Locale

Schliessen

Unverbindliche Anfrage

*=Pflichtfelder

Wie Protforce Ihre Daten verarbeitet und welche Rechte Sie in diesem Zusammenhang haben, erfahren Sie hier

Schliessen

Rufen Sie uns an.

Wir beraten Sie gerne!

portrait

Jeremy James Hakelberg

Business Development Manager

Icon Phone 0800 473 0000
Zum Kontakt
Logo

Threat Actors

Professionelle Hacker

Teil 2 - Organisierte Threat Actors

17.01.2020

Lesezeit: 10 Minuten

Nur sehr selten kommen wir dazu nicht nur das Tun der Angreifer und die Auswirkungen ihres Handelns zu beleuchten, sondern einen Blick auf den Menschen hinter dem Begriff Threat Actor zu werfen. In diesem Teil beleuchten wir die organisierten Gruppen!

Protforce IT Security Darius Ghassemieh

Darius Ghassemieh

Geschäftsführer

Threat Actors - Wer greift da eigentlich an?

Nach unserem ersten Teil der Blogserie „Threat Actors“ kommen wir heute von den unorganisierten zu den organisierten Angreifern. Hierbei handelt es sich um eine diverse Gruppe mit einem hohen Maß an krimineller Energie, deren Mitglieder durchschnittlich über sehr viel mehr Fachwissen verfügen als Scriptkiddies oder spontane Innentäter. An dieser Stelle sei außerdem darauf hingewiesen, dass wie im echten Leben, auch bei der Strukturierung von Threat Actors eine Welt voller Grauzonen besteht und sich eine Vielzahl von ihnen zwischen den beschriebenen Gruppierungen bewegt.

Um allerdings ein Mindestmaß von Struktur vorgeben zu können und da sich die hier beschriebenen Gruppen in ihren Zielen teils drastisch unterscheiden, teilen wir die organisierte Gruppe als Threat Actor wie folgt auf:

• Organisierte Kriminalität
• Hacktivisten

Diese Einteilung lässt sich natürlich noch um viele Untergruppen erweitern; die signifikantesten und relevantesten von ihnen werden daher im folgenden Abschnitt vorgestellt. Im aktuellen Beitrag gehen wir speziell auf die Threat Actors der organisierten Kriminalität ein. Das Thema Hacktivismus wird in Teil 3 der Blogserie thematisiert werden.

Kriminell in der Digitalität – Hacks für Profite

Am Ende des Tages geht es nur ums Geld – so könnte man den überwiegenden Teil dieser Gruppe von Threat Actors recht treffend beschreiben. Denn im Gegensatz zum sogenannten Hacktivismus, bei dem zumeist eine politische Überzeugung als Antrieb dient, stehen hier Dollar, Euro und Rubel im Vordergrund. Ganz ähnlich also wie bei der klassischen organisierten Kriminalität.

Zu den in ihrem Fach erfolgreichsten und gleichzeitig bekanntesten Hackergruppen gehört Evil Corp – verstärkt seit Dezember 2019 in den Medien präsent, wohl auch aufgrund eines von der US-Regierung ausgerufenen Kopfgeldes in Höhe von 5 Millionen US-Dollar. Evil Corp betätigt sich seit knapp 5 Jahren in der digitalen Kriminalität, vor allem mit Phishing Angriffen in Kombination mit dem Trojaner Dridex, welcher sensible Informationen und Anmeldedaten von Systemen ausspäht, welche dann wiederum genutzt werden, um illegale Banküberweisungen und dergleichen durchzuführen. Aber auch direkte Angriffe auf Systeme mit bekannten Schwachstellen, CEO Fraud, Romance Scams, sowie Betrug bei Onlineauktionen und im Bereich E-Commerce gehören zu den Tätigkeitsfeldern der aus Russland operierenden Gruppe.

So geht man aktuell von einer erbeuteten Summe von insgesamt 100 Millionen US-Dollar aus.

Um an das erbeutete Geld zu gelangen beschäftigt die Gruppe ein weltweites Netzwerk von Money Mules – Personen, die für einen Auftraggeber und einen Bruchteil der Beute das gestohlene Geld abheben und transferieren. Schon an dieser Stelle lässt sich das hohe Maß an Organisiertheit, Struktur und Zielstrebigkeit erkennen, wie es typisch für Bandenkriminalität ist.

Dazu kommt, dass die Mitglieder von Evil Corp, allen voran der vom FBI gesuchte 32-jährige Anführer Maksim Viktorovich Yakubetes, bestens in der russischen Hackerszene vernetzt sind. Eine Verbindung zu Evgeny Bogachev, welcher für die Verbreitung der Trojaner Zeus, Jabber Zeus und GameOver Zeus bekannt ist und auf dessen Kopf aktuell 3 Millionen US-Dollar Kopfgeld ausgesetzt sind, wurde vom Justizministerium der Vereinigten Staaten bestätigt.

IT Security Hacker Maksim Viktorovich Yakubetes

Besonders brisant ist dabei nicht nur, dass die Akteure in ihrem Heimatland unbehelligt bleiben, sondern indirekt von der russischen Regierung für deren strategische Interessen eingesetzt werden – frei nach dem Motto: „Solange sich die Ziele in der Türkei und Ukraine befinden, lassen wir euch in Ruhe.“

Vorteilhaft für die Regierung: Die operativen Kosten für Cyberangriffe sinken, vermeintlich unvorteilhafte Verbindungen lassen sich abstreiten und Expertise, die ansonsten nicht offiziell in Regierungskreisen einsetzbar wäre, wird verfügbar.

Laut dem Finanzministerium der Vereinigten Staaten arbeitet Yukabetes seit 2017 immer wieder für den russischen Inlandsgeheimdienst FSB. Seit 2018 soll er sich in einem Prozess befinden, der ihm eine Lizenz zum Umgang mit geheimen Informationen erteilt. In einem am 5. Dezember 2019 veröffentlichten Statement wird dies von der amerikanischen Behörde ausgeführt.

Evil Corp stellt einen bekannten und großen Spieler innerhalb dieser Kategorie von Threat Actors dar und eignet sich deswegen an dieser Stelle gut als Beispiel für eine hochkriminelle Bande mit besten Verbindungen in die Politik und zu anderen hochkarätigen Tunichtguten.

Da stellt sich aus gutem Grund schnell die Frage: Wie ist es möglich solche Leute vor Gericht zu stellen, um ihnen einen (fairen) Prozess zu machen?

Im Jahre 2014 hat die Verhaftung von Roman Seleznev für größeres mediales Aufsehen gesorgt. Der Sohn eines einflussreichen russischen Politikers wurde am Flughafen der Malediven, dank eines geheimen Abkommens der USA mit der dortigen Regierung, von einer amerikanischen Homeland Security Einheit verhaftet und in die USA gebracht – nachdem er einen Monat lang auf Guam festgehalten wurde. Die Malediven waren bis zu diesem Vorfall als sicherer Hafen bei vielen Cyberkriminellen bekannt, da offiziell kein Auslieferungsvertrag mit den USA bestand. Schlussendlich wurde Seleznev 2017 zu insgesamt 27 Jahren Haft verurteilt.

Die Prozessliste ist öffentlich einsehbar und enthält weiterführende Informationen.

Es ist also insgesamt nicht nur logistisch sehr schwer gegen diese Art von Threat Actor tatsächlich vorzugehen, sondern kann auch immer wieder zu politischen Verwerfungen führen. Davon abgesehen verhält es sich ähnlich wie auch in der klassischen Kriminalität – schlägt man einen Kopf ab, wächst zügig ein neuer nach. Die eigentliche Problematik entsteht aus einer Verflechtung geopolitischer Interessen und Korruption gepaart mit technologisch fähigen, aber moralisch fragwürdigen, Individuen, die sich für eine nationale Sache gewinnen lassen. Denn auch dies ist besonders bei den vom Staat eingespannten organisierten Cyberkriminellen bemerkbar: Alle verbindet eine gewisse Form von Patriotismus miteinander, welcher als Bindemittel für das oben beschriebene Konstrukt aus Politik und Cyberkriminalität fungiert.

Es sei gesagt, dass die Regierung der russische Föderation natürlich nicht die einzige darstellt, die auf diese Art und Weise indirekt handelt – die Türkei, China und der Iran sind weitere Beispiele, die ebenso nachweislich die landeseigenen Cyberkriminellen nutzen, um ihre Ziele zu erreichen. Historisch betrachtet gibt es selbstverständlich Unterschiede zwischen den Gruppen der jeweiligen Länder - Russland blickt beispielsweise auf eine lange Vergangenheit aus Dieben im Gesetz zurück, woraus sich die aktuelle kriminelle Kultur entwickelte. Auch moralisch soll dies kein Vorwurf an lediglich eine Adresse sein – die durch Edward Snowden aufgedeckte Massenüberwachung der NSA stellt für mich persönlich beispielsweise ebenfalls einen kriminellen Akt dar. An dieser Stelle werden wir allerdings erst in einem folgenden Teil dieser Blogserie anknüpfen, bei dem es sich um die staatlichen Akteure dreht.


