisten betroffen, die haben den Ausfall irgendwie mitbekommen. WLAN ging nicht, Tickets konnten irgendwie nicht gedruckt werden, aber das schlägt, glaube ich, nicht so wirklich große Wellen. Und insbesondere die Tatsache, dass es eben am nächsten Morgen schon wieder alles funktioniert hat und die Spiele selbst, also die sportlichen Wettkämpfe, scheinbar eben ohne jede Beeinträchtigung starten konnten, ja, das lässt mich eigentlich so ein bisschen eher schließen, dass die Operation eigentlich fehlgeschlagen ist. Aber Lars, ich meine, mal ganz ehrlich, wenn man das mal so ein bisschen aus der Distanz betrachtet, das machen doch keine Leute mit Verstand? Oder? Also ich meine, warum reagieren die Angreifer nicht?

00:39:02 Lars Wallenborn: Ja, ich weiß es nicht. Ich steck da in deren Schuhen nicht. Also, ich meine, was will man denn auch machen? Also man hat jetzt Monate und Wochen gebraucht, um Zugriff auf irgendwelche Systeme zu kriegen. Jetzt kann man nicht innerhalb von einem Tag in dem das jetzt nicht geklappt hat, was man versucht hat, nochmal Zugriff auf irgendwelche Systeme kriegen. Insbesondere nicht, in der Situation, wo jetzt quasi das Cyber-Immunsystem der Olympischen Spiele schon so aktiviert ist, dass da jetzt wahrscheinlich jeder noch so kleine Netzwerkalarm genau nachverfolgt wird und so weiter.

00:39:41 Christian Dietrich: In einem Film würde man jetzt sagen: Da muss man halt noch härter hacken.

00:39:47 Lars Wallenborn: Genau. Dazu kommt aber noch etwas ganz anderes, was ich an Wiper Angriffen immer ganz interessant finde. Also als Angreifer hat man ja jetzt ein Strategie-inhärentes Problem. Also in dem Moment, wo man nämlich erfolgreich ist, beim Ausführen des Angriffs, hat man überhaupt keine Ahnung mehr darüber, ob man erfolgreich war. Also, aus der Angreifer Perspektive ist das ja quasi so eine Blackbox, so ein Netzwerk, und jetzt verliert man plötzlich Zugriff. Und das kann jetzt entweder daran liegen, dass man erwischt wurde und man ausgesperrt wurde, oder dass diese Wiper Malware so erfolgreich war, dass in dem Netzwerk halt kein Computer mehr funktioniert und ich deswegen den Zugriff verloren habe. Also das ist eine ganz schwierige Situation als Angreifer, da überhaupt noch einzuschätzen, ob das erfolgreich ist. Und ich vermute mal, der einzige Weg, den man da hat, ist, dass man guckt, ob irgendwelche News…ob die Bild Zeitung darüber schreibt, dass die Olympischen Spiele gehackt wurden.

00:40:45 Christian Dietrich: Na ja man könnte es theoretisch natürlich anders entwerfen. Man könnte zum Beispiel den Wiper durchaus so programmieren, dass er vielleicht ab einer bestimmten Menge an Systemen, eben vielleicht nicht komplett aktiv wird. Also das heißt, man könnte, wenn man das wirklich komplett durchdenkt, was dann passiert, in dem Moment wo so ein Wiper da eben so die Infrastruktur plättet, wie du das gerade ja gut beschrieben hast, das könnte man vermutlich schon irgendwie versuchen hin zu bekommen. Aber auch da muss man halt sagen: Klar, gut, du musst die Infrastruktur einfach richtig gut kennen, und du läufst natürlich auch Gefahr, wenn du die falschen Systeme sozusagen am Laufen lässt. Dann erzeugst du eben vielleicht auch keinen Impact. Also es ist gar nicht so trivial wahrscheinlich aus Angreifersicht.

00:41:28 Lars Wallenborn: Nein, überhaupt nicht. Man muss natürlich hier sagen, die Angreifer kannten die Infrastruktur glaube ich ganz gut, das hatten wir auch in einem der Einspieler vorhin gehört. Die haben da auch auf den Zielcomputern so Infrastruktur Diagramme gefunden und so. Die kann man ja dann verwenden. Andererseits ich meine, sich in eine Infrastruktur einzuarbeiten, ist schon genug Arbeit, wenn man bei einer Firma neu anfängt. Und hier hat niemand bei einer Firma neu angefangen. Hier versucht man das zu hacken. Also das heißt, man kann nicht irgendeinen Kollegen, in Anführungszeichen, fragen, wie das hier funktioniert und wie das gemeint ist und so weiter. Da ist einfach schon auch ein Informationsungleichgewicht vorhanden zwischen Angreifer und Verteidiger. Und es ist ja auch richtig, dass die Verteidiger es dann auch ausnützen.

00:42:08 Christian Dietrich: Wenn wir jetzt mal versuchen, so ein bisschen rauszuzoomen. Also wir haben uns jetzt ganz viel auf die Geschehnisse vor Ort fokussiert, und wie sich die Verteidiger da eben irgendwie verteidigt haben, in dieser Nacht. Da muss man eben sagen, auch außerhalb Pyeongchangs wurde das wahrgenommen. Und zwar schon am Samstag, also einen Tag nach der Eröffnungsfeier ist diese Schadsoftware Security Researchern aufgefallen, die gar keinen direkten Bezug zur Organisation der Olympischen Winterspiele hatten. Und man kann sagen, ich glaube im Laufe des Wochenendes war schon klar, es handelt sich um eine destruktive Malware. Also unabhängig von den lokalen Analysen vor Ort, kamen eben die anderen Forscher zu der Einschätzung, es handelt sich hier um einen Wiper. Und der Bezug zu den Olympischen Winterspielen war da.

00:42:54 Lars Wallenborn: So, das heißt, wir haben uns jetzt kurz die Perspektive des Angreifers angeschaut, die Perspektive des Verteidigers angeschaut und jetzt wollen wir mal die Perspektive des Cyber Thread Intelligence Analysten anschauen. Und das ist eine die…ich meine, das ist vielleicht nicht so offensichtlich was die für ein Problem haben. Weil diese Perspektive hat noch ein ganz anderes Problem: Die sind nicht in einem Netzwerk und finden da Malware und müssen verstehen was diese Malware in diesem Netzwerk macht. Sondern die haben irgendwie meistens Zugriff auf irgendeinen Strom von Malware Samples, die so vorbei fliegen, und das sind halt unangenehm viele. Das sind unübersichtlich viele…

00:43:27 Christian Dietrich: Millionen. Pro Tag.

00:43:28 Lars Wallenborn: Ja, genau. Auf jeden Fall viel zu viele, um sich die von Hand irgendwie alle einzeln anzugucken. Und die müssen jetzt halt ein anderes Problem lösen. Die haben jetzt irgendwie Echtwelt Ereignisse, wie zum Beispiel die Olympischen Spiele, und müssen jetzt in diesem Strom von Malware versuchen zu raten, welche Malware betrifft diese verschiedenen Echtwelt Events. Dann, wenn sie glauben, das hat was damit zu tun, was machen sie? Und das ist halt hier wahrscheinlich an dem Wochenende passiert. Da haben wahrscheinlich Leute nicht so auf ihre Work-Life-Balance geachtet – kann man vielleicht auch mal ausnahmsweise machen, wenn  Olympische Spiele sind – ja haben da wahrscheinlich Malware analysiert und auch diesen Bezug zu den Olympischen Spielen hergestellt.

00:44:01 Christian Dietrich: Insbesondere haben sie sich eben die immer interessante Frage gestellt, wer war es? Das heißt, sie haben sich um die Frage der Attribution gekümmert. Und um uns jetzt mal so ein bisschen der Attribution zu nähern, versuchen wir mal, hier so ein paar Hypothesen durch zu spielen. Die erste wäre, dass wir Nordkorea…

00:44:17 Lars Wallenborn: Nordkorea ist ja jetzt hier der Elefant im Raum. Also wir haben ja eben schon in dem Einspieler von Wansik Kim gehört, das ist der Angreifer, gegen den sie sich auch vorbereitet haben, weil sie Cyberangriffe aus Nordkorea erwartet haben.

00:44:30 Christian Dietrich: Und beim ersten Blick hat man auch direkt einen Treffer, denn der Code der Malware, also der Code in dem Wiper, der weist Ähnlichkeiten mit einer Malware auf, die man in der Vergangenheit schon Nordkorea zugeordnet hat. Das heißt, wir sprechen hier von Code Overlap, und zwar in dem Wiping-Modul, also wirklich auch in einem charakteristischen, zentralen Modul dieses Angriffs. So, dann würde man vielleicht erst mal sagen: Okay, Check. Also an der Stelle haben wir hier an der Stelle ein Match.

00:44:56 Lars Wallenborn: Genau, man könnte jetzt sagen, man hat einen technischen Overlap mit Nordkorea.

00:44:59 Christian Dietrich: Die ganze Sache ist aber nicht so einfach. Denn wenn man weiter schaut, und vielleicht so eine Nation wie China irgendwie ins Auge fasst, dann findet man auf einmal auch Ähnlichkeiten. Es gab andere Forscher, die haben nämlich hier Ähnlichkeiten – nicht in dem Wiper Modul, sondern in dem Teil, der das Stehlen von Benutzername und Passwort macht, also in dem Credential Theft Modul – gefunden. Und da eben konkret eine Routine zur Schlüsselerzeugung von AES…

00:45:27 Lars Wallenborn: Nein, das war nicht in dem Credential Theft Modul.

00:45:30 Christian Dietrich: Stimmt.

00:45:30 Lars Wallenborn: Also diese Credential Theft Module, die waren halt enthalten in dieser Malware, in dieser Dropper, in dem darüber stehenden. Und es gab zusätzlich noch – der hat halt diese Module geschützt, über Verschlüsselung, und zwar über AES. Das ist so ein Standard Verfahren zur symmetrischen Verschlüsselung. Und da muss man Keys generieren, und der Code, um diese Keys zu generieren, der hatte Overlap mit Code, den man vorher chinesischen Akteuren zugeordnet hat.

00:46:00 Christian Dietrich: Ah ja stimmt, Lars. Danke, genau, so war das – dann gab es aber noch eine Funktion, die sowohl in der hier betrachteten Malware vorkam, als auch in einer Malware, die eben in der Vergangenheit China zugeordnet war. Es gibt nur ein Problem…

00:46:12 Lars Wallenborn: Und die war überraschend gleich. Die war überraschend gleich.

00:46:16 Christian Dietrich: Es gibt nur ein Problem.

00:46:16 Lars Wallenborn: Da muss man aber auch dazu sagen, die war auch nur dafür da, die Größe von einer Datei zu bestimmen.

00:46:21 Christian Dietrich: Genau.

00:46:23 Lars Wallenborn: Und ich sage mal, wenn du mich jetzt fragen würdest, Code zu schreiben, um die Größe einer Datei zu bestimmen, würde ich Code schreiben und der sieht dann vielleicht genau so aus. Also dieser Code Overlap, den würde ich dieser Tatsache zuschreiben, dass –  also auch der Code Overlap in der AES Schlüsselgenerierung würde ich der Tatsache zuschreiben – dass es für solche Sachen halt nur eine Handvoll Methoden gibt, das zu tun. Und mit bestimmter Wahrscheinlichkeit schreiben zwei völlig unabhängige Leute da was, was ziemlich ähnlich aussieht.

