News

[Kurz notiert] Kooperationen zur Cybersicherheit zwischen Deutschland und Singapur

Anfang Juli haben sich diplomatische Vertreter aus Singapur und Deutschland auf Kooperationen für eine gemeinsame und globale Cybersicherheit verständigt und eine gemeinsame Absichtserklärung zur Zusammenarbeit auf diesem Gebiet unterzeichnet: „Nur wenn Staaten zusammenarbeiten und gegenseitiges Vertrauen aufbauen, können sie die zunehmend sichtbaren Bedrohungen im Cyberraum wirkungsvoll einhegen. Dies ist erforderlich, damit wir weiterhin die Früchte der Digitalisierung ernten können“, so Botschafter Dr. Thomas Fitschen. „Das sicherzustellen ist Kernaufgabe der deutschen Cyber-Außenpolitik“ (Q: Newsletter des Auswärtigen Amtes). Mit der Übereinkunft geht es in einem ersten Schritt um „Vertrauensbildung und Hilfe beim Kapazitätsaufbau, wie auch die Stärkung der IT-Sicherheit durch Nutzung von Schlüsseltechnologien und weitere Zusammenarbeit im Cyberverteidigungsbereich„. Dabei betont die Absichtserklärung auch, dass „bestehende Regeln der VN-Charta und der Allgemeinen Erklärung der Menschenrechte im Cyberspace Anwendung finden [müssen]“. Als Leitlinie will man sich dabei in erster Linie auf die Berichte und Arbeiten der UN Expertengruppe zu Cyberfragen (UN GGE – Group of governmental experts) stützen.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Beispiele für die Proliferation von Schadsoftware anhand der EternalBlue-Lücke

Das Thema der Proliferation, also der Weiterverbreitung und Verwendung von Schadsoftware war in der Vergangenheit bereits Thema dieses Blogs. Eine etwas ausführlichere Darstellung davon findet sich hier. Anhand des Leaks der EternalBlue-Sicherheitslücke aus den Beständen der NSA, das durch die Shadowbroker veröffentlicht wurde wird deutlich, welche bedrohliche Reichweite die Proliferation von Malware erreichen kann. So basierten in den vergangenen zwei Wochen bereits vier unterschiedliche Malware-Attacken auf der EternalBlue-Schwachstelle, zwei davon (WannaCry und Petya) wurden hier bereits ausführlich aufgrund der Schwere der verursachten Schäden dokumentiert. Neben diesen beiden Vorfällen gibt es nach wie vor weitere Meldung von Schadsoftware die, in aller Regel auf spezifische Ziele oder Gerätearten ausgerichtet, anhand von EternalBlue Systeme infiziert:

Dazu zählt zum einen eine Malware mit deren Hilfe Linux-Server infiziert und für das unbemerkte Erzeugen von Kryptowährungen mißbraucht werden. Auch hier wird eine Variante der EternalBlue-Lücke (getauft auf den Namen „SambaCry / EternalRed“) ausgenutzt, die in der Software für den Zugriff auf Windows-Server vorhanden ist (Details dazu bspw. bei SecureList / lokale Kopie). Eine dritte, unlängst bekannt gewordene Lücke verwendet einen ähnlichen Angriffsvektor, der allerdings auf speziellen Netzwerk-Speichergeräten (sog. NAS – Network attached storage) vorhanden ist, die ihrerseits sehr oft auf mit  angepassten Linux-Versionen laufen und folglich auch den EternalRed-Fehler enthalten (Quelle: heise.de / lokale Kopie).  Dieser Fehler ist insbesondere dadurch brisant, dass vergleichbar zu den, durch WannaCry angreifbaren alten Windows-Systemen NAS sehr oft fertige Consumer-Elektronik ist, die nur in wenigen Fällen durch Hersteller mit Software-Aktualisierungen versorgt werden. Derartige Systemen können auch durch den Anwender nicht ohne Probleme mit neuer Software ausgestattet werden und blieben im schlechtesten Falle komplett ungeschützt – mit der einzigen Option des Anwenders, das Gerät komplett und auf ewig vom Netz zu nehmen.

