Ausführlicher Bericht zum Download

Melani erklärt Ruag-Hack

Uhr
von George Sarpong

Die Melde- und Analysestelle Informationssicherung Melani hat einen umfassenden Bericht zum Hacker-Angriff auf Ruag veröffentlicht. Davon sollen andere Unternehmen lernen.

Die Melde- und Analysestelle Informationssicherung Melani hat im Auftrag des Bundesrates einen Bericht zum Ruag-Hack veröffentlicht.

Mit dem Bericht will Melani einige Erkenntnisse veröffentlichen, die anderen Sicherheitsspezialisten und Verantwortlichen weiterhelfen könnten. Die Meldestelle nennt Details zur Schadsoftware und zum vorgehen der Täter.

Malware seit Jahren im Umlauf

Die Angreifer benutzten demnach eine seit mehreren Jahren im Umlauf befindliche Schadsoftware der Turla-Familie. Die im Netzwerk der Ruag beobachtete Variante hat keine Rootkit-Funktionalität und setzt auf Tarnung, um unerkannt zu bleiben, heisst es in dem Bericht.

Die Angreifer hätten viel Geduld bei der Infiltration und dem weiteren Vordringen gezeigt. Sie attackierten nur Opfer, an denen sie Interesse hatten. Sie spähten etwa IP-Lists aus und nutzten Fingerprinting vor und nach der Erstinfiltration. Einmal im Netzwerk infizierten die Angreifer weitere Geräte und erlangten höhere Privilegien im System.

Hauptziel Active Directory

Ein Hauptziel war das Active Directory zur Kontrolle weiterer Geräte und den richtigen Berechtigungen und Gruppenzugehörigkeiten für den Zugriff auf die interessanten Daten. Die Schadsoftware nutzte HTTP für den Datentransfer nach aussen mit mehreren Command- and Control-Server-Reihen.

Die Command- and Control-Server versandten Tasks an die infizierten Geräte. Solche Aufgaben können etwa neue Binär- und Konfigurationsdateien oder sogenannte Batchjobs sein.

Im infiltrierten Netzwerk konnten die Angreifer Datenströme für ihre interne Kommunikation verwenden, die schwer zu entdecken seien. Es kam ein hierarchisches System zum Einsatz, bei dem nicht jedes infizierte Gerät mit den C&C-Servern kommuniziert, wie Melani berichtet.

Einige Systeme seien in sogenannte Kommunikations-, andere Arbeiterdrohnen aufgeteilt gewesen. Letztere kommunizierten nicht mit der Aussenwelt, sondern wurden zum Entwenden und der Weitergabe der Daten an die Kommunikationsdrohnen benutzt. Die erlangten Daten wurden durch die Kommunikationsdrohnen nach aussen transferiert.

Schaden schwer abzuschätzen

Den Schaden abzuschätzen, den die Angreifer angerichtet haben, ist laut Melani schwierig und nicht Teil des Berichts.

Die Meldestelle merkt an: "Wir entdeckten aber interessante Muster in den Proxylogs: Phasen mit sehr geringer Aktivität sowohl bezüglich Anfragen als auch abgeführter Datenmengen abwechselnd mit sehr aktiven Perioden mit vielen Anfragen und grossen Datenmengen."

Fazit von Melani

Der Bericht gibt einige Empfehlungen zu Gegenmassnahmen ab, die Melani als "sehr wirksam gegen diese Art der Bedrohung auf der System-, Active-Directory- und Netzwerkebene erachtet".

Viele der Gegenmassnahmen seien kostengünstig und mit vernünftigem Aufwand implementierbar. "Es ist zwar schwierig, eine Organisation vollständig vor solchen Tätern zu schützen; wir sind aber sicher, dass diese entdeckt werden können, da jeder Fehler macht. Betroffene Organisationen müssen bereit sein die Spuren zu sichten und diese Informationen auszutauschen. Damit bleiben wir den Tätern dicht auf den Fersen", schliessen die Autoren.

Der ausführliche Bericht kann auf der Website von Melani heruntergeladen werden.

Webcode
8240