00:46:49 Christian Dietrich: Wir wollen eigentlich Code Overlap in charakteristischem Code haben. Das was wir aber jetzt hier im Fall des Bezugs zu China bisher nur gesehen haben, ist eigentlich relativ generischer Code, in dem wir diesen Code Overlap haben. Und ich meine es war auch so, dieses Credential Theft Modul basierte ja, glaube ich, auch auf Methoden aus Mimikatz. Einem Tool, was wiederum öffentlich verfügbar ist, sodass man hier eigentlich ja eben von sehr generischem Code quasi sprechen kann. Also dieser Code Overlap wiegt vermutlich nicht so wirklich schwer. Schauen wir uns einen weiteren Kandidaten an, der vielleicht hier so ein bisschen ins Fadenkreuz käme: Russland.

00:47:28 Lars Wallenborn: Da haben wir auf jeden Fall einen Overlap im technischen Verhalten, sage ich mal. Also dieses Credential Theft machen und Dumping, und dann das in die Binary schreiben, das was ich vorhin so ein bisschen erklärt habe. Das hatten wir vorher schon mal gesehen, in der NotPetya Malware, die wird Russland auch mit hoher Wahrscheinlichkeit zugeschrieben. Und es gab auch eine Domain, die da in diesem Kontext, ich glaube von den Word-Dateien verwendet wurde: account-loginserv[.]com. Und die hat man auch wohl vorher Russland zugeordnet. Das konnten wir jetzt aber nicht unabhängig bestätigen, das hat jemand im Internet gesagt.

00:48:04 Christian Dietrich: Und jetzt sehen wir hier halt einen ganz interessanten Fall, also wir haben bisher eben maßgeblich Code Overlap gesehen. Aber hier, im Fall von Russland, haben wir also TTP Overlap. Das heißt also Ähnlichkeiten in der Vorgehensweise, aber keine detaillierte Gleichheit sozusagen im Code. Und wir haben aber auch in einer anderen Dimension eine Ähnlichkeit, einen Overlap, nämlich in der Infrastruktur. Das haben wir eben bei den anderen beiden bisher auch noch nicht gesehen. Und das ist ein ganz wichtiger Punkt. Nämlich bisher haben im Prinzip viele eigentlich nur auf Code Overlap geachtet. Das heißt, sie wollten Ähnlichkeiten, sehr detaillierte Ähnlichkeiten in der Malware finden und haben eben maßgeblich Malware-Analyse gemacht.

00:48:43 Lars Wallenborn: Und das ist als Techie auch eine naheliegende Sache die man macht, ja. Also man kennt sich mit Malware aus, man kennt sich mit Reverse Engineering aus, dann ist es auch komfortabel und innerhalb meiner Komfortzone, wenn ich mich darauf konzentriere und dann ganz, fast wissenschaftlich fundierte Aussagen machen kann. Oder was heißt fast? Also, dass ich da quasi da so ganz harte Zahlen habe, mit denen ich meine Aussagen untermauern kann und so.

00:49:03 Christian Dietrich: Was ja aber die Attribution insgesamt ein bisschen verlässlicher machen kann, ist eben so eine strukturierte Vorgehensweise, in der man mehrere Dimensionen betrachtet, als nur die Malware…

00:49:13 Lars Wallenborn: Ist hier ja auch dringend notwendig. Weil wir haben bisher drei Akteure gehabt, und bei allen dreien – oder drei Länder gehabt, mit jeweils Akteuren da drin – bei allen dreien haben wir gesagt: Ja, die könnten es eigentlich sein. Es gibt technische Indikatoren, dass die es waren. Also das reicht anscheinend hier nicht.

00:49:26 Christian Dietrich: Genau. Und das können wir jetzt nochmal machen. Also wir fangen jetzt nochmal vorne an, und fragen uns, was denn in den anderen Dimensionen – man könnte hier zum Beispiel das MICTIC Framework von Timo Steffens heranziehen – ja, was wir denn da so an Merkmalen haben. Also Nordkorea, ja, warum ist Nordkorea hier an dieser Stelle für diesen Angriff eigentlich unerwartet. Und da gibt es aus politikwissenschaftlicher Sicht eine ganz interessante Beobachtung, denn Politikwissenschaftler haben gesagt, die beiden Staaten, Nord- und Südkorea, die sind sich so nah, wie seit langem nicht. Also die befinden sich in einer Phase der Annäherung. Die sind sogar gemeinsam ins Stadion eingelaufen bei der Eröffnung der Olympischen Winterspiele. Genau, also an der Stelle wäre es halt unerwartet, wenn jetzt diese Annäherung von einem eben in der Form sabotiert wird, wie wir es hier gesehen haben. Oder versucht wird zu sabotieren.

00:50:16 Lars Wallenborn: Genau. Also das ist schon, also ich sage mal, anscheinend ist es okay, zwischen Staaten die befreundet sind, so ein bisschen Spionage zu machen. Das ist anscheinend so ein Agreement, auf das sich alle geeinigt haben, und das wird wahrscheinlich auch keinem vorgeworfen werden…

00:50:27 Christian Dietrich: Nein. Die werden sich nicht geeinigt haben, die machen einfach.

00:50:30 Lars Wallenborn: Aber Sabotage ist halt was anderes. Das ist halt…das will halt eine Message senden und das ist dann hier die Frage: Welche Message wollte Nordkorea Südkorea dann da senden. Da würde ich sagen, da spricht eher nicht so viel dafür.

00:50:44 Christian Dietrich: Ja, man könnte vielleicht sagen, was sollte Sabotage an dieser Stelle eigentlich für ein politisches Ziel verfolgen? Und ich weiß nicht, ob man dafür eine gute Antwort findet. Es gibt noch mal eine technische Besonderheit und die macht den ganzen Fall glaube ich noch mal richtig interessant aus technischer Perspektive. Und zwar ist das der Byte-gleiche PE-Header.