Leider ist davon auszugehen, dass es auch in Zukunft weitere Variante dieser Malware geben wird. Dieser Schluß ergibt sich bspw. aus den Ergebnissen einer Untersuchung des IT-Sicherheitsunternehmens Imperva, die einen Online-Scanner eingesetzt haben um im Internet nach entsprechend verwundbaren Systemen zu suchen. Die Analysten fanden dabei noch mehrere zehntausende Systeme, die sich per EternalBlue/EternalRed angreifen ließen (Q: threatpost.com / lokale Kopie).

 

 

Nachlese zum G20-Gipfel: US-Russische Cybersicherheitseinheit (?)

Am Rande des G20-Gipfeltreffens in Hamburg gab es zwischen den Präsidenten Trump und Putin (mindestens) ein Gespräch, bei dem auch das Thema der Cybersicherheit und der mutmaßlichen Beeinflussungsversuche eine Rolle gespielt haben soll. Kurz darauf verbreitete der Twitter-Account von US-Präsident Trump die Meldung, dass die beiden Staatsführer über die Einrichtung einer gemeinsamen „undurchdringbaren“ Cybersicherheits-Einheit gesprochen hätten:

Putin & I discussed forming an impenetrable Cyber Security unit so that election hacking, & many other negative things, will be guarded.. (Q: twitter.com / lokale Kopie)

Die Bedeutung dieses Vorschlages wurde darauf kurz laut einem Reuters-Bericht vom aktuellen US-Finanzminister Steven Mnuchin dahingehend konkretisiert, dass es darum gehe „[to create] a cyber unit to make sure that there was absolutely no interference whatsoever, that they would work on cyber security together.“ (Q: reuters.com / lokale Kopie). Einem Bericht der regierungsnahe russische Medienagentur Russia Today (RT) zufolge bestätigte Putin diese Gespräche “[to] create a working group and work together on how to jointly monitor security in cyberspace.” (Q: rt.com / lokale Kopie).

In welchem Umfang dieser Vorschlag allerdings auf Seiten der USA mit den Parteikollegen Trumps abgesprochen war bleibt unklar, zumindestens gab es nach dieser Ankündigung enormen Widerstand aus Trumps eigenen Reihen. Mutmaßlich aufgrund dieses Widerstandes sowie der unzähligen Hinweise das eine solche Kooperation bereits aus sicherheitsrelevanten und Geheimhaltungsgründen kaum realisierbar ist twitterte Trump wenig später, dass auch er von der Umsetzbarkeit dieses Vorstoßes nicht überzeugt ist:

„The fact that President Putin and I discussed a Cyber Security unit doesn’t mean I think it can happen. It can’t-but a ceasefire can,& did!“
(Q: twitter.com /lokale Kopie)

Interessant wäre zu erfahren, welche der beiden Seiten diesen Vorschlag aufgegriffen hat und ob die im zweiten Tweet angekündigt „Feuerpause“ in den Cyberscharmützeln weitere Früchte tragen wird. Bislang gibt es noch keine öffentlichen Hinweise dazu. Aus Sicht der oben bereits zitierten Russia Today ist der nahezu unmittelbare Rückzieher des Vorschlages auf Angriffe und eine Blockadehaltung der US-Demokraten gegen den Vorstoß von Trump zurückzuführen (Q: rt.com / lokale Kopie)

Regulation von Cyberwaffen – Vorstoß der EU

Ende 2013 wurde mit einer Anpassung des sog. Wassenaar-Abkommens erstmals ein Ansatz entwickelt um den Handel mit Schadsoftware zu regulieren, deren Weiterverbreitung einzugrenzen und deren Anwendung bzw. Einsatz zu kontrollieren. Das Abkommen kann in vielerlei Hinsicht nur ein erster Schritt sein und ist durchaus kritigwürdig. Umso entscheidender ist es, dass die Debatte über die Kontrolle von Cyberwaffen (oder allgemeiner Schadsoftware) als Bestandteil sog. Dual-Use-Güter seit einiger Zeit auch von der EU weiter voran getrieben und weitergedacht wird. So hat die europäischen Kommission bereits im Herbst 2016 einen Vorschlag für die weiterführende Regulatuion derartiger Güter als Bestandteil eines einheitlichen Exportkontroll-Ansatzes für EU-Staaten eingebracht (lokale  Kopie), der 2017 verabschiedet werden soll.