Die Spitze des Eisberges

Das Vorgehen von Evil Corp findet sich in unzähligen kriminellen Gruppen wieder. Oftmals wird von den unterschiedlichen Akteuren sogar nur leicht veränderte Schadsoftware eingesetzt; an dieser Stelle spricht man vom selben Strain (Rasse) einer Schadsoftware – denn auch dafür gibt es einen ebenso florierenden Markt wie für alles andere. Im Folgenden exemplarisch ein Ausschnitt eines Marktplatzes, welcher hauptsächlich gehackte Datenbanken anbietet:

Overview Hacked DBs For Sale

Das Erbeuten von Kreditkartendaten, der Verkauf von kompromittierten Zugängen oder die Durchführung von Spamkampagnen mit erpresserischem, irreführenden o.ä. Inhalt sind typische Betätigungsfelder dieser Threat Actors. Wie in allen Bereichen der Informationstechnologie entwickeln sich auch hier permanent neue Ansätze und Möglichkeiten; so gehen aktuell Ransomware Gruppen dazu über erbeutete Daten und Namen der Firmen, die einer Lösegeldforderung nicht nachgekommen sind, zu veröffentlichen oder Geschäftsgeheimnisse an Konkurrenten zu schicken. Ein Fall wurde im Dezember 2019 durch Bleepingcomputer beschrieben und zeigt das veränderte Vorgehen dieser Gruppen im Detail.

Overview Shells For Sale v2

Übrigens: Sollten Sie mehr über organisierte Hackergruppen erfahren wollen, empfehle ich Ihnen unter anderem den englischsprachigen Blog von Brian Krebs zu abonnieren. Als investigativer Journalist im Bereich IT-Security macht er seit langen Jahren einen großartigen Job – ich selbst habe viel von ihm gelernt und greife immer wieder auf seine exzellente Arbeit zurück, um auch unseren Lesern das Thema näher zu bringen. Danke Brian!

Was tun, wie wehren?

Auf die Frage nach der Abwehr solcher oftmals komplexen Angriffe durch diese Art von Threat Actors gibt es – wie bei so vielen Themen der IT-Sicherheit – leider keine Silver Bullet. Sicher ist, dass ein erfolgreicher Angriff aus der Gruppe dieser Akteure verheerende Folgen haben kann, an denen Unternehmen durchaus zu Grunde gehen können. Ich denke, dass den meisten unserer Leser dies auch zum größten Teil bewusst ist – und da ich kein Anhänger der großen „Angstkeule“ bin, möchte ich an dieser Stelle einen konstruktiven Abschluss verfassen.

Protforce sieht als Grundlage einer effektiven Informationssicherheit eine saubere Verwaltung eingesetzter Systeme, deren logische Segmentierung und insgesamt einen nach Zuständigkeiten definierten IT-Betrieb. Dazu gehören selbstverständlich u.a. Patch- & Updatemanagement, sichere On-/Off-Boarding Prozesse, sowie Datensicherung und Wiederherstellung. Die zu jedem Zeitpunkt gewährleistete, vollständige Kontrolle der eigenen Infrastruktur ist die Voraussetzung für die Einführung sinnvoller Sicherheitsmaßnahmen.

Hierfür lassen sich wieder einige simple Fragen stellen, die Sie vielleicht zum Nachdenken anregen könnten. Dabei geht es nicht um hunderte Seiten theoretischer Prozessbeschreibungen und Ausführungen, sondern um das praktische Tun und den eigentlichen Betrieb ihrer IT.

• Existiert ein System, welches alle eingesetzten IT-Geräte sowie Software enthält, detailliert beschreibt und aktiv genutzt wird? Stichwort: IT Assetmanagement.

• Hat meine IT eine Übersicht zu der aktuellen Infrastruktur, deren Aufteilung und Verbindungen miteinander? Dies könnte zum Beispiel ein Netzwerkplan sein.

• Wird ein System verwendet, welches die aktuell eingesetzten Versionen aller genutzten Applikationen enthält und für die zentrale Verteilung von Updates zuständig ist? Ein zentraler Update Dienst ist beispielsweise der Windows Server Updates Services.

• Werden die im Rahmen der Informationssicherheit eingeführten Systeme und Prozesse tatsächlich gelebt? Kontinuität ist das A und O bei der IT-Sicherheit; ein nicht praktikabler Ansatz erstickt Maßnahmen leider oftmals im Keim.

Ich bin der Überzeugung, dass insgesamt, aber auch besonders bei historisch gewachsenen Infrastrukturen, ein „keep it simple“ Ansatz miteinfließen muss, um insgesamt schnell umsetzbare, ressourcenschonende und gleichzeitig effektive Maßnahmen durchführen zu können, die einen tatsächlichen Nutzen bieten und die Wahrscheinlichkeit von erfolgreichen Angriffen minimieren.

In diesem Sinne wünsche ich Ihnen einen erfolgreichen Start in das neue Jahr und würde mich freuen Sie auch wieder bei unserem nächsten Beitrag begrüßen zu dürfen!

-Ihr Darius Ghassemieh