#8 Close Access Operations — Cyberspionage Hautnah

Wenn Cyberagenten im gleichen Hotel wie ihre Ziele unterkommen und das Hotel-WLAN kompromittieren, dann fehlt die sonst übliche Distanz des Internets. In dieser Folge gehen wir auf eine Reise durch die Niederlande, die Schweiz und das Vereinigte Königreich. Wir folgen den Spuren der Cyberspionen, beleuchten wie sie vorgehen und welche Werkzeuge sie benutzen.

Shownotes

Transkript anzeigen…

00:00:20 Christian Dietrich: Hallo liebe Cyberfreunde. Mein Name ist Chris und ich bin Professor für Cybersicherheit an der Westfälischen Hochschule.

00:00:28 Lars Wallenborn: Und hallo, ich bin Lars. Ich arbeite als Softwareentwickler und Reverse Engineer bei CrowdStrike.

00:00:34 Christian Dietrich: Wir haben uns heute ein Thema rausgesucht, das ein bisschen weniger mit Malware, aber dafür mehr mit Spionage zu tun hat. Dazu versetzen wir uns noch mal in die Lage der Olympischen Sommerspiele 2016. Die waren nämlich in Rio, in Brasilien. Das Besondere an diesen Olympischen Sommerspielen war – und dazu müssen wir noch mal ein paar Jahre zurückschauen, nämlich zwei Jahre zurück zu den Olympischen Winterspielen, die 2014 in Sotschi in Russland stattfanden, – dass hier eine relativ wichtige Entscheidung noch ausstand. Nämlich die, ob russische Athletinnen und Athleten teilnehmen dürfen an den Olympischen Sommerspielen. Denn zwei Jahre vorher, also bei den Olympischen Winterspielen, war Russland die mit Abstand erfolgreichste Nation, also über 30 Medaillen insgesamt, davon elf Goldmedaillen. Aber durch Ermittlungen im Zusammenhang mit Doping sind insgesamt dann 48 Medaillen von russischen Athletinnen und Athleten zurückgezogen worden. Mehr als nur für die Olympischen Winterspiele 2014.

00:01:41 Lars Wallenborn: Und das war schon ein ziemlich großes Ding. Das ist zentral rausgekommen durch so eine ARD Dokumentation, die hieß „Geheimsache Doping. Wie Russland seine Sieger macht.“

00:01:49 Christian Dietrich: Von Hajo Seppelt.

00:01:51 Lars Wallenborn: Es gibt von dieser Dokumentation auch so eine Transkription, die wurde dann auch übersetzt. Wahrscheinlich, damit sie irgendwie in Anklageschriften verwendet werden kann und so weiter. Und die kam halt dann im Dezember 2014 raus und hat rausgebracht, dass Russland im großen Stil Doping bei den Olympischen Spielen unterstützt. Von staatlicher Seite. Und das hat wahrscheinlich viele Gründe. Ich denke mal, die Olympischen Spiele sind für viele Staaten ein richtiges wichtiges Ding – und gerade für Russland. Das spielt da, glaube ich, eine große Rolle. Das hat mit Nationalstolz zu tun, und hat man auch, glaube ich, viel genutzt damals, um von anderen innenpolitischen Problemen abzulenken. Und deswegen kam das gar nicht so gelegen, dass jetzt öffentlich wurde, wie da gedopt wurde und dass da gedopt wurde.

00:02:37 Christian Dietrich: Und weil dieses Thema eben von so hohem Interesse ist, also auch von politischem Interesse, macht es natürlich aus russischer Perspektive Sinn, dass man hier die Nachrichtendienste darauf ansetzt, als erste zu wissen, ob Russland denn jetzt ausgeschlossen wird oder nicht von den Olympischen Sommerspielen.

00:02:54 Lars Wallenborn: Genau. Ich fasse das noch mal kurz auf der Zeitleiste zusammen. 2014 waren die Olympischen Winterspiele in Russland in Sotschi, dann kamen die Dopingvorwürfe und dann musste entschieden werden, ob bei den Olympischen Sommerspielen zwei Jahre später, Russland überhaupt noch mitmachen darf oder nicht.

00:03:11 Christian Dietrich: Genau. Und in dem Moment betritt im Prinzip die erste Person die Bühne, die heute in der Folge noch mehrmals zutage treten wird. Und hier handelt es sich um einen russischen Agenten mit dem Namen Serebriakov, der eben auch zurzeit der Olympischen Sommerspiele in Rio vor Ort war. Das war nicht das erste Mal, dass er da war. Denn etwa einen Monat vorher war er schon mal für neun Tage in Rio. Und wir wissen gar nicht genau, was er da vor Ort gemacht hat, aber es ist ziemlich klar, dass er hier im Auftrag des russischen Nachrichtendienstes GRU nach Rio gereist ist. Die Olympischen Sommerspiele fanden statt und russische Athletinnen und Athleten durften teilnehmen, wenn auch unter etwas kuriosen Bedingungen, durften also nicht wirklich Russland vertreten in allen Disziplinen. Die Details ersparen wir euch da jetzt. Auf die wollen wir nämlich gar nicht unbedingt näher eingehen. Der interessante Teil der Geschichte, der beginnt nämlich nochmal etwa einen Monat später und der findet maßgeblich in Lausanne in der Schweiz statt.

00:04:18 Lars Wallenborn: Und dafür müsste man vielleicht wissen, auf welcher Basis so jemand überhaupt ausgeschlossen wird von den Olympischen Spielen. In dem Fall war es so, dass die WADA – das ist so eine weltweit operierende Organisation gegen Doping – die hat gegenüber dem Komitee, das die Olympischen Spiele ausrichtet, empfohlen, Russland komplett auszuschließen. Und in Lausanne – das was du jetzt ansprechen möchtest – da hat die nämlich eine Konferenz veranstaltet. Und da spielte Russland eine große Rolle. Wir haben uns mal so ein Meeting Protokoll runtergeladen. Wenn man darin nach Russland sucht oder nach Russia sucht, dann sind da auch 33 Hits. Also ich vermute mal, in diesem Meeting wurde da viel drüber gesprochen, auch wenn ich dieses ewig viele Seiten Dokument gar nicht komplett selber gelesen habe.

