© Liashko/Shutterstock.com
Protokoll einer Cyberattacke

Auf den Spuren des Angreifers


Ein warmer Sommertag, es ist gerade Mittag in Shanghai. In einem dunklen Raum in einem unauffälligen Gebäude sitzt ein Hacker und durchforstet das Netzwerk eines Konzerns, der eine sechsstellige Zahl an Endpunkten betreibt. Die Ziele hat der Angreifer von „oben“ erhalten, es ist nicht sein einziges „Projekt“, an dem er gerade arbeitet, aber sein delikatestes. Schauen wir uns das Protokoll eines Cyberangriffs auf einen internationalen Großkonzern vom initialen Einbruch über eine bereits damals bekannte Struts-2-Lücke bis zur Entfernung des Angreifers aus dem Unternehmensnetz an.

„The breach is inevitable – Ein Sicherheitsvorfall ist unvermeidbar“, ist ein geeigneter Satz, um die aktuelle Situation der IT-Sicherheit zu beschreiben. Lapidar zusammengefasst kann man davon ausgehen, dass jedes Unternehmen, das marktfähig ist, auch über Informationen verfügt, die interessant für Dritte sind. In logischer Konsequenz steht damit auch jedes Unternehmen im Fadenkreuz von Cyberkriminellen und ausgeklügelten Angriffen.

Jahrelang lag der Hauptfokus im Bereich IT-Security auf Protect, also darauf, die eigenen Assets zu beschützen und Sicherheitsvorfälle zu verhindern. Ein vollständiger Schutz ist in Anbetracht der heutigen IT-Nutzung unrealistisch, wodurch vor einigen Jahren ein Paradigmenwechsel von Protect zu Detect begonnen hat. Auch wenn sich nach wie vor viele Unternehmen erst in einer Umbauphase befinden, wird immer klarer, dass die Frage nicht mehr die ist, ob es einen Sicherheitsvorfall gibt, sondern wann. Wie groß der Schaden für die Angriffsopfer ist, ergibt sich meist aus der Zeit zwischen initialem Einbruch und dessen Entdeckung und Bereinigung. Nach aktuellen Untersuchungen verschiedener Unternehmen dauert das immer noch wesentlich länger als die Zeit, die Angreifer benötigen, um signifikant Schaden zu verursachen [1].

Üblicherweise verlaufen Angriffe in verschiedenen Phasen, die die von Lockheed Martin postulierte Cyber Kill Chain beschreibt. Kurz zusammengefasst deckt die Cyber Kill Chain alle Schritte von der Aufklärung vor dem Angriff (Reconnaissance) bis zur Exfiltration von Daten aus dem Zielnetzwerk (Actions on Objectives) ab [2].

From China with love – der Angriffsvektor

Im hier beschriebenen Fall handelte es sich höchstwahrscheinlich um eine chinesische Hackergruppe, weil sehr spezielle Backdoors eingesetzt wurden (z. B. PlugX/SOGU). Selbstverständlich ist China nicht die einzige Nation, die auf militärischem Level Hacker einsetzt, um ihre Ziele ...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang