News

(Ausbau des) Cyber-Forschungszentrum der Bundeswehr gestartet

Am vergangenen Freitag (23.6.2017) wurde auf dem Gelände der Bundeswehr-Universität in München der Ausbau des bereits bestehenden Forschungszentrums Cyber Defence (CODE) durch die Verteidigungsministerin offiziell gestartet (Q: Bayrischer Rundfunk / lokale Kopie). Die Erweiterungen wurden im Rahmen des Aufbau des neuen Cyber-Organisationsbereiches des Bundeswehr beschlossen und stellen eine deutliche Aufwertung der „Cyber-Forschung“ an der Bundeswehr-Universität dar. Neben einem internationalen Master-Studiengang „Cyber-Sicherheit“ für anfangs 70 Studierende, der im Januar 2018 startet, wurden seit Sommer 2016 elf neue IT-Professuren ausgeschrieben, die durch „67 wissenschaftlichen Mitarbeiterinnen und Mitarbeitern, Technikern und Verwaltungsangestellten unterstützt werden. Dazu kommen weitere rund 200 wissenschaftliche Drittmittel-Mitarbeiterinnen und Mitarbeiter. “ (Q: bundeswehr.de / lokale Kopie). Die Einweihung der Verteidigungsministerin betraf das ebenfalls geplante  „Hochsicherheitsgebäude zur Cyber-Forschung“  das „über 7.000 Quadratmeter groß sein und diverse Laboratorien für Cyber-Sicherheit beinhalten [wird], unter anderem für digitale Forensik, Malware-Analyse und Cyber-Lagebild.“ (Q: bundeswehr.de / lokale Kopie). Dabei handelt es sich – zumindestens den Pressemitteilungen zufolge – primär um ein Forschungszentrum der Bundeswehr, das weder als „Cyber-Abwehr-Zentrum“ (wie bspw. der Deutschlandfunk schreibt) an der aktiven Abwehr von Cyberattacken beteiligt sein soll, noch mit dem „Nationalen Cyber-Abwehr-Zentrum (Cyber-AZ)“ des Bundesinnenministeriums verwechselt werden sollte: „Die Forschung wird auf fünf Säulen stehen: Sie bestehen aus Cyber Defence, Smart Data, Mobile Security, e-Health sowie Schutz kritischer Infrastrukturen“(Q: bundeswehr.de / lokale Kopie). Die räumliche Nähe der, ebenfalls auf dem Universitätsgelände neu gegründeten und dem Bundesinnenministeriums unterstellen Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) sollte, insbesondere angesichts der zunehmenden Sprache von die Notwendigkeit von Cyber-Offensiv-Mitteln, Grund zur kritischen Beobachtung der universitären Forschung und deren praktischen Anwendungen und möglichen Unternehmensausgründungen sein. Eine etwas ausführlichere Kritik dazu hier in einem älteren Beitrag. ZITiS wurde – anders als fälschlicherweise ursprünglich unter anderem bei heise.de vermeldet – bereits im Januar diesen Jahres eingeweiht.

[Kurz notiert] NATO kündigt Bündnis-Übungen zur Cyber-Abwehr an

In direkter Reaktion auf die jüngste Malware-Welle mit Petya kündigte NATO-Generalsekretär Stoltenberg in Brüssel an, dass die Bündnispartner zukünftig auch gemeinsame Übungen abhalten wollen um derartigen Bedrohungen zu begegnen. Außerdem soll die Zusammenarbeit bei der Cyberabwehr mit der Ukraine gestärkt werden. (Q: Deutschlandfunk.de / lokale Kopie)

Der weitere Verlauf der Petya-Attacken wird im Originalartikel fortlaufend ergänzt.

Zweite WannaCry-ähnliche Erpressungs-Welle auf Basis von EternalBlue /Update.6

Seit wenigen Stunden häufen sich Meldungen, zuerst aus Russland und der Ukraine, dass eine neue Welle eines Erpressungstrojaners um sich greift, der – ähnlich wie WannaCry von wenigen Wochen – die Sicherheitslücke EternalBlue ausnutzt. Die Sicherheitslücke stammt ursprünglich aus dem Fundus der NSA, wurde vermutlich durch die Shadowbroker-Leaks veröffentlicht und betrifft sehr viele Windows-Versionen – sofern diese nicht die Patches eingespielt haben. Die Lücke wird von Microsoft selbst als derart kritisch bewertet, dass erst vor wenigen Tagen ursprünglich seit Jahren deaktivierte Update-Automatismen für (längst veraltete) Windows-Versionen mit EternalBlue-Sicherheitsaktualisierungen versehen wurden.