00:05:00 Christian Dietrich: Und der vorher benannte russische Agent Serebriakov war natürlich auch in Lausanne. Und zwar war er hier vom 18. September bis zum 22. September. Das ist eben genau der Zeitraum, in dem auch die von der WADA organisierte Anti Doping Konferenz stattfand. Und zwar in einem Hotel mit dem Namen Alpha Palmiers. Genau in diesem Hotel haben eben Serebriakov und ein Kollege von ihm sich auch zu dieser Zeit aufgehalten. Also die haben sich quasi aufgeteilt, einer war in dem Palmiers und einer war in dem anderen Hotel, das direkt um die Ecke war.

00:05:38 Lars Wallenborn: : Oder es waren einfach zwei russische Spione zufällig in der Schweiz im Urlaub, während eine Anti Doping Konferenz stattgefunden hat. Ein weiteres Event, das ein paar Monate nach dieser Konferenz und nach diesem Aufenthalt dieser beiden Spione in der Schweiz stattgefunden hat, oder was sich ereignet hat, war, dass das Canadian Centre for Ethics in Sport seine Netzwerke abgeschaltet hat. Das war im November 2016, also wie gesagt kurz danach. Wir können jetzt nicht nachweisen, dass das was damit zu tun hatte, aber man vermutet, dass da ein Hackerangriff stattgefunden hat. Und es ist möglich, sage ich mal, dass diese beiden Sachen irgendwas miteinander zu tun haben. Und eine Sache, die da passiert sein könnte, ist, dass diese beiden Spione in diesem Hotel in der Schweiz – da waren ja alle möglichen Abgesandten von allen möglichen Ländern da, auch aus Kanada – dass die da vielleicht Informationen akquiriert haben oder sogar Zugangsdaten irgendwie eingesammelt haben von den Leuten, die da in dem Hotel waren. Um dann einen Hackerangriff, einen Angriff auf dieses Canadian Centre for Ethics in Sport zu ermöglichen, zu einem späteren Zeitpunkt. Und solche Operationen, dass man einen Angreifer irgendwo hinschickt, in die physische Nähe seiner Ziele, solche Operationen nennt man Close Access Operations. Und darüber wollen wir heute reden.

00:07:00 Christian Dietrich: Du hast das gerade so vorsichtig formuliert, dass es möglicherweise diesen Zusammenhang geben kann zu der Abschaltung des Netzwerks, da im Canadian Centre for Ethics in Sport. Ich glaube, das ist tatsächlich ziemlich belastbar. Ich glaube, man hat da den Kausalzusammenhang tatsächlich herstellen können, indem man eben beobachtet hat, dass die beiden Agenten – unter ihnen eben einmal hier Serebriakov und sein Kollege – tatsächlich versucht haben, hier Malware auf dem Notebook eines Offiziellen des Canadian Centre for Ethics in Sport zu platzieren. Genau. Aber das ist eben Kern einer Close Access Operation, wenn man in physikalischer Nähe zur Zielperson ist.

00:07:44 Lars Wallenborn: Also um die Zeitlinie jetzt noch mal so ein bisschen ordentlich aufzubereiten: 2014 Olympische Winterspiele in Russland. Kurz danach kommt raus, dass Russland ein staatlich organisiertes Dopingprogramm hat. 2016 werden sie so semi ausgeschlossen von den Olympischen Spielen in Rio. Dort taucht dann unser Hauptakteur auf, Serebriakov. Kurz danach, im gleichen Jahr – auch 2016 – in der Schweiz, taucht er wieder auf: Auf einer Anti Doping Konferenz mit einem Kollegen zusammen. Und kurz danach werden wahrscheinlich Daten, die da gesammelt wurden, gegen eine kanadische Organisation eingesetzt, um da einzufallen. Kommen wir zur zweiten Geschichte.

00:08:20 Christian Dietrich: Im Folgejahr betritt ein anderer Agent – aber am selben Ort, nämlich auch in Lausanne – die Bühne, nämlich Sergejew. Und diesmal fand das WADA Annual Symposium in Lausanne statt. Es geht also wieder um Anti Doping. Und wieder ist ein vermeintlicher russischer Agent in der Nähe. Und dieser Agent Sergejew, der verknüpft das Ganze noch mal mit einem weiteren Vorfall, mit einem größeren Vorfall, über den wir jetzt als zweites sprechen wollen. Nämlich den Anschlag, den Vergiftungsanschlag gegen Sergej Skripal und seine Tochter.

00:08:55 Lars Wallenborn: So, und dieser Sergejew, der verknüpft jetzt ganz leicht diese beiden Ereignisse. Also der war 2017 in Lausanne und 2018 war er sehr zentral in die Vergiftung der Skripals verwickelt. Also man sagt, er hat da irgendwie die Operation on the Ground irgendwie vor Ort koordiniert. Ich glaube, also man vermutet, dass er nicht selber den Giftstoff ausgebracht hat, aber dass er irgendwie dabei geholfen hat oder das irgendwie koordiniert hat da, und war auch vor Ort in England.

00:09:26 Christian Dietrich: Jetzt müssen wir vielleicht noch mal kurz aufrollen, wie die Skripal Vergiftung und wie auch die Aufklärung danach so ein bisschen passiert ist. Sergej Skripal und seine Tochter wurden am 4. März 2018 in Salisbury in England mit Nowitschok vergiftet. Das ist ein Nervengift. Beide überleben nur knapp. Und dazu muss man vielleicht sagen, Skripal war Doppelagent. Also ehemaliger Agent des russischen Militärnachrichtendienstes GRU, der ja eben schon mal zur Sprache kam, ist dann angeworben worden vom britischen MI6, also quasi Doppelagent. Und na ja, es wurde berichtet, unter Berufung auf einen ranghohen Mitarbeiter der NATO Spionageabwehr, dass Skripal bis 2017 für insgesamt vier Nachrichtendienste von NATO Staaten gearbeitet habe. Also Skripal war da vielleicht …

00:10:16 Lars Wallenborn: Ziemlicher „busy beaver“ irgendwie.

00:10:17 Christian Dietrich: Genau.