Zu diesem Proposal gibt es unter anderem eine gemeinsame Stellungnahme einiger großer internationaler NGOs – hier als Lesetipp für das Wochenende (lokale Kopie). Das Statement bezieht sich dabei in erster Linie auf digitale Überwachung- und Repressionshilfsmittel. Dass mit Exportkontrollen von solchen Cybergütern aber auch unmittel digitale Waffenhändler in ihre Grenzen verwiesen können zeigt das Beispiel der ehemals in Frankreich ansässigen Firma Vupen, unterstreicht aber ebenso, dass es für einige stabile und sinnvolle Kontrolle dieses digitalen Waffenmarktes eigentlicher einer globalen Lösung bedarf.

Neuer Datenbank-Eintrag zu Petya / NotPetya

Da die aktuelle Verschlüsselungs-Malware Petya/NotPetya einigen Indizien zufolge eher auf die reine Sabotage von IT-Systemen ausgerichtet war, wurde dessen Einsatz und die verursachten Schäden unter anderem in einer Pressemitteilung des NATO-geförderten Cooperative Cyber Defence Centre of Excellence in Tallinn (CCDCOE) in den Kontext der Anwendbarkeit des internationalen Völkerrechts, der Frage nach einem bewaffneten Angriff und der möglichen Reaktion auf eine solche mögliche Situation gestellt. Insofern stellt Petya möglicherweise den ersten großen Einsatz einer Cyber-Waffe mit breiter Wirkung innerhalb eines bewaffneten Konfliktes dar.

Alles weitere hier im Eintrag zu Petya/NonPetya in der Datenbank relevanter Cyber-Vorfälle.

Antworten mit Details der Bundesregierung zum Cyberbereich bei der Bundeswehr

Anfang Mai dieses Jahres wurde von der Bundesregierung eine Antwort auf eine kleine Anfrage der Fraktion DIE LINKE veröffentlicht (lokale Kopie), die sich mit den Ressourcen und Befugnissen des neuen Kommandos Cyber- und Informationsraum der Bundeswehr (CIR) beschäftigt. Die Abgeordneten fragten dabei insbesondere nach Standorten der Bestandteile des neuen Kommandos, nach deren Teilaufgaben sowie, mit Blick auf das Weißbuch der Bundeswehr von 2016, der darin postulierten Aufgabe der Bundeswehr zur Cyberverteidigung des Landes. Insbesondere letztere könnte sich aufgrund von Zuständigkeitsfragen zwischen der Bundeswehr, den unterschiedlichen Nachrichtendiensten und zivilen Sicherheits-Institutionen als schwierig gestalten. Eine klare Abgrenzung bei diesen Fragen liefert auch die Antwort leider nicht. Statt dessen wird vermutlich mit der angekündigten Aufwertung und dem Ausbau des Cyber-Abwehrzentrums auf die koordinierende Rolle dieser Einrichtung bei Konfliktsituationen gesetzt.

Nachfolgend eine Zusammenstellung der interessantesten Erkenntnisse aus dem Bericht über die Einheiten und Zuständigkeiten des Cyberbereiches, über die Schnittmengen zwischen der klassischen und in der Bundeswehr etablierten elektronische Kampfführung sowie über die Förderung wissenschaftlicher Einrichtungen und der projektbezogenen Drittmittelförderung. Alle Zitate sind, sofern nicht anders gekennzeichnet der Antwort der Bundesregierung entnommen.

(mehr …)

Cyber-Kommando der Bundeswehr in Dienst gestellt

Am vergangenen 30. Juni wurde nach dem Start des neuen Cyber-Organisationsbereiches (CIR) bei der Bundeswehr am 1.4.2017 nun auch offiziell mit einem „Unterstellungswechsel“ der neue Bereich dem zukünftig leitendenden Inspekteur Generalleutnant Ludwig Leinhos übergeben und die Umstrukturierungen innerhalb Bundeswehr institutionalisiert. Der absolute Großteil der 13.500 Dienstposten wird aus bestehenden Bereichen, insbesondere der Streitkräftebasis (SKB) umorganisiert.  Weitere Details dazu finden sich hier, in der Analyse des, den Umstrukturierungen zu Grunde liegenden Abschlußberichts des Aufbaustabes.

Die nun vollzogene Umstrukturierung wird jedoch nicht die letzte sein, denn in den folgenden Jahren wird der Organisationsbereich Cyber- und Informationsraum noch weiter aufwachsen. Mit dem weiteren Aufbau des Kommando CIR und des Zentrum Cybersicherheit der Bundeswehr, sowie der anstehenden Aufstellung des Zentrum Cyber Operationen und des Zentrum Softwarekompetenz der Bundeswehr wird der Bereich schrittweise sein volles Fähigkeitsspektrum erreichen. (Q: bundeswehr.de / lokale Kopie)

Bereits seit Herbst des letzten Jahres werden die parallel begleitenden Umstrukturierungen im BMVg durchgeführt. Gleichsam wurde vor wenigen Wochen an der Bundesuniversität in München das neue Cyberforschungszentrum gegründet, dass neben den neuen Studiengängen und dem zusätzlichen wissenschaftlichen Personal dort der Cyber-Exzellenzcluster der Bundeswehr werden soll.

Lesetipp: Einblicke in die russische Malware-Szene

Der IT-Sicherheitsdienstleister Kaspersky hat bereits vor einigen Monaten eine detailierte Analyse (lokale Kopie) veröffentlicht, in der die Autoren die mutmaßlich russische Hackerszene, der lt. Analysten die meisten aktuellen Varianten von Verschlüsselungs-Malware – unter anderem auch Petya – zugeschrieben werden  veröffentlicht.  Die Autoren stützten sich dabei auf die Statistiken, die sich im Rahmen ihrer jährlichen Malware-Fallanalysen-Erhebungen sammeln und auswerten:

One of the findings of our research is that 47 of the 60+ crypto ransomware families we’ve discovered in the last 12 months are related to Russian-speaking groups or individuals. This conclusion is based on our observation of underground forums, command and control infrastructure, and other artefacts which can be found on the web. It is hard to draw strong conclusions on why so many of the ransomware families out there have a Russian origin, but it is safe to say that this is because there are a lot of well-educated and skilled code writers in Russia and its neighboring countries.

Another possible reason is that the Russian cybercriminal underground has the richest background when it comes to ransomware schemes. Prior to the current crypto ransomware wave, there was another ransomware-themed malware epidemic. Between approximately 2009 and 2011, thousands of users in Russia and its neighboring countries experienced attacks which used so-called Windows- or browser-lockers. This type of ransomware blocks the user’s access to their browser or OS and then demands a ransom in exchange for unlocking access. The epidemic withered for a number of reasons: law enforcement agencies responded adequately and caught several criminals involved in the business; mobile operators made the process of withdrawing money through premium SMS services harder; and the security industry invested a lot of resources into developing free unlocking services and technologies. (Q: Kaspersky auf Threatpost)

Der Bericht geht dabei sowohl auf die Geschäftsmodelle als auch die z.T. automatisierten Prozesse bei der Erstellungen und Verwendung von derartiger Malware und den dahinter stehenden Akteuren ein. In ihren beiden Hauptschlußfolgerungen kommen die Autoren zu dem Ergebnis, dass:

1. Thanks to multiple successful massive campaigns they’re now funded well enough to invest big money in sophisticated operations.

2. A ransomware attack against a large corporation makes total sense, because it is possible to paralyze the work of a whole company, resulting in huge losses. Due to this, it is possible to demand a ransom larger than the one requested from home users and small companies. (Q: Kaspersky auf Threatpost)

Sehr lesenswert!

Cyberattacken auf US-Atomkraftwerke /Update

Die New York Times berichten aktuell (lokale Kopie) über einen Bericht des Department of Homeland Security (DHS) und des FBI, denen zufolge es seit Mai Versuche von Cyber-Attacken unter anderem gegen US-Energieversorger und US-Atomkraftwerke gegeben haben soll. Dabei soll es Angreifern zwar gelungen sein Rechner innerhalb der Anlagen zu infizieren, ohne jedoch den Sprung aus diesen Verwaltungs-Systemen in die – in aller Regel getrennten – eigentlichen Steuerungssysteme zu realisieren. Fraglich bleibt laut dem zitierten Bericht, ob es sich bei den Aktivitäten um Spionage oder den gezielten Versuch der Sabotage handelt. In jedem Fall sei den Angreifern darum gegangen, die internen Netzwerke möglichst genau zu durchleuchten und aufzuklären. Bislang gibt es jedoch noch keine offiziellen Aussagen über die Analysen des Payloads der Cyberattacken. Update: Weiteren Presseberichten zufolge wurden Zugangsdaten zu den Verwaltungssystemen vor allem auch per Spear-Phishing und Watering-hole-Attacken gesammelt. Auch dieses Vorgehen passt zu den Vorfällen in der Ukraine. Darüber hinaus ist die vermutlich gute Nachricht daran, dass die IT der Kraftwerke nicht per se angreifbar ist, sodass die Urheber der Attacken den Weg über social engineering als Angriffsvektor gewählt haben – zumindestens soweit das aktuell bekannt ist.