In der aktuellen Version ist die EternalBlue-Lücke in eine bereits bekannte Verschlüsselungs-Malware namens Petya (Update 3 28.6.2017: andere Analysten sprechen auch von NotPetya, ExPetr, PetrWrap oder GoldenEye) eingebettet wurden, der wie WannaCry zuvor Festplatten verschlüsselt und Bitcoins als Lösegeld erpresst.  Es ist allerdings zu befürchten, dass Petya nicht den Fehler der WannaCry-Urheber wiederholen wird, der für eine relativ einfache Deaktivierung der Verbreitungsroutinen (einem sog. „Kill Switch“) gesorgt hat.

Bislang gibt es nur bestätigte Infektionen bei Wirtschaftsunternehmen und politische Einrichtungen: in Russland bei den Unternehmen Rosneft und Bashneft, bei der ukrainischen Zentralbank, am Kiewer Flughafen, bei der dänischen Reederei Maersk und dem deutschen Chemie-Konzern Beiersdorf mit dem Tochterunternehmen Nivea. Laut Medienberichten soll auch das Netzwerk der ukrainischen Regierung betroffen und offline sein. Auch die Kontroll-Einrichtungen im ukrainischen Tschernobyl wurden möglicherweise betroffen. (Quelle für diese Vorfälle: heise.de / lokale Kopie). Update (28.6.2017): Mittlerweile gibt es bestätigte Infektionen auch von US-amerikanischen Unternehmen wie dem Pharmakonzern Merck und der Lebensmittelhersteller Mondelēz sowie weiteren europäischen Unternehmen.

Unklar ist bis dato, ob die aktuelle Petya-Version über Replikations- und Verbreitungsmechanismen verfügt, wie dies bei WannaCry der Fall war oder ob es diese Malware gezielt an die obigen Unternehmen „verteilt“ wurden. Da die ausgenutzte Sicherheitslücke EternalBlue aber explizit die ungeschützte Ausbreitung innerhalb eines Windows-Netzwerkes ermöglicht, muss selbst dann mit weiteren Infektionen und „Kollateralschäden“ gerechnet werden. Update (28.6.2017): Das BSI meldet, dass ihren ersten Analysen zufolge Petya innerhalb eines Netzwerkes über weitere Angriffsvektoren auch Systeme befallen kann, die gegen EternalBlue gepatcht worden sind. Außerdem soll Petya, einmal in einem Netz eingedrungen, dessen weitere Infektionen sehr vorsichtig und gut verborgen ausführen und unter anderem auch gezielt nach Zugangsdaten für die weitere Infektion suchen (lokale Kopie). Update 2 (28.6.2017): Die untersuchenden IT-Sicherheitsunternehmen gehen vermuten mittlerweile, dass die Infektionen in der Ukraine starteten. Die Malware scheint spezifisch eine Finanzsoftware namens MeDoc anzugreifen (möglicherweise als initialer Zugriffsvektor) die für Verwaltungsaufgaben und u.a. auch für die Steuerzahlungen in der Ukraine eingesetzt wird. Die Malware scheint dabei über Updates dieser Software verteilt worden zu sein (Q: heise.de / lokale Kopie). Update 3 (28.6.2017): Kaspersky berichtet, dass auch die Webseiten der ukrainischen Regierungen angegriffen wurden und über eine Modifikation die Malware Petya verteilt haben sollen. (Q: Threatpost /lokale Kopie). Update 5 (8.7.2017): Einer Analyse und Meldung des BSI zufolge (lokale Kopie) wurde über MeDoc bereits vor der aktuellen Petya-Infektionswelle Schadsoftware verbreitet. Die erste Auffälligkeiten seien bereits am 13. April registriert worden. Darüber hinaus ist mittlerweile bekannt, dass die aktuelle Verschlüsselungs-Variante von Petya in drei Wellen verteilt worden ist und dass es den Angreifern auch darum ging, durch Informationskanäle genaue Kentnisse darüber zu gewinnen, in welche Unternehmen sie eingedrungen sind (Q: heise.de / lokale Kopie).

Eine sehr detailierte erste technische Code-Analyse ist bei Microsoft zu finden (lokale Kopie).