00:10:18 Lars Wallenborn: Das war ein Riesending damals, 2018. Das war richtig in den Massenmedien. Und das Besondere an diesem Nowitschok Nervengift ist auch, dass ist so eine russische Entwicklung. Inzwischen steht das wahrscheinlich vielen Akteuren zur Verfügung aber es hat immer eine ganz starke Signalwirkung. Wenn heutzutage noch jemand mit Nowitschok vergiftet ist, dann kann man lapidar sagen „Die Russen waren’s und wollen auch signalisieren, dass sie es waren.“ Und das ergibt ja in dem Fall auch Sinn, dass da quasi der russische Geheimdienst ein Zeichen setzen wollte, dass das mit diesem Doppelagent sein, dass das nicht läuft.

00:10:49 Christian Dietrich: Natürlich läuft nach so einem Anschlag die Aufklärung an. Und da muss man eben sagen, gibt es hier vielleicht zwei wichtige Teile. Nämlich zum einen, da das Ganze in England passiert, gibt es natürlich englische, also britische Institutionen, Polizei und so weiter, die das versuchen aufzuklären. Und darüber hinaus gibt es aber noch eine ziemlich wichtige Organisation, die hier auch involviert ist, nämlich die OPCW. Und die OPCW, also wofür steht das? Das ist die Organisation for the Prohibition of Chemical Weapons. Oder auf Deutsch, die Organisation für das Verbot chemischer Waffen. Das ist eine unabhängige internationale Organisation, die durch die Vertragsstaaten der Chemiewaffenkonvention begründet wurde. Also eine internationale Organisation, keine direkte UN Organisation. Die ist 1997 gegründet, sitzt in Den Haag in den Niederlanden, und so kommen eben auch die Niederlande hier so ein bisschen ins Spiel. Und die Niederlande als Gastgeber haben eben die Aufgabe, die OPCW zu beschützen. Und jetzt ist eben folgendes passiert: Man hat eben nicht nur das Ganze durch britische Institutionen aufklären lassen, sondern man hat eben auch die OPCW involviert. Oder die OPCW hat sich ins Spiel gebracht, weil sie eben sehr viel Expertise hinsichtlich der Analyse von chemischen Kampfstoffen hat. Und darunter fällt eben auch Nowitschok, das hier verwendete Nervengift. Die OPCW scheint ein Geheimlabor zu betreiben, aber bedient sich durchaus auch anderer akkreditierter Labore. Und eins davon ist das Labor Spiez in der Schweiz. Und es ist gut möglich, dass das Labor Spiez auch mit einer Analyse von Nervengiftproben beauftragt wurde. Kommen wir zurück zu unserer Person Serebriakov. Denn was bringt diese Person hier ins Spiel? Bis jetzt muss man sagen, gibt es eigentlich noch keinen Link zwischen Serebriakov und dem Skripal Anschlag. Außer, dass Serebriakov für die selbe Organisation arbeitet wie Sergejew. Das ändert sich aber, als Serebriakov im April 2018 – am 10. April, also knapp einen Monat nach der Vergiftung von Skripal – in Amsterdam mit dem Flugzeug landet, mit dem Ziel, nach Den Haag weiterzufahren. Zu dem Zeitpunkt war aber auch schon relativ klar, dass es etwa sieben Tage später weitergehen sollte. Nämlich nach Basel, in die Schweiz.

00:13:23 Lars Wallenborn: Gut, dann wollen wir uns jetzt mal Serebriakov und sein in Anführungszeichen soziales Netzwerk anschauen, also die Leute, mit denen er da wahrscheinlich unterwegs ist. Denn wie sich rausstellt, war er weder in der Schweiz, noch die paar Jahre später in Den Haag alleine unterwegs, sondern hatte da einige Leute dabei, oder mindestens irgendeine andere Person dabei.

00:13:45 Christian Dietrich: Wir wollen uns dabei insbesondere auf den Vorfall in Den Haag konzentrieren, denn hier waren vier russische Agenten im Einsatz. Serebriakov und ein Kollege, der ähnlich wie Serebriakov technisch ausgelegt war. Also ein IT-affiner Agent, ein Cyberagent, könnte man sagen. Die beiden waren aber nicht alleine unterwegs, sondern die hatten eben HUMINT Support, also zwei weitere Agenten an ihrer Seite, die ebenfalls namentlich bekannt sind. Genau. Die zum Beispiel den Wagen gemietet haben, mit dem man dann irgendwie vom Flughafen Amsterdam Schiphol nach Den Haag gefahren ist, und so weiter. Die immer zugesehen haben, dass man den Müll irgendwie einsammelt und mitnimmt, damit man vielleicht nicht irgendwo Spuren hinterlässt und so weiter.

00:14:33 Lars Wallenborn: Du hast jetzt gerade einfach mal so en passant HUMINT verwendet. Vielleicht sollte man dann noch ganz kurz kommentieren, was du meintest. Die hatten zwei Leute dabei als HUMINT Support. Also HUMINT – es gibt ganz viel -INT, und HUMINT ist eine Form davon. Das bezeichnet verschiedene Formen von Intelligence und HUMINT steht für Human Intelligence, und das ist dieser ganze Klischee-Spion-Kram. Also Leute, die undercover irgendwo hingehen und wie du gerade gesagt hast, ihren Müll nirgendwo zurücklassen und falsche Papiere dabei haben. Also dieser Hollywoodfilm-Spion-Stuff mit Leuten mit Aktenkoffern voller Geld, und verschiedenen Ausweispapieren für verschiedene Länder, und so weiter und so fort. Und zwei davon waren dabei, die hießen Minin und Sotnikov. Und diese vier sind dann in Amsterdam gelandet. Am Flughafen haben sie sich dann ein Auto gemietet – da sind doch irgendwie so Quittungen rausgekommen – und sind mit diesem Auto dann zur OPCW gefahren.

00:15:36 Christian Dietrich: In Den Haag angekommen, ja, wie geht man da jetzt vor? Also es wird relativ offensichtlich aus dem Folgenden, dass es eben wieder eine Close Access Operation werden soll. Warum? Weil sie zunächst mal im Marriott Hotel direkt neben dem OPCW Gebäude einchecken. Das ist relativ gut und detailliert dokumentiert, weil eben die niederländischen Behörden hier diese Personengruppe observiert haben. Das heißt, die sind denen gefolgt. Und die haben eben alle Aktionen im Auge gehabt, haben diese Gruppe aber erst mal gewähren lassen. Jetzt muss man sich vorstellen, die fahren also mit ihrem Auto auf den Parkplatz vorm Hotel – das kann man sich vielleicht wirklich ganz gut aus so einer Vogelperspektive vorstellen – und da gibt es so einen relativ durchsichtigen Zaun, der … das ganze also im April, Anfang April, da waren die Bäume noch nicht wirklich grün … man konnte also ziemlich gut durch diesen Zaun sehen, auf das OPCW Gebäude. Und wo stellen die hier Auto hin? Ja natürlich in den Spot des Parkplatzes, wo sie irgendwie mit dem Kofferraum in Richtung OPCW zeigend parken können.

00:16:45 Lars Wallenborn: Und der Kofferraum? Der ist vollgestopft mit Hacker Tools. Da sind so Wi-Fi Antennen mit großer Reichweite drin, Batterien um Laptops und Computer zu betreiben, ein kleiner Transformer, um da irgendwie von den Batterien den Strom umzuspannen, und so weiter und so fort.

00:17:02 Christian Dietrich: Einige Handys …

00:17:04 Lars Wallenborn: Handys auch noch. Genau. Dieses ganze Equipment wurde dann später untersucht und man hat versucht wieder zu rekonstruieren, wofür das gedacht war. Und so wie das aussieht, waren quasi die Leute vor Ort dafür verantwortlich, dieses Equipment da auszurichten und zu betreiben, damit dann weitere Cyber Operateure aus der Ferne darüber dann das OPCW Netz kompromittieren können.

00:17:27 Christian Dietrich: Jetzt muss man sich eben vorstellen, das Auto ist geparkt, der Rechner wird hochgefahren oder die Rechner werden hochgefahren, die LTE Verbindung wird hergestellt, die Wi-Fi Antenne wird irgendwie in Position gebracht, noch so ein bisschen mit so einem Mantel abgedeckt, und jetzt schlagen die niederländischen Behörden eben zu. Also jetzt erfolgt ein Zugriff und die werden eben in flagranti erwischt. Jetzt muss man sich vorstellen: Mindestens einer von den Betroffenen checkt sofort, was Sache ist, schmeißt Handys auf den Boden, tritt drauf, also versucht auf die Art und Weise irgendwie Beweise zu vernichten. Aber die Lage ist eigentlich unmissverständlich jedem klar. Genau. Und in der Folge wird eben auch alles an Material dokumentiert durch die Niederländer. Und ein Großteil dieses Materials, würde ich sagen, ist eben auch öffentlich zugänglich. Oder unter anderem gibt es hier eine ganze Reihe an Spuren, die belegen, dass Serebriakov eben auch in Rio war. So schlägt sich der Bogen zu der Geschichte, die wir am Anfang erzählt haben. Und dass bereits Zugtickets gebucht waren, in die Schweiz. Nämlich nach Basel. Und von da aus möglicherweise weiter in Richtung Labor Spiez.

00:18:35 Lars Wallenborn: Und das war so richtig … also hat man so richtig Computerforensik gemacht. Also da kann man sich so richtig vorstellen, dass das, was wir Techies machen, dass das da eine Rolle spielt. Also hat sich jemand hingesetzt und den Laptop analysiert und herausgefunden, zu was für Wi-Fis der vorher connected war. Und da sind halt diese ganzen Sachen aufgeploppt, die du gerade erwähnt hast, Chris. Irgendwie das Palace Hotel in Lausanne und dann noch irgendwelche Wi-Fis, die man in Rio irgendwie zugeordnet hat, aber auch so was wie das Wi-Fi vom von einem russischen Flughafen und so weiter. Also da hat man so richtig schön technische Analysen gemacht, die dann da diese ganzen Fälle wieder zusammengezogen haben. Genau. Um das nochmal gerade so ein bisschen zusammenzufassen, weil es waren jetzt viele Namen, viele Zeiten, viele Personen: 2016, Serebriakov und ein Kollege, der Morenets, sind in Lausanne. Wahrscheinlich um für Russland da entweder Zugang zu besorgen zu Leuten, die an dieser Konferenz teilnehmen oder vielleicht auch einfach als Rache dafür, dass da Russland von den Spielen ausgeschlossen wurde und so. Und zwei Jahre später sind sie wieder für eine ähnliche Operation, aber in einem anderen Auftrag unterwegs, und zwar diesmal in den Niederlanden. Da sind sie beim OPCW und sollen da auch wieder so eine Close Access Operation durchführen und naja, also wurden da quasi in flagranti, kurz bevor sie wirklich losgelegt haben, erwischt und die Operation wurde abgebrochen. Und auch die darauffolgend geplante Operation, die wahrscheinlich dann auf das Labor Spiez es abgesehen hatte, wurde auch direkt mit vereitelt. Also ich ziehe meinen Hut vor den niederländischen Ermittlern hier, die da den Sack zugemacht haben.

00:20:18 Christian Dietrich: Richtig schön Gegenspionage gemacht. Ja, vielleicht beleuchten wir jetzt mal so ein bisschen, warum macht es überhaupt Sinn, Close Access Operationen zu machen?

00:20:29 Lars Wallenborn: Weil erst mal ist das natürlich super aufwendig. Also ich kann mir vorstellen, dass erst mal ich persönlich, wenn ich ein Hacker wäre, dann würde ich viel lieber vor meinem Computer sitzen, als dass ich durch die Weltgeschichte gondle, mit meinem eigenen Körper, der dann vielleicht verhaftet wird und ich in einem Gefängnis lande oder solche Dinge. Da bleibe ich doch lieber zu Hause vor meiner Tastatur sitzen.

00:20:51 Christian Dietrich: Vor allem, wenn man das vergleicht mit den sonstigen Infektionsvektoren, die wir so vorgestellt haben im Cyberbereich. Also sprich Spear-Phishing Mails verschicken. Hört euch dazu vielleicht noch mal die Folge zu Olympic Distroyer an…

00:21:03 Lars Wallenborn: Das heißt, es ist also viel billiger in gewisser Weise, diese Cyberoperationen aus der Ferne durchzuführen. Warum überhaupt Close Access? Warum überhaupt Leute mit einem Flugzeug durch die ganze Weltgeschichte gondulieren?

00:21:16 Christian Dietrich: Vermutlich auch viel weniger Risiko behaftet.