00:51:03 Lars Wallenborn: Genau, wir hatten vorhin gesagt, es gibt einen Overlap zwischen der Wiper Malware, die hier zum Einsatz gekommen ist, und einer vorher betrachteten Malware aus Nordkorea. Und das kann man sich so vorstellen, so eine Windows-Executable-Datei, die fängt mit so was an, das nennt man den PE Header, und das sieht immer ungefähr gleich aus, aber normalerweise halt eben nicht exakt gleich. Wenn man so eine Datei zweimal kompiliert, dann sorgt das für sehr ähnliche oder vielleicht sogar gleiche PE Header, aber wenn man eine Malware schreibt, später eine andere Malware schreibt, dann ist die Wahrscheinlichkeit, dass exakt der gleiche rauskommt, schon eher klein. Aber was in diesem PE Header auch drin ist, sind sogenannte Rich Header. Zumindest wenn man die Microsoft Tool Chain verwendet. Und diese Rich Header, die enthalten eine Beschreibung der Entwicklungsumgebung, die da verwendet wurde.

00:51:49 Christian Dietrich: Und in dem Spezialfall hier war es eben so, dass der Compiler, den man aus diesem Rich Header rekonstruieren konnte, überhaupt nicht zu dem generierten Code gepasst hat. Das heißt, das ist ein Artefakt und das ist auffällig. Konkret ist es nämlich so, dass man im Kontext von Nordkorea maßgeblich ältere Compiler Versionen beobachtet hat. Aber hier in diesem Sample, das bei den Olympischen Winterspielen eingesetzt wurde, waren es eben neuere Compiler und passte eben insbesondere nicht zu den Angaben im Rich Header.

00:52:19 Lars Wallenborn: Genau, also der Code der dabei herauskommt, dafür braucht man relativ viel Erfahrung, das zu erkennen und so…der Code, der dabei rauskommt, der wurde wahrscheinlich mit einem neuen Compiler generiert. Aber der Rich Header, der da drin stand, hat darauf hingewiesen, dass es eigentlich eine alte Compiler Tool Chain ist, die da zum Einsatz gekommen ist. Das hat also nicht zusammen gepasst.

00:52:36 Christian Dietrich: Okay. Können wir denn jetzt diese anderen beiden Hypothesen, also China und Russland, was können wir denn damit machen? Schauen wir uns nochmal vielleicht den Bezug zu China an. Also ja, wir haben irgendwie gesehen, es gibt hier Code Ähnlichkeit – sogar in drei Fällen. Das Problematische an der Geschichte war nur, das war mit drei verschiedenen Akteuren. Nämlich APT3, APT10 und APT12. Also drei verschiedene Akteure, die zwar alle China zugeordnet werden, aber eigentlich muss man sich fragen: Moment, wer war es denn jetzt? Also eine gemeinsame Aktion von diesen dreien im spezifischen ist eigentlich eher unplausibel. Die Granularität Land, hinsichtlich der Attribution, die ist ja jetzt nicht irgendwie naturgegeben. Also man fängt vielleicht erst mal an, in Ländern zu denken. Und was wir damit oft meinen, ist gar nicht so sehr die Herkunft aus dem Land in irgend einer Form, sondern mehr, ob die Interessen – also gerade so bei gezielten Angriffen – ob die Interessen der Regierung oder der staatlichen Verwaltung in irgendeiner Form aus dem entsprechenden Land umgesetzt werden. Und jetzt sehen wir eben hier, wenn wir mal in der Granularität feiner werden wollen, als nur den Bezug zu einem Land, dann wird es halt super problematisch – in Bezug auf China.

00:53:46 Lars Wallenborn: Und ich finde, das ist auch ein Beispiel wo man gut erkennt… also man wird gelegentlich mal gefragt, ja wen interessiert es denn, welcher Akteur aus Russland das war, oder welcher Akteur aus China das war. Na ja, das interessiert eigentlich aus einer politischen Sicht nicht so viele Leute, aber in so einem Fall interessiert es jetzt schon. Wenn man sagt, diese drei Kriterien die wir gerade hatten, die sind alle China zugeordnet, dann hört sich das so an, als könnte es vielleicht China sein. Aber wenn man jetzt ein feineres granulares Tracking hat, von verschiedenen chinesischen Akteuren, kann man so eine Aussage tätigen wie: Na ja, das erste Kriterium, das wir beobachtet haben, gehört zu dieser Gruppe, das zweite zu dieser Gruppe und das dritte zu noch einer anderen Gruppe, und hat jetzt plötzlich ein Argument zu sagen: Na ja, also es ist unwahrscheinlich, dass diese drei Gruppen ganz plötzlich – vorher nie, und jetzt ganz plötzlich – angefangen haben, zusammen zu arbeiten. Und deswegen ist es wichtig, auch schon vorher eine Übersicht darüber zu haben, wie die Bedrohungslandschaft aussieht und eventuell auch feiner granular, als nur Land.

00:54:42 Christian Dietrich: Um eine weitere Dimension in der Attribution abzudecken, könnte man sich die Frage „Cui Bono?“ stellen, also die Frage, wem nützt dieser Angriff? Und da könnte man zunächst mal vielleicht festhalten, der Erfolg der Olympischen Spiele, der ist im Allgemeinen im Interesse zukünftiger Gastgeber. Und das ist hier besonders interessant, weil die Olympischen Winterspiele 2022 eben in Peking, in China stattfinden sollten. Das heißt also, China war in der Folge der nächste Ausrichter Olympischer Winterspiele.

00:55:11 Lars Wallenborn: Dem haftet jetzt ein großes Risiko an. Also wenn China jetzt die Olympischen Spiele sabotiert und das kommt raus, und…also ich weiß nicht, ob dann sogar so was passiert, wie den Gastgeber Status verlieren und die olympischen Spiele passieren woanders und so. Also da stellt sich schon die Frage, warum sollten die das machen?

00:55:27 Christian Dietrich: Genau.