Sollten die Urheber von Petya aus den Erfahrungen um WannaCry „gelernt“ haben und , entgegen zu früheren Varianten der eigenen Malware auch bei der Verschlüsselung keine Fehler mehr gemacht haben (Q: heise.de / lokale Kopie), dann könnte diese Welle nochmal durchaus größeren Schaden anrichten als WannaCry. Anders als WannaCry könnte es möglicherweise auch gar nicht um die Erpressung von Geld gehen, sondern darum gezielt Schäden zu verursachen und die Ransomware-Erscheinung nur als Tarnung zu verwenden. Dafür spricht unter anderem, dass nur genau eine Bitcoin-Adresse als Einzahlungsziel existiert, die E-Mail-Adresse für den Kontakt zu den Erpressern aber bereits durch den deutschen Dienstleister Posteo abgeschalten worden ist. Damit sind Lösegeld-Zahlung nicht mehr zuordbar (Q: Brian Krebs auf krebsonsecurity.com / lokale Kopie) Darüber hinaus sprechen einige Analysten davon, dass die Verschlüsselung der Daten eher einem „Wiping“ derselben nahekommt, also dem irreversiblen Zerstören des Zugangs zu den Daten. (Q: Threatpost /lokale Kopie). Update (3.7.2017): IT-Forensiker des Unternehmens BleepingWorld berichten, dass sie eine Maßnahme gefunden haben um die Infektion eines Rechners mit Petya zu verhindern. Allerdings weisen die Autoren ausdrücklich darauf hin, dass es sich dabei nicht um einen Killswitch handelt, dass ein befallener Rechner trotzdem durch Petya benutzt werden kann um sich innerhalb eines Netzwerkes weiter auszubreiten. Update (8.7.2017): Über eine anonyme Webseite haben sich die mutmaßlichen Angreifer gemeldet und versprochen (lokale Kopie), gegen die Zahlung von 100 Bitcoins (ca. eine 1/4 Million Dollar) den zentralen Verschlüsselungs-Code herauszugeben, mit dem sich alle Daten lt. Aussage in der Nachricht retten ließen. Diese Aussage wird jedoch in Sicherheits-Kreisen eher angezweifelt, zumal Petya durch das Löschen einiger kritischer Dateisystem-Bestandteile das Entschlüssel selbst unmöglich gemacht haben könnte. Update (12.7.2017): Umfangreiche Analysen von Codesamples der Malware deuten darauf hin, dass zumindestens derjenige Verschlüsselungsteil, der mittels eines Algorithmus namens Salsa20 die komplette Festplatte chiffriert fehlerhaft implementiert wurde und eine Datenrettung mittels IT-Forensik möglich ist. (Q: heise.de / lokale Kopie)

 

Bericht legt US-Cyberattacken gegen Russland nach Wahlbeeinflussung offen

Die Washington Post berichtet in einem Beitrag vom 23.6. (lokale Kopie) über Cyber-Vergeltungsmaßnahmen die durch die Obama-Regierung gegen Russland, als Reaktion auf deren mutmaßliche US-Wahlbeeinflussung angeordnet wurden und bezieht sich dabei auf eine freigegebenen („declassified“) Bericht der US-Regierung zu Untersuchungen über die Hackingvorfälle im US-Wahlkampf. Der Bericht „Background to “Assessing Russian Activities and Intentions in Recent US Elections”: The Analytic Process and Cyber Incident Attribution“ (lokale Kopie) ist eine „entschärfte“ Version eines weiterhin geheimen Reports und wurde vom Büro des Director of National Intelligence (DNI) erstellt. Die Erkenntnisse des Berichts bestätigen zum einen frühere, übereinstimmende Medienberichte, denen zufolge die Regierung Cyber-Maßnahmen als Reaktion gegen Russland in Erwägung gezogen hat.  Bereits im Dezember 2016 wurden politische und wirtschaftliche Sanktionen gegen in den USA lebende und als Agenten agierende Privatpersonen (andere Quellen sprechen von Personen mit diplomatischem Status), russische Unternehmen und Forschungseinrichtungen verhängt.

(mehr …)

(K)eine Cyber-Attacke auf britisches Parlament?