00:21:18 Lars Wallenborn: Genau. Man hinterlässt viel weniger Spuren. Also auch, wenn man meiner Meinung nach Spuren im Cyberspace hinterlässt. Wenn man im physischen Raum sich bewegt, hinterlässt man viel mehr Spuren, da hinterlässt man Zeugenaussagen, da hinterlässt man vielleicht irgendwelche Quittungen und eventuell auch seinen Müll, wenn man nicht aufpasst und so weiter.

00:21:38 Christian Dietrich: Trotzdem gibt es natürlich Ziele, die mit solchen Close Access Operationen verfolgt werden. Das kann zum Beispiel eben sein: Typische Collection Requirements. Also quasi, dass man einfach Informationen sammelt, an die man vielleicht auf anderem Wege eben nicht unbedingt kommt. Oder man hat es probiert und es funktioniert vielleicht nicht so. Das heißt Spear-Phishing Mails funktionieren vielleicht aus irgendwelchen Gründen nicht oder funktionieren nicht in time. Also man hat ja auch einen gewissen zeitlichen Rahmen, in dem man vielleicht so ein Ziel einer Mission erfüllen muss. Und wenn das nicht klappt, macht es vielleicht Sinn, auf eine Close Access Operation zurückzugreifen. Und dieses Informationen gewinnen kann zum Beispiel ja bedeuten, dass man Netzwerkverkehr mitschneidet. Das heißt, wenn ich in dem Hotel Wi-Fi bin, in dem gleichen Hotel Wi-Fi wie mein Ziel, dann habe ich vielleicht andere Möglichkeiten, den Verkehr mitzuschneiden, als ich das aus der Ferne hätte.

00:22:32 Lars Wallenborn: Und Verkehr mitschneiden ist natürlich attraktiv, aus ganz vielen verschiedenen Gründen. Also erst mal, wenn sich da jemand über eine unverschlüsselte Verbindung irgendwo einloggt – und das ist früher mehr passiert als heute, aber ich meine, selbst heute passiert das noch – dann kann man vielleicht die Zugangsdaten, die da verwendet wurden, mitschneiden. Man kann, wenn über diese unverschlüsselten Netzwerkverbindungen so sensitives Material übertragen wurde wie irgendwelche Dokumente oder E-Mails, kann man die auch mitschneiden und für alle möglichen Dinge verwenden. Zum Beispiel um sie zu leaken oder um sogenannte Tainted Leaks durchzuführen. Das sind Leaks, in denen man noch so ein paar Falschinformationen reinpackt, sodass das insgesamt sehr glaubwürdig und whistleblowy aussieht, aber letztendlich dann doch die Ziele von dem Akteur verfolgt, der das geleakt hat. Oder zu guter Letzt, oder wie sagst du immer?

00:23:21 Christian Dietrich: Das jute alte Kompromat. Was ist das denn eigentlich?

00:23:27 Lars Wallenborn: Das sind nicht öffentliche Informationen, die rufschädigend sind. Das ist auch, ich glaube, das ist sogar irgendwie ein Begriff, der…

00:23:35 Christian Dietrich: Ein russischer Begriff, glaube ich.

00:23:37 Lars Wallenborn: Ein russischer Begriff. Und das bezeichnet halt einfach, du hast irgendwie belastendes Material …

00:23:42 Christian Dietrich: Kompromittierendes Material.

00:23:44 Lars Wallenborn: … kompromittierendes Material, Urlaubsfotos von einem Politiker mit seiner Geliebten am Strand oder so was halt. Aber die Hoffnung ist halt, dass wenn man jetzt vor Ort ist, dann ist man da im gleichen Wi-Fi und kann eventuell diese ganzen Daten mitschneiden. Diese Daten, die verlassen dieses Wi-Fi eventuell nicht, oder verlassen es erst und sind dann verschlüsselt, oder sind dann halt im Internet als Ganzes, wo man sehr viel schwerer rankommt als direkt vor Ort. Und eine zweite Sache, die man da eventuell machen kann, neben diesem Collection, wäre auch Access. Also Zugang zu Computersystemen sich zu verschaffen, indem man da irgendwie versucht Rechner zu infizieren. Und das ist jetzt noch nicht mal unbedingt der berühmte USB-Stick wie in einem Film, der reingesteckt wird, um dann irgendwie Malware auf dem Computer zu installieren, während der Besitzer des Laptops gerade auf dem Klo ist oder so was. Da kann man vielleicht auch noch ganz andere Dinge tun. Also wie gesagt, ich habe ja noch nie irgendwas offensives gemacht. So cool es auch wäre, es gemacht zu haben. Aber ich könnte mir vorstellen, was man alles machen kann, wenn man so ein Wi-Fi, so ein WLAN kompromittiert. Da gibt es ja meistens so Dinger, wenn man sich in Wi-Fi einloggt, wo man dann noch bestätigen muss: Hier, ich akzeptiere die AGBs, und meine Zimmernummer ist die und die. Diese Dinger nennt man Captive Portals. Und man könnte die zum Beispiel manipulieren, sodass da dann, weiß ich nicht, ein Text draufsteht, der so was heißt wie: Um ins Internet zu kommen, musst du das hier downloaden und ausführen. Und dann laden die Leute das runter und führen es aus. Weil das ist ja das Captive Portal vom Hotel, die werden schon nichts machen.

00:25:15 Christian Dietrich: Jetzt können wir vielleicht noch mal kurz ein bisschen den Bogen schließen. Was wir nämlich wissen ist, dass unsere russischen Agenten in Lausanne Access, also Zugriff, auf andere Systeme bekommen haben. Sie haben eben mindestens das WLAN in dem Hotel, in dem sie waren, kompromittiert. Und sie haben eben mindestens einen Computer kompromittiert, nämlich den von diesem kanadischen Offiziellen. Wir wissen aber nicht, wie sie genau technisch vorgegangen sind. Das ist also nicht öffentlich dokumentiert. Aber da hast du ja gerade schon so ein paar Ideen in den Raum geworfen und vielleicht können wir da noch mal ein paar weitere Beispiele sammeln, um einfach so ein bisschen zu verdeutlichen vielleicht, was man da so tun kann und was da vielleicht so die Gefahren sind.