00:55:28 Lars Wallenborn: Gut. Dann wechseln wir jetzt mal zum dritten Kandidaten, den wir auf unserer Liste haben, nämlich Russland. Da kann man sich jetzt auch mal überlegen, was gibt es da in der politischen Dimension zu sagen. Erstmal würde ich sagen, also generell hat Russland halt schon ein Interesse daran, in anderen Regionen – besonders in dieser Region hier –  für Unruhe und Instabilität zu sorgen. Das ist auf  jeden Fall in deren Interesse…

00:55:52 Christian Dietrich: So, und dann muss man knallhart mal festhalten, Russland hatte in diesen Spielen noch nicht mal Athlet:innen vertreten, denn formal waren die olympischen Athleten – also hieß es – nur olympische Athleten aus Russland. Und Russland als Nation war in Folge der Dopingvorfälle aus 2014 gesperrt. Und das kann man vielleicht mal so ein bisschen aufrollen. Wenn man sich da ganz kurz die Historie anschaut. Also 2014 waren die olympischen Winterspiele ins Sotschi in Russland. Russland ist damals als erfolgreichste Nation aus diesen Spielen raus gegangen. Kurz danach ist das staatliche Doping Programm aufgedeckt worden. Übrigens von dem Deutschen Hajo Seppelt, der das in einer ARD Doku „Geheimsache Doping“ zu Tage gefördert hat oder verfolgt hat. Und im Dezember 2017, also am 5. Dezember 2017 sperrt das Internationale Olympische Komitee Russland als Nation für die Olympischen Winterspiele 2022.

00:56:51 Lars Wallenborn: Also da wurde es offiziell. Das hat sich auch schon vorher angedeutet und so, aber da ist der Hammer gefallen, Russland darf nicht mitmachen.

00:56:57 Christian Dietrich: Vielleicht an der Stelle ein kleiner Filmtipp. Der Film „Ikarus“, das ist eine Doku, von Bryan Fogel. Da geht es unter anderem um Grigori Rodtschenkow. Ist ein ganz interessanter Film, kann man sich mal anschauen, wenn man da ein bisschen tiefer einsteigen will. Es gab noch eine zweite Beobachtung, die so ein bisschen verstörend wirkte vielleicht, als sie kam, denn die russische Regierung stritt einen Cyber Angriff ab, bevor es überhaupt einen Cyberangriff gab.

00:57:21 Lars Wallenborn: Und das ist immer ganz schlecht, wenn man anfängt, sich für etwas zu verteidigen, was noch gar nicht passiert ist. Oder was zumindest noch nicht mal aufgefallen ist, sage ich mal vorsichtig. Ich kann mir überhaupt nicht vorstellen, was da schiefgelaufen ist, muss ich sagen. Also da schienen sich Leute ganz schlecht abgestimmt zu haben.

00:57:35 Christian Dietrich: Ich meine ein paar Tag später oder retrospektiv kann man eben sagen, das ist natürlich ein sehr, sehr auffälliges Verhalten. So und jetzt fragen sich wahrscheinlich alle Zuhörer:innen, woher haben wir eigentlich diese Sichtbarkeit, diese Visibility in diesem Vorfall?

00:57:49 Lars Wallenborn: Na ja, und so was wie um 19:42 Uhr wird die Wiper Malware in die Zielumgebung übertragen. Also da fragt man sich schon, haben die zwei Armchair Investigators jetzt vielleicht doch ein weltweites Spionageprogramm am Start.

00:58:00 Christian Dietrich: Leider war das nicht der Grund für die lange Pause in den Podcast Folgen. Wir berufen uns hier maßgeblich auf ein US Indictment, also auf eine Anklageschrift des US Department of Justice. Und zwar konkret auf das, was am 19. Oktober 2020 also über zwei Jahre nach dem eigentlichen Vorfall hier veröffentlicht wurde.

00:58:21 Lars Wallenborn: Genau. Und da steht halt das alles so genau drin. Ich fand es super interessant, das auch noch mal zu lesen und so. Wir verlinken das natürlich auch in den Shownotes. Da kann man genau das, was eben in der Folge hier alles vorkam, kann man hier genau so nachlesen. Mit Uhrzeiten, mit um so und soviel Uhr wurde die E-Mail verfasst und um so und soviel Uhr verschickt, also das ist schon beängstigend gute Visibility, die dieser Anklageschrift zu Grunde liegt.

00:58:45 Christian Dietrich: So, und jetzt kommen wir eben zu einem Knackpunkt hier in dieser Folge. Denn wir können an dieser Stelle festhalten: Wenn wir jetzt hier der vermeintlich stärksten Attribution Glauben schenken, nämlich dass es hier diese politische Motivation Russlands gibt, dann haben wir es hier mit einer sogenannten False Flag Operation zu tun. Das heißt, hier hat jemand bewusst versucht, den Ursprung, also die Attribution fehlzuleiten. Das bezeichnet man eben als False Flag. Und das Ganze hat einen relativ gutes Ende genommen, denn diese False Flag Operation ist aufgeflogen.

00:59:17 Lars Wallenborn: Ja, ich fand das auch sehr, ich sage mal, erhebend, das Gefühl. Das ist ja immer das große „The looming Evil on the Horizon“, dass es Akteure gibt, die nur so tun, als wären sie ein anderer Akteur. Und das auch so geschickt machen, dass man das überhaupt nicht auseinander halten kann. Und das ist hier vielleicht nicht so geschickt gemacht worden, wie man es hätte machen können, aber es ist auf jeden Fall hier passiert. Und es ist vor allem aufgefallen, nach vernünftiger Analyse, nach etwas Zeit die da ins Land gegangen ist und so, dass diese False Flag Operation, die da ausgeführt wurde und nicht erfolgreich war, und welche False Flag war das überhaupt? Also ich halte es für am wahrscheinlichsten, dass es russische Malware war, die da geschrieben wurde. Und dann hat man sich alte nordkoreanische Malware genommen, und da einfach so den PE Header von der koreanischen Malware in diese russische Malware rüber kopiert. Byte für Byte, in der Hoffnung, dass sich das jemand anguckt und sagt: Ha, das ist die gleiche Entwicklungsumgebung, die wir auch schon in der Malware gesehen haben, also es muss Nordkorea sein.