In den Medien wird aktuell von einer „Cyber-Attacke“ gegen das Kommunikations-System des britischen Parlamentes gesprochen, bei dem mutmaßlich interne E-Mail-Konten von Abgeordneten ausgespäht werden sollten oder worden sind. Im Gegensatz zu der Bewertung dieses Vorfalls als „Cyber-Attacke“ deuten die öffentlich verfügbaren Informationen eher auf einen (vermutlich) normalen Spionagevorfall hin. So wurden lt. Guardian (lokale Kopie) bereits in der vergangenen Tagen Account-Daten von Abgeordneten im Internet zum Kauf angeboten, die mutmaßlich über einfache Phising-Methoden oder auch gezielte Spear-Phishing-Methoden gewonnen wurden. Beim aktuellen Vorall sollen Hacker versucht haben, sich mit diesen Daten Zugriff auf interne E-Mail-Konten zu verschaffen. Die erste Schutzmaßnahme der Sicherheitsebehörden soll darin bestanden haben, den Zugriff auf E-Mail-Systeme nur noch von innerhalb der Regierungseinrichtungen zuzulassen sowie Zugangsdaten und Passworte zu ändern. Dies deutet darauf hin, das – anders als bei der Attacke gegen das deutsche Parlakom-System des Bundestages im Sommer 2015 – keine internen Systeme durch Schadsoftware infiziert wurden und die IT-Systeme des britischen Parlamentes eben nicht spezifisch angegriffen worden sind.  In Analogie zum klassischen Hauseinbruch wurden im vorliegenden Fall also nachgemachte, im Vorfeld kopierte Schlüssel und kein Brecheisen, Glasschneider oder Lockpicking-Hilfsmittel für den Einbruch verwendet.

Eine Vermengung der Begrifflichkeiten von Cyberattacke und Spionage erweist den Debatten über die Notwendigkeit einer Eingrenzung solcher – mutmaßlich staatlicher – Aktivitäten im Cyberspace keinen guten Dienst und wurde hier in einem älteren Beitrag bereits ausführlicher kommentiert.

[Kurz notiert] WannaCry sorgt weiter für Schäden

Auch nach mehr als einem Monat nach der ursprünglichen WannaCry-Angriffswelle gibt es immer wieder Medienberichte über Schaden durch WannaCry. So berichtet Reuters (lokale Kopie) bspw. über den Autohersteller Honda, der kürzlich ein komplettes Werk aufgrund einer WannaCry-Infektion abschalten musste. Ob es sich dabei um eine Neuinfektion oder eine erst entdeckte bereits bestehende Infektion handelt ist allerdings unklar. Während dessen installiert Microsoft in einer bisher einmaligen Aktion auf ältere und z.T. seit einigen Jahren nicht mehr unterstützten Windows-Versionen (darunter u.a. Windows XP) über die Update-Funktionen Sicherheitsaktualisierungen gegen die WannaCry-Lücke um weiteren Infektionen zuvorzukommen (Q: heise.de / lokale Kopie).

In jedem Falle unterstreichen diese Vorfälle die Gefahren einer solchen, mutmaßlich staatlichen Malware und der Geheimhaltung von Sicherheitslücken in populärer Software – in diesem Fall auch die Persistenz von derartiger, einmal in Aktion gesetzter Schadsoftware.

 

Alle Details zu WanaCry im passenden Datenbank-Eintrag.

 

Lesetipp zu den Implikationen bei Hacking-Befugnissen von Regierungen /Update

Im Rahmen des, durch die Stiftung Neue Verantwortung initiierten transatlantischen Cyber Forums, in dem ich dankenswerterweise mitarbeiten kann, wurde gestern ein erstes, gemeinsames Working-Paper veröffentlicht, dass sich  mit „mit dem Spannungsfeld von IT-Sicherheit und staatlichen Befugnissen des Zugriffs auf Daten von Verdächtigen durch Hacking“ beschäftigt. Angesichts der aktuell durch den Bundestag beschlossenen Ausweitung des Einsatzes von staatlicher Abhörsoftware zum Zweck der Strafverfolgung neuer Kommunikationsdienste  empfehle ich die Lektüre des Working-Papers sehr, dass sich anhand von zwei Fallbeispielen aus Deutschland und den USA mit den Rahmenbedingungen, Grenzen und möglichen Alternativen zu staatlichem Hacking beschäftigt, sowie den damit verbundenen Problemen der Geheimhaltung und Sammlung von Sicherheitslücken für den verdeckten Zugriff auf Smartphones. Das Working-Paper ist hier zu finden.

Update (24.6.2017): Das Thema wurde heute auch im Deutschlandfunk in einem Interview mit Sven Herpig, dem Leiter des transatlantischen Cyberforums eingehend debatiert.