00:25:57 Lars Wallenborn: Und was überraschend daran ist, man braucht gar nicht so viel Equipment. Also man muss nicht den Kofferraum voller Hacker Tools haben, um so was zu tun. Also ich sage mal, für so eine Low Key Close Access Operation reicht eigentlich schon ein Laptop mit einer guten WLAN Karte. Die WLAN Karte muss so was können, das nennt man Promiscuous Mode, und dann kann man schon sehr viel Wi-Fi Traffic mitschneiden. Das heißt nicht unbedingt, dass man allen Wi-Fi Traffic kriegt. Gerade heutzutage, da wird doch alles immer immer besser mit dem Datenschutz und so. Aber damit kommt man schon ein ganzes Stück weiter. Und du hast dir, glaube ich, auch so ein paar Sachen ganz konkret angeguckt, oder?

00:26:31 Christian Dietrich: Ja, ich habe mir mal eine Sache angeschaut. Genau. Super Interessant finde ich folgendes: Die ganzen Pentester kennen das wahrscheinlich, klar, das ist irgendwie altbekannt. Aber Windows, das Betriebssystem, was vermutlich ja viele auf ihren Rechnern irgendwie zum Einsatz bringen, das hat so einen Mechanismus, der nennt sich Link Local Name Resolution. Das heißt, das vertraut unter gewissen Voraussetzungen seinen Nachbarn, sag ich mal. Und damit meine ich die Rechner, die im selben Netzsegment liegen. Und das ist vermutlich bei einem WLAN auch erfüllt. Im Internet ist das aber nicht erfüllt, diese Voraussetzung. Und jetzt gibt es halt folgenden Trick: Man kann als Angreifer im selben Netzwerksegment – also als jemand, der so eine Close Access Operation fährt und das Hotel Wi-Fi irgendwie kompromittiert hat oder zumindest im selben Wi-Fi ist – kann man mit einem Tool, das nennt sich Responder, solche lokalen Namensauflösungen umleiten oder da gespoofte Antworten irgendwie zurückschicken.

00:27:28 Lars Wallenborn: Und das coole an diesem Responder Tool in diesem Kontext ist auch, dass wir auch wissen, dass das zum Einsatz kam von von unseren beiden russischen Spionen. Also wir wissen, Responder wurde von denen eingesetzt, um da Netzwerke, um dieses Netzwerk da anzugreifen.

00:27:40 Christian Dietrich: Genau, für die Techies unter euch, man muss sich das so vorstellen: Also das Windows des Zielsystems wird getriggert, um bestimmte Namensauflösungen vorzunehmen. Der Angreifer erfüllt diese Namensauflösung, das heißt also liefert da eine Antwort zurück. Und dann versucht Windows mit dem Zielsystem, also mit dem Zielsystem des Angreifers, irgendwie eine Verbindung aufzubauen. Und in den Schritten gibt es eben Protokollnachrichten, die man abgreifen kann. Und wenn man Glück hat, kann man daraus Zugangsdaten, so was wie Benutzername und Passwort rekonstruieren. Klappt nicht immer, aber das kann man versuchen. Und das ist eben ein Weg, den man aus der Ferne nicht durchführen kann, sondern den muss man lokal machen, so in der Form, wie wir ihn hier beschrieben haben.

00:28:22 Lars Wallenborn: Eine weitere Sache, die man lokal machen kann, wenn man bereit ist, sich dafür spezialisierte Hardware anzuschaffen, zum Beispiel – also muss man nicht, aber das macht es einfacher – sind sogenannte Rogue Access Points. Eine klassische, fertige Hardwarekomponente davon heißt Wi-Fi Pineapple. Das erwähnen wir jetzt hier auch noch, insbesondere, weil wir auch von den Fotos, die da in dieser niederländischen Untersuchung rausgekommen sind, wissen, dass die russischen Agenten so einen Pineapple dabei hatten im Kofferraum. Wir wissen nicht, ob er eingesetzt wurde und wofür und ob er überhaupt eingesetzt werden sollte. Vielleicht haben sie ihn nur mitgenommen als Option. Aber das ist so ein typisches Tool, was da zum Einsatz kommt. Und was macht das? Das kann man sich so vorstellen. Dann gibt es da so ganz viele Wi-Fi’s, die heißen dann …

00:29:05 Christian Dietrich: Du kommst hier net rein.

00:29:07 Lars Wallenborn: Genau. Und so ein Rogue Access Point, der macht sich quasi das zunutze. Der macht sich das zunutze, indem er selber unter dem gleichen Namen ein WLAN aufmacht. Und den kann man dann auch so konfigurieren, dass er die Clients von dem ersten, von dem echten WLAN dazu überredet, sich neu zu authentifizieren und so, sodass dann dieser Access Point so tut, als wäre er das Wi-Fi, mit dem man sich eigentlich verbinden wollte. Aber eigentlich ein ganz anderer ist. Also man kann – wenn man sich Mühe gibt – dann kann man halt nach hinten raus auch das Internet anbinden. Das heißt, die Leute haben die normale Experience, sie connecten sich zu dem Wi-Fi, haben Internet. Aber was dann in Wirklichkeit passiert, ist, dass dieser Pineapple dazwischen sitzt, so als Man in the Middle, und dann halt auch den ganzen Traffic mitschneiden kann.

00:29:51 Christian Dietrich: Lars, das war ja in der Vergangenheit, würde ich sagen, mal erfolgversprechender. Also heute hat sich das ein bisschen geändert, würde ich sagen. Oder? Also der Angriff, den kann man immer noch machen. Es ist vielleicht fraglich, ob man damit heute noch so wahnsinnig viel Informationen rauskriegt.