01:00:17 Christian Dietrich: Das zum einen, und zum anderen haben wir ja auch wirklich die Algorithmik ähnlich implementiert. Dass man da so in Blöcken à hex 1000 Bytes, also 4096 irgendwie liest, beziehungsweise  dann schreibt, das gab es ja auch. Aber du hast schon völlig recht. Wahrscheinlich ist diese Metadaten Gleichheit, die ist wahrscheinlich das beste Zeugnis davon, dass jemand also da wirklich den PE Header rüber kopiert hat. Eins zu eins übernommen hat.

01:00:42 Lars Wallenborn: Gut, dann wollen wir doch jetzt mal zum Fazit übergehen. Also der gesamte Fall ist aus unserer Perspektive halt jetzt eine relativ safe Situation. Also wir haben Industrie Reporting und öffentliche Blogposts und so weiter, die deuten alle auf Russland hin. Es gibt eine Anklageschrift aus den USA, die auch sagt, es war Russland, das ist also quasi aus einer Analysten Perspektive so gut ermittelt, wie es nur sein kann. Alle sind sich einig. Es gibt NSA Level Visibility in dem Fall, es gibt Industrie Reporting, das das unterstützt, und so weiter. Das heißt, wir können jetzt einfach mal annehmen, das war Russland. Und jetzt könnten wir uns mal fragen, warum machen die das überhaupt. Also Chris, warum machen die das überhaupt?

01:01:19 Christian Dietrich: Ja, Ziel könnte hier schon sein, dass man Vertrauen erodieren möchte, und zwar Vertrauen in das System Olympische Spiele. Insbesondere vielleicht hinsichtlich Fairness und Doping, beziehungsweise Anti Doping. Weil genau das eigentlich in dem Zeitraum zwischen 2014 und 2018 eine sehr große Rolle gespielt hat. Also dieses staatlich organisierte Dopingsystem wurde ermittelt, dokumentiert und veröffentlicht, und dann könnte man eben argumentieren: Na ja, dann sabotiere ich eben die Olympischen Spiele als den Ort, wo faire sportliche Wettkämpfe ausgetragen werden.

01:01:57 Lars Wallenborn: Wenn dieser ganze destruktive Angriff erfolgreich gewesen wäre, dann hätte man sagen können: Na ja, wie sollen die denn bitte sehr vernünftige Anti Doping Maßnahmen treffen, wenn sie noch nicht mal ihr Netzwerk gegen nordkoreanische Malware schützen können. Ja, das ist so ein bisschen die Idee. Und auch sehr viel primitivere Motive könnten dahinter stecken. Also ich meine, die Russen durften nicht mitspielen, dann machen sie die Spiele halt für alle anderen auch kaputt. Hat aber nicht geklappt.

01:02:21 Christian Dietrich: Wir haben eben gesehen, dass es sich hier um eine False Flag Operation handelt, die als solche erkannt wurde und ich finde, da kann man manchmal ganz gut einen Vergleich ziehen. Nämlich welche neuen Techniken sich mit der Zeit entwickeln. Und was die in der Analyse für Unterschiede zur Folge haben. Und ich vergleiche das immer ganz gerne so mit der DNA Analyse bei klassischen Verbrechen. Also quasi in der klassischen Forensik wurden halt irgendwann DNA Analysen entwickelt, und man hatte auf einmal Möglichkeiten, Fälle aufzudecken, die man vielleicht bis dahin mit den zur Verfügung stehenden Mitteln einfach nicht aufdecken konnte. Wir haben ja hier in diesem konkreten Vorfall, also Olympic Destroyer, über den PE Rich Header gesprochen und diese PE Rich Header Analyse. Und da finde ich eine Sache ganz wichtig. Nämlich es gab da einen Forscher von Kaspersky, der sich wahrscheinlich schon so oft Rich Header angeschaut hatte, dass er in dem Moment, wo er realisiert hat, hier sollen Byte-gleiche Rich Header vorliegen, da hat er eben gesagt, das kann nicht sein. Und genau dieses Gefühl, dieser Erfahrungswert, der hat ihn dann ein bisschen dazu verleitet, sich das noch genauer anzuschauen. Und hat da wirklich so herausgearbeitet, dass das hier vermutlich eben eine False Flag Operation ist, in der Folge. Jetzt könnte man sagen, diese Rich Header Analyse, die haben vereinzelt sicherlich Leute bis dahin überhaupt schon gemacht. Aber das war zu dem Zeitpunkt kein Analysemittel was in der Community ständig diskutiert wurde.

01:03:55 Lars Wallenborn: Und ich glaube noch nicht mal, dass das daran lag, dass das irgendwie geheim gehalten wurde oder so. Ich glaube einfach, Leute haben das gelegentlich mal gemacht, und nicht so sehr drüber nachgedacht, dass es so ein mächtiges Tool sein kann. Und von solchen Sachen gibt es glaube ich ganz ganz viele – na ja, die man einfach so macht und erst wenn man mit jemand anders drüber redet und feststellt, oh ja, das ist ein super mächtiges Werkzeug und so weiter.

01:04:14 Christian Dietrich: In der Folge muss man glaube ich aus heutiger Perspektive sagen, diese Rich Header Analyse, die wird halt einfach immer gemacht. Die lässt man nicht mehr außen vor. Und wiederum in der Folge heißt das natürlich, dass wahrscheinlich Akteure, die heute eine False Flag Operation planen, sich dessen wohl bewusst sind und dass man vielleicht diese Methode so in der Form nicht notwendiger Weise nochmal verwenden kann. Aber darum soll es hier gar nicht so en Detail gehen. Es geht eher darum, wie interessant es eben ist, wenn man solche neuen Techniken mal so wirklich zum Einsatz bringt. Und natürlich kann man diese Techniken auch retrospektiv auf eine ganze Reihe anderer Fälle anwenden. Und das wurde eben auch vielfach gemacht, um sozusagen retrospektiv sich anzuschauen beispielsweise, wie sich Malware zusammen setzt und ob es da Konsistenzen oder Inkonsistenzen gibt.