[Kurz notiert] 60 Jahre Göttinger Erklärung

Vor 60 Jahren traten 18 hochrangige Wissenschaftler angesichts der angestrebten Aufrüstung der Bundeswehr mit Atomwaffen öffentlich mit einer Erklärung gegen dieses Vorhaben und für eine ausschließlich friedliche Nutzung der Nuklear-Energie ein. In ihrer Stellungnahme  bekannten sich die Autoren des Textes dabei auch explizit zu der Verantwortung der Wissenschaft, der Notwendigkeit angesichts der militärischen Aufrsütung Stellung zu beziehen und den moralischen und ethischen Grundwertden des  eigenen Handeln als Forscher:

Wir wissen, wie schwer es ist, aus diesen Tatsachen [der nuklearen Aufrüstung Deutschlands] die politischen Konsequenzen zu ziehen. Uns als Nichtpolitikern wird man die Berechtigung dazu abstreiten wollen; unsere Tätigkeit, die der reinen Wissenschaft und ihrer Anwendung gilt und bei der wir viele junge Menschen unserem Gebiet zuführen, belädt uns aber mit einer Verantwortung für die möglichen Folgen dieser Tätigkeit. (Q: Göttinger Erklärung von 1957)

Als Mitarbeiter an einem Friedensforschungsinstitut sehe ich mich in der Tradition und dem Geist dieser Erklärung – und ebenso den Herausforderungen und Fragen die von den Urhebern des Textes vor 60 Jahren gestellt wurden.

Mit Blick auf diese Aspekte möchte ich hiermit auf einen Text im Blog der Vereinigung deutscher Wissenschaftler verweisen, der von Pröf. Götz Neuneck, dem stellvertretenden wissenschaftlicher Direktor und aktuell kommissarischen Leiters des IFSH verfasst wurde es eben jene Frage stellt, was die Göttinger erklären für uns heute bedeutet: „Deshalb können wir nicht zu allen politischen Fragen schweigen“.

Einblicke in die russische (staatliche) Hackerszene

Anfang Juni war beim Berliner Think Tank „Stiftung für neue Verantwortung“ der Moskauer Journalist und Geheimdienst-Experte Andrei Soldatov zu Gast und gewährte – neben vielen weiteren Themen – sehr interessante Einblicke in die russische, mutmaßlich staatlich gelenkte Hacker-Szene. Das ganze, sehr lesenswerte Interview gibt es hier als Transkript.

Die Einsichten und Analysen von Andrei Soldatov sind insbesondere vor dem Hintergrund interessant, dass Russland nach Vorfällen im Cyberspace wie den Attacken auf die ukrainische Stromversorgung, die US-Wahl oder – vor vielen Jahren – auf Estland stets eine staatliche Beteiligung abstritt. Stattdessen spielen im Land patriotische Kräfte scheinbar eine große Rolle, insbesondere vor dem Hintergrund, dass erst mit der auch im russischen Militär der Cyberspace bis vor wenigen Jahren keine besondere Rolle gespielt hat und das Feld vorwiegend dem Inlandsgeheimdienst FSB überlassen wurde. Soldatov unterstreicht diese Aussagen, macht aber auch deutlich, wie fließend die Grenzen zwischen patriotischen zivilen Hackern und staatlicher Lenkung durch Nachrichtendienste sind. Nachfolgend die interessantesten Aussagen von Soldatov im Interview zu diesen Themen.

(mehr …)

[Kurz notiert] Malware von Stuxnet-Qualität für ukrainischen Stromausfall verantwortlich

Das IT-Sicherheitsunternehmen ESET hat heute einen Bericht veröffentlicht, demzufolge eine Cyberattacke mit einer Malware namens Industroyer für den Ausfall ukrainischer Kraftwerke im Jahr 2016 verantwortlich gewesen sein sollen. Das brisante darin ist, dass den Forschern zufolge die verwendete Malware auf einem technischen Niveau von Stuxnet liegen soll, also mutmaßlich auf staatliche Aktivitäten zurückzuführen sein könnte. Wie bei Stuxnet gehen die Analysten davon aus, dass die Angreifer sehr genaue Kenntnisse über die genau verbauten SCADA-Prozeßsteuerungs-Komponenten (Hard- und Software) besaßen und die Malware eine mehrjährige Arbeit erfordert hat. Unklar bleibt in dem Bericht ob auch die ukrainischen Stromausfälle im Jahr 2015 – seinerzeit unter dem Namen BlackEnergy bekannt geworden –  durch die entdeckte Malware verursacht worden sind. Außerdem warnt der Bericht eingehend davor, dass die ausgenutzten SCADA-Lücken ebenso wie bei Stuxnet  nach wie vor in anderen Industriesystemen verfügbar sind und diese entsprechend gefährdet.

Details folgen demnächst, hier der Link zum Bericht (Q: welivesecurity.com / lokale Kopie)

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.