Gezielte Angriffe und Advanced Persistent Threats
Die "Operation Aurora", Stuxnet und der Angriff auf RSA sind die bekanntesten Advanced Persistent Threats, es gibt aber eine Reihe weiterer gezielter Angriffe, die zumindest teilweise als APT eingestuft werden können. Diese Angriffe bewegen sich in einer Grauzone zwischen gezielten Angriffen, wie es sie auch schon in der Vergangenheit gab, und den "neuen" APTs. Sie sind jedoch auf keinen Fall mehr zu den üblichen "Massenangriffen" zu rechnen, da die Opfer gezielt ausgewählt und nicht dem Zufall überlassen werden.
Lurid
Ein solcher gezielter Angriff ist "Lurid", dem Trend Micro ein Whitepaper (PDF) gewidmet hat. Besonders betroffen sind Diplomatische Missionen, Ministerien, Raumfahrtbehörden sowie allgemein Unternehmen und Forschungsinstitute, die meisten Infektionen wurden in Staaten der ehemaligen Sowjetunion einschließlich Russland sowie in Vietnam entdeckt. Der Downloader, von dem Lurid nachgeladen wird, gehört zu einer bekannten Schadsoftware-Familie namens "Enfal", die zuvor schon für Angriffe auf Regierungsstellen der USA und Nichtregierungsorganisationen (Nongovernmental Organizations, NGOs) verwendet wurde.
Die Angriffe erfolgten in mehreren Kampagnen, die teilweise zu vielen Opfern führten, teilweise aber auch zielgerichtet auf nur ein oder zwei Opfer ausgerichtet waren. In jeder Kampagne wurden für jedes Ziel individuelle Identifier in die Schadsoftware eingebettet, so dass die Angreifer sehr genau erkennen konnten, welche Opfer sie erfolgreich kompromittiert hatten.
Verteilt wurde die Schadsoftware über E-Mails mit präparierten PDF-Dateien im Anhang. Enthalten war ein Exploit für eine ältere Schwachstelle im Adobe Reader, über den dann weiterer Schadcode nachgeladen wurde. Der sammelt dann erst mal allgemeine Informationen über das angegriffene System und sendet sie über HTTP-POST-Requests an einen Server der Angreifer. Auch die Kommunikation mit dem Command&Control-Servern erfolgt ausschließlich über HTTP-Requests, so dass von einer Firewall keine verdächtigen Verbindungen von außen erkannt werden. Der Schadcode sendet regelmäßige Requests an die C&C-Server, die ggf. mit Befehlen antworten. Darüber können die Angreifer dann z.B. bestimmte Dateien von den kompromittierten Rechnern laden.
Luckycat
"Luckycat" wurde erstmals von Symantec beschrieben (PDF), eine weitere Analyse gibt es von Trend Micro (PDF). Ziel der Angriffe, die von April 2011 bis Februar 2012 liefen, waren laut Symantec Indische Militär-Forschungseinrichtungen und südasiatische Reedereien. Laut Trend Micro gehörten auch Unternehmen aus den Bereichen Luftfahrt, Energie und Maschinenbau in Japan und Indien sowie tibetische Aktivisten zu den Opfern.
Das Besondere an diesen Angriffen: Die Schadsoftware war sehr einfach gehalten. Verteilt wurde sie über individuell angepasste E-Mails mit präparierten Anhängen. Öffnet der Empfänger den Anhang, wird ein enthaltenes Visual-Basic-Skript, genannt "VBS.Sojax", ausgeführt, dass dann Verbindung mit einem C&C-Server aufnimmt und Dateien hoch- und runterladen kann. Auch hier erfolgt die Kommunikation über HTTP.Während in manchen Fällen gezielt bestimmte Dateien herunter geladen wurden, scheinen andere Angriff mehr nach dem Schrotschuss-Prinzip gelaufen zu sein: Es wurden einfach alle Dateien vom betroffenen Computer kopiert.
SabPub
Mit "Macs in the Age of the APT" haben sich Alex Stamos, Aaron Grattafiori, Tom Daniels, Paul Youn und B. J. Orvis auf der Black Hat USA 2011 befasst. Rein theoretisch natürlich nur. Aber die Praxis hat sie schnell eingeholt:
"SabPub" bzw. "Sabpab" ist ein im Frühjahr 2012 entdeckter Trojaner für Mac OS X, der sich über die auch von Flashback genutzte Java-Schwachstelle oder zum Ausnutzen einer bekannten Schwachstelle in Microsoft Word präparierte Word-Dokumente verbreitet. Kaspersky hat festgestellt, dass es eine Verbindung zu Luckycat gibt: SabPub nutzt den gleichen C&C-Server.
Ziel der Angriffe waren tibetische Aktivisten. Auch SabPub erlaubt dem Angreifer z.B. das Herunterladen von Dateien vom infizierten Rechner und das Hochladen weiteren Schadcodes.
Shady RAT
Das letzte Beispiel soll die von McAfee aufgedeckte "Operation Shady Rat" sein (PDF). Ganz eindeutig ein APT: Nachdem ein Rechner über gezielte E-Mails mit präpariertem Anhang kompromittiert war, verschaffte sich einer der Angreifer über die installierte Hintertür Zugriff auf den Rechner und suchte nach interessanten Zielen im lokalen Netz des Opfers.
Die Kommunikation wurde wieder einmal über HTTP abgewickelt, diesmal über Bilder (in denen die Befehle mittels Steganographie eingebettet waren) und HTML-Dateien (in denen die Befehle als HTML-Kommentare "versteckt" waren). Auf Anweisung der Angreifer konnte der Schadcode aber auch eine Shell öffnen, über die sie dann direkt auf den Rechner zugreifen konnten. Insgesamt ein recht durchdachter Angriff, danach stellten sich die Angreifer aber ziemlich dämlich an, da sie über 5 Jahre lang den gleichen Command&Control-Server verwendeten und Logfiles auf dem Server ließen. Die konnte McAfee dann analysieren.
Im Laufe der Zeit wurde alles angriffen, was für die Auftraggeber gerade aus aktuellem Anlass interessant war, z.B. im Rahmen der Olympischen Spiele 2008 das Internationale und verschiedene nationale Olympische Komitees und die World Anti-Doping Agency. Außerdem Regierungsbehörden, Rüstungsunternehmen, die vereinten Nationen, eine deutsche "Accounting Firm", ... . Das spricht natürlich nicht dagegen, den Angriff als APT einzustufen. Warum sollten die Angreifer eine funktionierende Taktik nicht immer wieder nutzen, so lange es möglich ist?
Es gab dann eine Kontroverse zwischen Eugen Kaspersky, der Shady Rat für ein Botnet hält, und McAfee, die das natürlich anders sehen. Außerdem wurde McAfee von Kaspersky (diesmal im Form des Chief Security Expert Alex Gostev) vorgeworfen, das Whitepaper kurz vor der Black Hat Konferenz veröffentlicht zu haben, um maximale Aufmerksamkeit zu erregen. Was spricht dagegen? Kaspersky nutzt Aufmerksamkeit ja auch gerne, siehe Flame. Auch da hat man schon "Großbrand" geschrien, als nur Rauch und ein paar kleine Flammen zu sehen waren. Das dann die 0-Day-Schwachstelle in Windows Update-Funktion gefunden wurde war deren Glück. Ohne die wäre an Flame nämlich immer noch nicht so besonders viel mehr dran als z.B. an Shady Rat.
Aber ich schweife ab. Oder auch nicht, denn auch Flame kann man als APT einstufen. Das sollen aber nun genug APTs und ähnliche Angriffe sein, in der nächsten Folge gibt es zum Abschluss noch Informationen zu Angriffen auf tibetische Aktivisten und ein paar allgemeine Hinweise zum Thema.
Übersicht über alle Artikel zum Thema
- Was ist ein Advanced Persistent Threat (APT)?
- Ein bekannter Advanced Persistent Threat: Operation Aurora
- Ein weiterer bekannter Advanced Persistent Threat: Stuxnet
- Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA
- Kann man Advanced Persistent Threats erkennen?
- Advanced Persistent Threats - Wo verrät sich der Angreifer?
- Advanced Persistent Threats - So verrät sich der Angreifer!
- Gezielte Angriffe und Advanced Persistent Threats
- Advanced Persistent Threats gegen tibetische Aktivisten und mehr
Trackbacks
Dipl.-Inform. Carsten Eilers am : Der Trojaner Mahdi/Madi - Cybercrime oder Cyberwar?
Vorschau anzeigen