01:05:03 Lars Wallenborn: Hier gibt es übrigens noch ein ganz interessantes Asymmetrie Verhältnis. Man sagt ja eigentlich immer, es gibt eine Asymmetrie zwischen Angreifern und Verteidigern, dass die Angreifer nur einmal reinkommen müssen und die Verteidiger alles absichern müssen. Das ist quasi unfair für die Verteidiger. Aber es gibt jetzt hier auch noch ein anderes Asymmetrie Verhältnis zwischen Angreifern die False Flag Operationen durchführen und Verteidiger Analysten, die diese Operationen analysieren. Weil hier müssen die Angreifer jetzt gegen jede dieser Analysetechniken alles richtig machen und die False Flag Operation richtig durchführen, die Rich Header richtig machen. Die müssen, weiß ich nicht, alles andere, was da sonst noch so rum fleucht an Techniken, korrekt handeln und korrekt False Flagifizieren. Weil wenn sie nur an einer dieser Stellen was falsch machen, dann fällt das auf, und dann kann man sagen, das spricht alles dafür, aber das könnte auch alles gefälscht sein hier an dieser Stelle, das spricht dagegen und so weiter. Also das ist eine ganz hoffnungsschaffende Asymmetrie. Nicht ganz so düster wie die andere mit den Verteidigern und Angreifern.

01:05:59 Christian Dietrich: Solche False Flag Operationen sind ja insgesamt super interessant. Und ich habe mich da mal gefragt, ob man so eine Attributions-Fall-Unterscheidung machen kann. Also was ich meine ist, in dem Moment wo du als Analyst, als Intelligence Analyst, da anfängst irgendwie so einen Fall aufzuarbeiten, da machst du ein Clustering. Also du versuchst die ganzen Artefakte und Observables, die du hast, zu sortieren und für dich irgendwie zu gliedern und zu strukturieren. Aber natürlich gibt es Fälle, da hast du einfach zu wenig, um in die sogenannte Charging Phase der Attribution einzusteigen. Das heißt, du hast im Prinzip einfach nichts, um zu attributieren. Du kannst super kategorisieren, du kannst super sortieren, aber du hast nichts um zu attributieren. Und wahrscheinlich denken viele, das ist der häufigste Fall. Ich weiß gar nicht, ob man das quantifizieren kann, das passiert bestimmt ziemlich häufig. Es gibt da ja auch unterschiedliche Nomenklaturen. Also es gibt ja zum Beispiel diese Unnamed Cluster, die ich glaube maßgeblich Mandiant da benutzt. Also UNC ist da so dieser Prefix. Also das ist quasi dieser Fall Eins. Der nächste Fall ist, die Attribution klappt nicht, weil es eben nur vereinzelte, sehr wenige Indikatoren gibt. Also ich sage mal, so plakativ könnte man sagen, ja das ist diese eine IP, die ist irgendwie aus Südkorea, also gibt es da irgendwie einen Südkorea Bezug, aber wir wissen eigentlich, das ist irgendwie nicht stichhaltig. Das ist aber das einzige was wir haben. Da denken wahrscheinlich auch viele, dass das ganz häufig der Fall ist und das ist wahrscheinlich auch so. Man könnte vielleicht sagen, wenn man an so einen Akteur wie Fancy Bear denkt, dann war das vielleicht so 2009/2010 herum, da war das vielleicht irgendwie zumindest im Industry Reporting vielleicht so der Fall. Man hat da so eine Idee, aber das ist nicht mit den Maßstäben, mit denen man vielleicht vernünftig Attribution betreibt, ist das irgendwie einfach nicht verlässlich. Und der dritte Fall ist, man hat genug, und es ist schlüssig. Wenn man bei Fancy Bear vielleicht mal bleibt, dann kann man sagen, ich würde sagen,  spätestens 2018 war weitestgehend in der Industry – also sowohl in der Industry, als auch eben in den staatlichen Organen die Sichtweise relativ klar, man konnte diese Operation attributieren. Man hat also mehrere Indikatoren, die Attribution erlauben, in vielen Dimensionen, diese Attributionsmodelle, die es da gibt, und die geben vor allem auch ein einheitliches schlüssiges Bild. Und dann gibt es aber den letzten Fall, also den vierten Fall. Und der ist interessant und der geht in diese Richtung, False Flag Operationen. Und der ist vielleicht, wenn man den ein bisschen allgemeiner fasst…

01:08:28 Lars Wallenborn: Ich unterbreche dich jetzt einfach mal. Ich würde nämlich eigentlich sagen, diese drei ersten Fälle, die sind eigentlich alle der gleiche Fall. Weil ich meine, so läuft das doch immer. Also du wachst nicht plötzlich auf, hast überhaupt kein Verständnis von Cyber Threat Landscape und hast dann viele, genug und schlüssige Attributionsinformationen. Das ist ja immer ein Prozess. Du fängst immer an und hast keinen Anpack. Und… also nicht in jedem Fall. Also wenn du einfach sonst keinen Kontext hast, hast du erst einmal keinen Anpack. Und je mehr du eine Übersicht über die Gesamtlandschaft bekommst, desto mehr Anpack kannst du auch überhaupt haben. Desto mehr Rezeptoren hast du an allen Ecken und Enden. Desto mehr ja, dieses Mörder Board, desto mehr Pins hast du da drin, zu denen du Fäden ziehen kannst, die du vorher nicht ziehen kannst. Und das wird mit der Zeit auch immer mehr und das liegt auch an diesem Asymmetrie, von der ich gerade gesprochen habe. So ein Akteur, der muss halt nur einmal einen Fehler machen, und einmal versehentlich sich nicht in ein VPN einloggen, wenn er mit dem Server redet, oder was auch immer. Und wenn das einmal passiert, dann hat man wieder so etwas. Und das heißt, je länger man die gleiche Aktivität trackt, desto mehr schlüssige Informationen hat man. Aber ich würde eigentlich sagen, diese drei Fälle – ja, diese drei Fälle gibt es, aber die sind eigentlich nur eine Konkretisierung eines Prozesses, der halt stattfindet.