00:30:08 Lars Wallenborn: Ja, ich denke auf jeden Fall weniger weniger als früher. Also irgendwann gab es ja diese große Initiative von Let’s Encript und so, die gesagt haben, wir verschlüsseln jetzt mal das ganze Internet. Das war der Zeitpunkt, wo dann plötzlich – das haben vielleicht viele gar nicht mitbekommen – anstatt http:// oben in der Zeile plötzlich https:// steht. Ja, das ist ein einziger kleiner Buchstabe, aber ein Riesenunterschied. Der sorgt nämlich dafür, dass der ganze Netzwerk Traffic verschlüsselt wird. Von dem Computer, der da durch das Internet browsed, bis zu dem Server, der das Internet zur Verfügung stellt, der ist dann komplett verschlüsselt und auch authentifiziert. Das heißt, wenn da dann so ein Rogue Access Point in der Mitte ist, dann kann der nicht in den Traffic reingucken und kann den insbesondere auch nicht manipulieren. Also eine Sache, die man dann zum Beispiel auch machen könnte bei unverschlüsselten Traffic, wäre halt, dass man einfach so was macht wie: Jedes Mal, wenn jemand eine executable Datei runterlädt, liefere ich stattdessen Malware aus. Also dann ist man auf microsoft.com, lädt ein Windows Update runter, aber in Wirklichkeit ist es Malware. Dann sieht es so aus dann für die Person, dass man von der Microsoft Seite Malware heruntergeladen hat. Und eigentlich vertraut man microsoft.com ja. Solche Angriffe sind heute so ohne Weiteres nicht mehr möglich …

00:31:14 Christian Dietrich: Du Optimist.

00:31:15 Lars Wallenborn: … weil das ganze Internet verschlüsselt ist. Und wer seine Website nicht mit HTTPS anbietet, der ist selber schuld. Ja.

00:31:27 Christian Dietrich: So. Das heißt, wir haben jetzt so ein paar Beispiele genannt, was man technisch tatsächlich machen könnte, wenn man Close Access hat und insbesondere, was man vielleicht eben nicht aus der Ferne machen kann. Warum sich Close Access also lohnt. Wenn man das mal versucht so ein bisschen zu abstrahieren, ist Folgendes: Man verlässt sich eben nicht so sehr darauf, dass ein Mensch social engineered werden muss. Also wenn ich das noch mal kontrastiere, vielleicht zu Spear-Phishing E-Mail, dann brauche ich da in jedem Fall immer noch so die Interaktion des Benutzers. Und durch immer mehr Aufklärungskampagnen, Awareness, kann es natürlich sein, dass die Zielperson, auf die man es abgesehen hat, die Phishing E-Mail als solche enttarnt, und einfach dieser Vektor nicht funktioniert. Das mag vielleicht bei Close Access Operationen auch zu einem gewissen Grad gelten, aber wenn ihr euch mal so vielleicht ein bisschen dran erinnert, wenn ihr euch in WLANs einloggt, dann sehen ja irgendwie diese Captive Portals überall anders aus. Also es ist total schwer, den Sollzustand von einem Captive Portal im Vorhinein irgendwie abzusehen.

00:32:28 Lars Wallenborn: Ja, also bei den meisten Hotels in denen man ist, da sieht das Captive Portal einfach schon so aus, als wäre es kompromittiert, aber ist es gar nicht. Das sieht immer so aus. Das Hotel will einfach, dass man in dieses komische Feld da seinen Namen einträgt und auf Absenden drückt. Und in gewisser Weise, du hast gerade gesagt, das verlässt sich nicht so sehr darauf, dass Leute gesocialengineered werden. Wenn man sich doch noch darauf verlässt, sind es quasi auch leichtere Ziele. Weil die Leute da auch quasi ja bereit sind, mehr Risiken einzugehen. Die sind da irgendwie im Ausland, brauchen jetzt dringend Internetzugang, weil sie, weiß ich nicht, noch wichtige Emails verschicken würden. Die sind ja alle so super wichtig und deswegen brauchen sie jetzt Internet. Und deswegen klicken sie da überall drauf, und laden alles runter und führen alles aus, was da irgendwie nicht bei drei auf den Bäumen ist. Ja, und dagegen vorzugehen ist halt super schwer. Weil du hast ja gesagt, es gibt da so ganz viele E-Mail Kampagnen, und auch von Google diese Kampagne, wo man irgendwie raten soll, ob es Spam ist oder nicht und so was. Und das geht halt viel besser. Weil der E-Mail Client immer gleich aussieht und die E-Mails, die man bekommt, die sehen grob alle gleich aus. Da kann man den Leuten leichter beibringen: Hey, wenn da was ungewöhnlich ist, wenn da was phishy aussieht, dann ist es vielleicht auch phishy. Aber so was kann man bei Captive Portals nicht machen. Die sehen sowieso immer anders aus.

00:33:39 Christian Dietrich: Das bringt mich wieder zu deiner Büffeltheorie.

00:33:43 – 00:34:39

Lars Wallenborn: Ja, wobei die Büffeltheorie hier nicht ganz passt. Die passt hier nicht ganz, aber gut. Okay, wir können noch mal gerade über die Büffel reden. Ja, ja, die Büffeltheorie, die passt hier nicht so ganz. Aber ich dehne sie mal ein bisschen aus. Also, warum Close Access? In gewisser Weise, weil alle Büffel plötzlich lecker sind. Also, wenn ich so im Internet bin und versuche, Ziele zu kompromittieren, dann sind da ja alle anderen Leute auch da im Internet und dann – das hat natürlich Vorteile, das heißt also, alle Leute sind da, auch die Dummen – und dann kann man sich die leichtesten Ziele aussuchen. Aber die leichtesten Ziele sind vielleicht doch nicht die interessantesten. Dann wäre es doch vielleicht ganz gut, so eine Art Vorauswahl zu haben, dass man nur noch interessante Ziele hat. Zum Beispiel nur noch hochoffizielle Persönlichkeiten, die irgendwas mit Anti Doping zu tun haben. Und bei so einer Close Access Operation muss ich mir diese Ziele nicht suchen. Da setze ich mich in das Hotel, wo die WADA diese Konferenz organisiert und warte, bis meine Ziele zu mir kommen, bis mir quasi die Büffel in den Mund fliegen.

00:34:42 Christian Dietrich: Ich habe noch nie Büffel gegessen. Ich weiß gar nicht, ob die so lecker sind, aber wie auch immer.

00:34:46 Lars Wallenborn: So, dann versuchen wir jetzt mal unter dem Ganzen einen Strich drunter zu machen und nochmal so ein bisschen aufzuzählen, worüber wir geredet haben. Eine Sache, die für mich hier sehr zentral ist – hatten wir eben ganz kurz angesprochen, als wir darüber geredet haben – was man mit Close Access Operation erreichen kann. Also wir hatten da zwei mögliche Ziele, nämlich Access oder Collection. Und wir wissen hier in dem Fall, dass einige dieser collecteten Daten dann auch später verwendet wurden. Da ist jetzt so ein bisschen verworren, aber bleibt bei mir. Es gab so eine Webseite, die hieß fancybaer.net, war das glaube ich. Darauf hat sich quasi eine selbsternannte Hacktivistengruppe dargestellt. Die hat sich Fancy Bear’s Hackteam genannt, und hat da quasi Dokumente von so Anti Doping Organisationen und von Doping Kontrollinstanzen geleakt. Stellt sich raus: Diese Hacktivistengruppe war gar keine Hacktivistengruppe, sondern wahrscheinlich eine staatlich gesteuerte Organisation. Und die haben halt im Rahmen dieser Close Access Operationen, die wir heute beschrieben haben, Daten gesammelt von solchen Doping Kontrollinstanzen, haben die so ein bisschen modifiziert und dann geleakt. Um halt in dem Fall die Interessen Russlands zu unterstützen. Und das ist halt sehr fies, sag ich mal. Weil dann denkt man so: Ah ja, das ist ja ein Whistleblower. Und die sind da irgendwie … die leaken einfach nur Sachen – Informationen sind frei – in die Öffentlichkeit. Dann werden die Materialien analysiert und dann stellt sich raus, da hat jemand gedopt.

00:36:31 Christian Dietrich: Okay, das Ganze soll abstrakt also so aussehen: Guck mal, es gibt zig andere Sportler von anderen Nationen, die hier auch dopen. Und das versucht man ja mit solchen Dokumenten zu untermauern. Ein weiteres Ziel für Nachrichtendienste, insbesondere hier vielleicht so was wie die Collektion, ist eben, dass man eben in andere Organisationen pivoten kann. Man könnte sich vorstellen, wenn man jetzt von solchen sportbezogenen Institutionen hier Zugangsdaten abgreift und Identitäten annehmen kann, dann könnte man das wiederum verwenden, um dann zum Beispiel politische Ziele, ich sage mal zum Beispiel im Innenministerium oder so was anzugreifen. Also politische Institutionen, die dann wieder einen Bezug zu der Sportinstitution haben. Wo es vielleicht bestehende Kommunikationskanäle gibt oder wo man sich irgendwie kennt. Und das erlaubt eben dem Nachrichtendienst dann, sich in solche Kommunikationskanäle einzuklinken und eben Zugriff zu bekommen auf weitere Ziele. Also das, was man eben so als Pivoting vielleicht auch bezeichnen könnte. Und das macht natürlich Sinn, weil klar, für so einen Nachrichtendienst gibt es immer viele verschiedene Targeting Requirements gleichzeitig. Während wir jetzt hier vielleicht maßgeblich so diesen Sportsektor beleuchtet haben, gab es natürlich für die GRU die ganze Zeit über natürlich auch weiterhin die Anforderung, hier militärische Ziele nach Möglichkeit auszukundschaften.

00:37:52 Lars Wallenborn: Kommen wir dann wieder zurück zu dem ersten Charakter, der heute aufgetaucht ist Serebriakov. Der ist nämlich, seitdem er dann da erwischt wurde, nicht mehr irgendwie öffentlich aktenkundig geworden. Also wir wissen nicht, was mit ihm passiert ist. Er ist bisher nirgendwo noch mal angeklagt worden, vielleicht auch nicht mehr verreist. Der ist völlig in der Dunkelheit verschwunden.

00:38:14 Christian Dietrich: Was mir so ein bisschen hängengeblieben ist, wenn man jetzt diese Story von dem OPCW Vorfall in Den Haag so hört: Das heißt, da sind irgendwie vier Agenten, die sitzen in einem Auto und dann werden die da auf frischer Tat ertappt. Dann fragt man sich doch: So, was ist jetzt? Die werden doch bestimmt verhaftet. Und jetzt gibt es vielleicht zwei Fragen. Die erste Frage ist vielleicht: Ist das, was sie bisher gemacht haben, nämlich diese Vorbereitung da, ist das überhaupt strafbar? Ich denke, vermutlich schon. Also zumindest das, was da dokumentiert ist, da gehe ich schon davon aus, dass das irgendwie strafbar wäre. Obwohl ich jetzt auch das niederländische Strafrecht natürlich nicht so kenne. Aber was viel wichtiger ist: Man hat dem Ganzen versucht so ein bisschen vorzubauen, indem nämlich diese vier Agenten, die hier eingereist waren, mit Diplomatenpässen eingereist waren. Und das bedeutet, die genießen vermutlich diplomatische Immunität. Das bedeutet, dass sie eben größtenteils nicht der Strafbarkeit unterliegen. Und das wiederum bedeutet, dass eben so ein staatlicher Akteur – oder generell staatlich gestützte Akteure – solche Close Access Operationen prima vorbereiten können, oder mit einem etwas anderen Risiko möglicherweise fahren, wenn sie ihre Leute noch unter Diplomatenschutz stellen können.

00:39:29 Lars Wallenborn: Weil staatliche Akteure halt Diplomatenpässe drucken können. Was hier auch passiert ist, was hier auch absurderweise passiert ist, mit direkt aufeinanderfolgenden Passnummern und so. Also ich habe hier manchmal das Gefühl, hier wurde alles so ein bisschen übers Knie gebrochen.

00:40:02 Christian Dietrich: Wir hoffen, wir haben euch mit dieser Folge mal ein bisschen Einblicke geben können in Close Access Operationen. Natürlich haben wir auch ein bisschen das Glück gehabt, dass diese Operationen relativ gut dokumentiert waren. Man findet nämlich gar nicht so wahnsinnig viele öffentlich gut dokumentierte Close Access Operationen.

00:40:19 – 00:40:41

Lars Wallenborn: Aber wie immer: Alles, was wir verwendet haben für die Recherche zu dieser Folge, packen wir auch wieder in die Shownotes. Das heißt, wenn ihr da selber ein paar Spuren verfolgen wollt, dann könnt ihr das gerne mal alles durchlesen. Da sind auch bestimmt noch ganz viele weitere Details und ungeschliffene Diamanten drin versteckt, die wir jetzt komplett übersehen haben in der Vorbereitung. Dabei wünsche ich euch viel Spaß und dann hören wir uns beim nächsten Mal wieder. Ich freu mich drauf.

00:40:43 Christian Dietrich: Bis zum nächsten Mal. Tschau.