Wie die Ruag-Hacker vorgegangen sind

Welche Software benutzten die Ruag-Hacker? Wie wurde der Angriff entdeckt? Der Bundesrat hat den technischen Bericht veröffentlicht.

» Von Fabian Vogt , 23.05.2016 13:46.

weitere Artikel

Der Cyberspionagefall bei Ruag hat hohe Wellen geschlagen. Kein Wunder. Wenn der Rüstungskonzern des Bundes infiltriert wird, sind die geklauten Daten mit Sicherheit von grösserer nationaler Bedeutung als wenn der Metzger nebenan ausspioniert wird. Gremien befassen sich mit dem «Fall Ruag» und die CVP fordert eine Debatte.

Proaktiv hat nun der Bundesrat beschlossen, den technischen Bericht zum Ruag-Angriff zu veröffentlichen. In diesem steht, wie die Angreifer vorgegangen sind. Wer die Angreifer waren oder welche Art von Daten entwendet wurden, ist allerdings weiterhin unklar. Durch den Bericht sollen andere Organisationen ihre Netzwerke gegen ähnliche Infizierungen im Sinne der Eigenverantwortung prüfen können. 

23 GB Daten entwendet

Im Bericht schreibt die Melde- und Analysestelle Informationssicherung Melani, dass die Hacker rund 23 GB Daten entwenden konnten. Dies mit einem Programm der Turla-Familie, auch als Uroburos bekannt, eine seit Jahren im Umlauf befindliche Schadsoftware. Die im Netzwerk der Ruag beobachtete Variante habe keine RootkitFunktionalität und setze auf Tarnung.

Die Angreifer hätten bei der Infiltration und dem weiteren Vordringen viel Geduld gezeigt. Sie griffen nur Opfer an, an denen sie Interesse hatten, mit verschiedenen Massnahmen wie das Ausspähen von IP-Lists und extensivem Fingerprinting vor und nach der Erstinfiltration. Einmal im Netzwerk drangen sie seitwärts vor, indem sie weitere Geräte infizierten und höhere Privilegien erlangt

C&C-Server erstellten Tasks

Wie Ruag bereits kommunizierte, war eines der Hauptangriffsziele das Active Directory zur Kontrolle weiterer Geräte und den richtigen Berechtigungen und Gruppenzugehörigkeiten für den Zugriff auf die interessanten Daten. Die Schadsoftware nutzte HTTP für den Datentransfer nach aussen mit mehreren C&C-Server-Reihen. Die C&C-Server erstellten Tasks an die infizierten Geräte. Solche Tasks können beispielsweise neue Binär- und Konfigurationsdateien oder Batchjobs sein. Im infiltrierten Netzwerk konnten die Angreifer benannte Pipes für ihre interne Kommunikation verwenden, die schwer zu entdecken sind. Es kam ein hierarchisches System zum Einsatz, bei dem nicht jedes infizierte Gerät mit den C&C-Servern kommuniziert, schreibt Melani. Einige Systeme waren sogenannte Kommunikationsdrohnen, andere Arbeiterdrohnen. Letztere kommunizierten nicht mit der Aussenwelt, sondern wurden zum Entwenden und der Weitergabe der Daten an die Kommunikationsdrohnen benutzt. Die erlangten Daten wurden durch die Kommunikationsdrohnen nach aussen transferiert.

Melani schreibt, den Schaden nur schwer abschätzen zu können, was aber auch nicht Bestandteil des Berichts gewesen sei. Dafür hätten sie interessante Muster in den Proxylogs entdeckt: Phasen mit sehr geringer Aktivität sowohl bezüglich Anfragen als auch abgeführter Datenmengen abwechselnd mit sehr aktiven Perioden mit vielen Anfragen und grossen Datenmengen.

Applocker & Logfiles

Um sich vor ähnlichen Attacken zu schützen, rät Melani unter anderem zur Benutzung von Applocker und einer verstärkten Überwachung der Active Directory. Um solche Angriffe im Nachhinein analysieren zu können, sei entscheidend, Log Files zu führen. Und zwar längere, mit Archiven von mehr als zwei Jahren. Wichtig sei zudem auch, Management- von Netzwerktraffic zu trennen. Systemmanagement sollte via «Jumpshots» von separaten Netzwerken aus gemacht werden.

Einige weitere Präventionshilfen nennt Melani im 32-seitigen technischen Bericht (Englisch). Wichtig ist der Behörde anzumerken, dass viele Gegenmassnahmen nicht kostenintensiv sind und mit vernünftigem Aufwand implementiert werden können. Es sei zwar schwierig, eine Organisation vollständig vor solchen Tätern zu schützen. Bei Melani ist man überzeugt, dass diese entdeckt werden können, da jeder Fehler mache. Betroffene Organisationen müssen dazu bereit sein, die Spuren zu sichten und diese Informationen auszutauschen. Dann bliebe man den Tätern dicht auf den Fersen.

Werbung

KOMMENTARE

Beat Seiler: 27-05-16 08:39

Der Bericht von Melani zeigt, dass RUAG insbesondere die Empfehlungen des BSI gar nicht einhält.
Das BSI Deutschland empfiehlt für Rüstungsbetriebe und Firmen mit vertraulichen Informationen keine Microsoft Windows Systeme, keine Java Scripts, kein Flash, da diese über Jahre zu viele bekannte teils vorsätzliche Sicherheitslücken aufweisen. FireWalls sollten von mehreren Herstellern in Serie und ergänzt mit IPS eingesetzt werden. Weiter sollte vollumfänglich nur auf abhörsicheren und somit verschlüsselten Kanälen kommuniziert werden. Wichtige Daten sollten immer verschlüsselt gespeichert werden. Das gilt besonders für Telefonie, E-Mail und File Transfer. RUAG hat noch Nachholbedarf und ist nicht mehr zeitgemäss.

maurizio omissoni: 24-05-16 09:58

Active Directory? d.h. Microsoft. Toll, ist doch jedem Kind bekannt, dass diese Backdoors der NSA/CIA/FBI/KKK und Konsorten implementiert haben. MS wurde dazu gezwungen was Apple nicht mitmacht.
Ich kann nur sagen... selber Schuld. In den Entscheidungsgremien befinden sich unverantwortlich Leute die kein profundes IT Wissen besitzen. Weil sie die Maus bewegen können glauben sie schon Häcker zu sein.
Ein Bravo auch an BR Ueli Maurer, er will tatsächlich 15'000 BundesPCs auf Win10 umstellen. Ueli, gehen sie bitte lieber Kühe melken...

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.