01:09:41 Christian Dietrich: Ja, das kann man so sehen. Aber andererseits, also im Grunde bin ich da auch bei dir, weil klar, in den meisten Fällen – also je länger du einen Akteur trackst, um so höher, würde ich auch sagen, ist die Wahrscheinlichkeit, dass du ihn verlässlich attributieren kannst. Trotzdem haben wir eine ganze Menge an Akteuren oder Clustern, die bis heute Unnamed Cluster geblieben sind. Und wo ich mir auch fast sicher bin, die werden wir in Zukunft nicht verlässlicher attributieren können. Ich glaube, es gibt schon eine ganze Menge Fälle, die verbleiben in diesen anderen Fällen, also kein Anpack oder zu wenig oder nicht schlüssig und so weiter – und sich das mal bewusst zu machen ist glaube ich auch völlig in Ordnung. Das muss ja nicht heißen, dass Attribution grundsätzlich nicht möglich ist, oder nicht sinnvoll ist, sondern…

01:10:23 Lars Wallenborn: Nein, man muss natürlich Prioritäten setzen. Also wenn man jeden Akteur immer trackt, dann braucht man unglaublich viele Ressourcen und die hat man eventuell gar nicht zur Verfügung. Also irgendeine Priorisierung muss man halt machen.

01:10:34 Christian Dietrich: Genau. Der letzte Fall, den ich noch ganz kurz anschneiden wollte, wo es in die Richtung False Flag geht, das ist vielleicht der Fall, wo es zu viele, aber in viele verschiedene Richtung gehende Indikatoren gibt. Ja, oder Attributionsansätze. Das heißt, die Attribution klappt nicht, weil sie zu widersprüchlich ist. Nicht weil man zu wenig hat, sondern weil man genug hat, aber es ist einfach zu widersprüchlich und das könnte vielleicht der Versuch gewesen sein, hier so ein bisschen zu bezwecken. Das heißt, dass man nicht nur die falsche Fährte in Richtung Nordkorea legt, sondern man wollte eben möglicherweise bewusst, auch noch eine falsche Fährte in Richtung China legen und da auch noch hinsichtlich mehrerer Akteure. Wir wissen nicht genau, ob das bewusst oder unbewusst passiert ist an der Stelle. Und nur um einfach mal ein zweites Beispiel vielleicht zu geben, wäre an der Stelle Cloud Atlas, ein Akteur, der sich da an der Stelle vielleicht ähnlich gebart hat. Okay, genug von diesen ganzen theoretischen Modellen, zurück zum Fazit. Vielleicht kann man sagen, wenn man das ganze im zeitlichen Verlauf noch einmal betrachtet, dann zeichnet sich ein verhältnismäßig klares Bild. Also vielleicht fängt man 2014 an, wir haben die Olympischen Winterspiele in Sotschi, Russland gewinnt die meisten Medaillen, super viele Erfolge, das war im Februar 2014 glaube ich, und einen Monat später im März, beginnt Putin die militärische Auseinandersetzung mit der Ukraine, die mal eben die Krim besetzt, zunächst ja verdeckt, aber das artet ja dann aus irgendwie zu einer tatsächlichen militärischen Auseinandersetzungen. Im Dezember 2017 wird Russland suspendiert von den Olympischen Winterspielen 2018, das sind die nächsten Olympischen Winterspiele…

01:12:14 Lars Wallenborn: Oder ein anderer Grund oder eine andere Motivation warum man so einen destruktiven Angriff gegen die Olympischen Spiele macht, kann halt auch so ein Drohgebaren sein. Das passt ja auch irgendwie gut in das russische Klischee, so von wegen: Ja, lass uns lieber mitspielen, sonst machen wir das für alle kaputt.

 01:12:27 Christian Dietrich: Haben wir ein Schlusswort, Lars?

01:12:29 Lars Wallenborn: Ja, wir haben ein Schlusswort. Also die Verteidigung hat hier super geklappt, die Attribution hat zumindest mit etwas Zeit gut geklappt, sogar eine False Flag Operation wurde quasi durchschaut, und das ist sehr gut und das ist sehr wichtig. Also das spielt in diesem Themenkomplex Resilienz mit rein, das ist halt auch eine Art und Weise, sich im Cyberspace zu verteidigen, indem man dafür sorgt, dass man vorbereitet ist auf Angriffe, dass man die dann handeln kann korrekt und dass man im Nachgang auch feststellen kann, wer war es und dann auch eventuell – wie jetzt auch in dem Fall – Anklage erheben kann.

01:13:06 Christian Dietrich: Ja. Dieser Vorfall ging als Olympic Destroyer, wahrscheinlich eben in die Cyber Geschichtsbücher ein, und wenn man so will, ist vielleicht eines davon das Buch „Sandworm” von Andy Greenberg. Vielleicht kann ich an der Stelle mal kurz ein bisschen Werbung machen. Wir haben bei uns an der Westfälischen Hochschule einen Master Studiengang, Internetsicherheit, wenn man irgendwie Informatik-affin ist und einem solche Themen, wie hier Fragen zur Attribution und zur technischen Analyse von Cybervorfällen und Malware liegt, dann ist das vielleicht irgendwie ganz interessant. Das war es auch mit dem Werbeblog. Ja, die Folge ist etwas länger geworden. Das war aber auch Absicht. Wenn euch das so gefallen hat, dann lasst uns doch vielleicht irgendwie Kommentare auf Twitter da…

01:13:45 Lars Wallenborn:  @armchairgators ist unser Handle auf Twitter. Oder ihr könnt uns natürlich auch erreichen über unsere Webseite armchairinvestigators.de.

01:13:54 Christian Dietrich: Es hat uns gefreut, wenn ihr bis jetzt drangeblieben seid, und bis zum nächsten Mal.

01:13:58 Lars Wallenborn: Tschüss.

01:14:00 Christian Dietrich: Ciao.