Melani erklärt Ruag-Hack
Die Melde- und Analysestelle Informationssicherung Melani hat einen umfassenden Bericht zum Hacker-Angriff auf Ruag veröffentlicht. Davon sollen andere Unternehmen lernen.
Die Melde- und Analysestelle Informationssicherung Melani hat im Auftrag des Bundesrates einen Bericht zum Ruag-Hack veröffentlicht.
Mit dem Bericht will Melani einige Erkenntnisse veröffentlichen, die anderen Sicherheitsspezialisten und Verantwortlichen weiterhelfen könnten. Die Meldestelle nennt Details zur Schadsoftware und zum vorgehen der Täter.
Malware seit Jahren im Umlauf
Die Angreifer benutzten demnach eine seit mehreren Jahren im Umlauf befindliche Schadsoftware der Turla-Familie. Die im Netzwerk der Ruag beobachtete Variante hat keine Rootkit-Funktionalität und setzt auf Tarnung, um unerkannt zu bleiben, heisst es in dem Bericht.
Die Angreifer hätten viel Geduld bei der Infiltration und dem weiteren Vordringen gezeigt. Sie attackierten nur Opfer, an denen sie Interesse hatten. Sie spähten etwa IP-Lists aus und nutzten Fingerprinting vor und nach der Erstinfiltration. Einmal im Netzwerk infizierten die Angreifer weitere Geräte und erlangten höhere Privilegien im System.
Hauptziel Active Directory
Ein Hauptziel war das Active Directory zur Kontrolle weiterer Geräte und den richtigen Berechtigungen und Gruppenzugehörigkeiten für den Zugriff auf die interessanten Daten. Die Schadsoftware nutzte HTTP für den Datentransfer nach aussen mit mehreren Command- and Control-Server-Reihen.
Die Command- and Control-Server versandten Tasks an die infizierten Geräte. Solche Aufgaben können etwa neue Binär- und Konfigurationsdateien oder sogenannte Batchjobs sein.
Im infiltrierten Netzwerk konnten die Angreifer Datenströme für ihre interne Kommunikation verwenden, die schwer zu entdecken seien. Es kam ein hierarchisches System zum Einsatz, bei dem nicht jedes infizierte Gerät mit den C&C-Servern kommuniziert, wie Melani berichtet.
Einige Systeme seien in sogenannte Kommunikations-, andere Arbeiterdrohnen aufgeteilt gewesen. Letztere kommunizierten nicht mit der Aussenwelt, sondern wurden zum Entwenden und der Weitergabe der Daten an die Kommunikationsdrohnen benutzt. Die erlangten Daten wurden durch die Kommunikationsdrohnen nach aussen transferiert.
Schaden schwer abzuschätzen
Den Schaden abzuschätzen, den die Angreifer angerichtet haben, ist laut Melani schwierig und nicht Teil des Berichts.
Die Meldestelle merkt an: "Wir entdeckten aber interessante Muster in den Proxylogs: Phasen mit sehr geringer Aktivität sowohl bezüglich Anfragen als auch abgeführter Datenmengen abwechselnd mit sehr aktiven Perioden mit vielen Anfragen und grossen Datenmengen."
Fazit von Melani
Der Bericht gibt einige Empfehlungen zu Gegenmassnahmen ab, die Melani als "sehr wirksam gegen diese Art der Bedrohung auf der System-, Active-Directory- und Netzwerkebene erachtet".
Viele der Gegenmassnahmen seien kostengünstig und mit vernünftigem Aufwand implementierbar. "Es ist zwar schwierig, eine Organisation vollständig vor solchen Tätern zu schützen; wir sind aber sicher, dass diese entdeckt werden können, da jeder Fehler macht. Betroffene Organisationen müssen bereit sein die Spuren zu sichten und diese Informationen auszutauschen. Damit bleiben wir den Tätern dicht auf den Fersen", schliessen die Autoren.
Der ausführliche Bericht kann auf der Website von Melani heruntergeladen werden.
Adnovum bekommt neuen Managing Director Financial Services
Cybersicherheit mit Infinigate Cloud
Umfassende Cybersicherheit für OT-Umgebungen
Update: Bundesgericht akzeptiert Swisscom-Beschwerde gegen Weko-Entscheid
Endpoint Detection and Response als Managed Service nutzen
Abacus ernennt Chief Artificial Intelligence Officer
TIM und Veritas: Der ultimative Schutz vor Ransomware-Angriffen für Schweizer Unternehmen
"Wir suchen Partner, die wachsen möchten"
Cisco lanciert KI-gestützte Security-Lösung für Clouds und Rechenzentren