Aufgrund des vorsichtigen Vorgehens und Parallelen zu Vorfällen wie den Angriffen auf die ukrainische Stromversorgung Ende 2015 sowie den notwendigen Ressourcen beim Hacking von Industrie-Steuerungsanlagen (i.a.R. sogenannte  SCADA-Systeme) gehen die Autoren des geheimen DHS/FBI-Report von staatlichen Hackern aus. Eine sehr gute Analyse der Komplexität von Angriffen auf derlei kritische Infrastrukturen bietet der Abschlussbericht zu dem Stuxnet-Vorfall von 2010. Damals wurde, vermutlich ebenso über den Weg der Verwaltungs-IT, die interne Industriesteuerungs-Software einer Uran-Anreicherungsanlage im Iran manipuliert und sabotiert. Der Bericht „To kill a centrifuge“ dokumentiert dabei den enormen, jahrelangen Aufwand sowie das notwendige, nachrichtendienstlich erworbene Vorwissen über die genauen IT-Systeme, deren Konfigurationen und Software-Versionen die für einen derartigen Angriff notwendig sind – ein Aufwand der realistisch nur von Staaten zu leisten gewesen ist.

News zu Petya – „Gegenmittel“, NATO-Stellungnahme und Russland als Urheber (?)

Die BBC berichtete (lokale Kopie) am vergangenen Wochenende, dass es IT-Forensiker gelungen ist ein „Gegenmittel“ gegen Petya zu finden, dass diesen im Vorfeld daran hindern soll einen Rechner zu befallen. Die Meldung bezieht sich auf eine Analyse des IT-Sicherheitsunternehmens BleepingComputer (lokale Kopie)  und wurde bislang noch nicht durch weitere Analysen bestätigt. Den Forensikern zufolge reicht es im Dateisystem einen bestimmten Ordner anzulegen, warnen in ihrer Auswertung allerdings, dass Petya trotz dieses „Gegenmittels“ den so abgesicherten Rechner als „Hub“ verwenden kann um weitere Systeme zu infizieren. Die Gegenmaßnahme ist demzufolge kein Killswitch wie er bspw. bei WannaCry eingebaut war.

Laut einer zweiten Meldung der BBC (lokale Kopie) verfügt der ukrainische Geheimdienst SBU über Informationen, die eine russische Urheberschaft der Malware belegen sollen. Dabei stützt sich der Geheimdienst auf Analysen und Vergleiche zu Attacken mit früheren Versionen der  Malware Petya (die nicht dem geleakten NSA-Exploit EternalBlue aufbauten). Moskau selbst hat eine Beteiligung an der Malware abgelehnt und der BBC-Bericht weist zu recht darauf hin, dass auch große russische Unternehmen betroffen waren.

Eine dritte bedeutende Entscheidung wurde am Freitag durch das CCDCOE-Exzellenzzentrum der NATO in Tallinn verkündet. In einer Pressemitteilung analysieren die NATO-Cyberexperten die Malware Petya unter dem Blickwinkel der Anwendbarkeit des internationalen Völkerrechts, der Frage nach einem bewaffneten Angriff und der möglichen Reaktion der NATO auf eine solche mögliche Situation. Im Sommer des letzten Jahres hatte die NATO beschlossen, dass Cyberattacken offizieller Bestandteil der kollektiven Verteidigung sind und den Bündnisfall auslösen können. Mit Blick auf diese Entscheidung kommen die NATO-Experten im Falle von Petya (bislang ersten Mal) zum Schluss, dass “if the operation could be linked to an ongoing international armed conflict, then law of armed conflict would apply, at least to the extent that injury or physical damage was caused by it, and with respect to possible direct participation in hostilities by civilian hackers” (Q: ccdcoe.org / lokale Kopie). Das CCDCOE ist ein Forschungszentrum das durch NATO-Partner gefördert wird, insofern ist obige Aussage nicht als offizielle NATO-Stellungnahme zu verstehen – wohl aber als deutlicher Wegweiser.