Roger A. Grimes unterstützt seit fast einem Jahrzehnt Unternehmen bei der Bekämpfung und Verhinderung von Cyberattacken. In dieser Zeit hat er viel erlebt und daher einige interessante Geschichten zu erzählen – inklusive der Lektionen, die er daraus gelernt hat. Wussten Sie etwa, wie Sie sich in einer Bespechung vor Lauschangriffen schützen? Oder welche Tricks Hacker einsetzen, um an Ihren Sicherheitsmaßnahmen vorbeizukommen? Was Grimes "auf die harte Tour" lernen musste, können Sie hier lesen. [...]
Advanced persistent threats (kurz APT) haben in der letzten Zeit viel Aufmerksamkeit erhalten. Sie sind heutzutage wohl die gefürchtetsten und zugleich gefährlichsten Sicherheitsprobleme für Firmen. Eine APT-Attacke wird normalerweise von einer professionellen Vereinigung ausgeführt, die sich in einem anderen Land befindet als ihr Ziel – so wird die Strafverfolgung erschwert. Die Hackervereinigung teilt sich meistens in verschiedene Teams mit unterschiedlichen Schwerpunkten auf. Die einzelnen Teams arbeiten zusammen und versuchen gemeinsam Firmennetze zu infiltrieren und möglichst viele interessante Daten zu erbeuten. Das Hacken anderer Firmen ist ihr Job – und meistens sind sie ziemlich erfolgreich.
Die Meinung von Experten ist, dass Hackerorganisationen bereits in jedes IT-System von relevanten Unternehmen eingedrungen sind. Die Frage ist daher nicht, ob Ihr System kompromittiert wurde, sondern ob Sie es schon bemerkt haben.
Roger A. Grimes unterstützt seit fast einem Jahrzehnt Unternehmen bei der Bekämpfung und Verhinderung von Cyberattacken. In dieser Zeit hat er viel erlebt und daher einige interessante „IT-Kriegsgeschichten“ zu erzählen. Hier sind die interessantesten davon, wie er sie unserer US-Schwester InfoWorld geschildert hat.
GESCHICHTE NR. 1: SIE WERDEN BEOBACHTET
Grimes hat länger als ein Jahr im Auftrag eines multinationalen Unternehmens gearbeitet. Es ist in allen möglichen Bereichen vertreten – von Hightech-Satelliten, über Waffen bis hin zu Kühlschränken ist alles dabei. Aber diese Firma hatte ein Problem – ein Sicherheitsproblem. Als Grimes den Anruf von der Firma bekam, war sie schon von zwei APT-Attacken getroffen worden. Das ist nicht unüblich. Die meisten Firmen merken bei Nachforschungen, dass sie bereits seit Jahren kompromittiert sind. Ein Kunde von Grimes wurde in den letzten acht Jahren von drei verschiedenen Hackerteams gehackt – aber das ist nichts Besonderes.
Zurück zum multinationalen Unternehmen: Die Attacken mussten in den Griff bekommen werden, also wurde die IT-Mannschaft zusammengerufen. Ein großes Team wurde gebildet, alle relevanten Experten waren mit dabei. Es wurde gemeinsam beschlossen, dass die Passwörter erst in vielen Monaten geändert werden sollen.
Sie fragen sich jetzt, warum die Passwörter erst so spät geändert werden sollten? Passwortänderungen hätten zu diesem Zeitpunkt keinen Sinn gehabt, da die Hacker noch im System waren und die Angreifer sofort wieder Zugang gehabt hätten. Man wollte zuerst alle Sicherheitslücken beheben und erst dann die Passwörter ändern. Das ist die beste Verteidigung.
Wie bei den meisten Firmen, wurden alle Beteiligten zur Geheimhaltung verpflichtet. Es wurden Codewörter vereinbart, damit das Team per E-Mail über die geplante Operation reden konnte, ohne dass die Eindringlinge etwas davon mitbekamen.
In diesem Fall wurde der Tag der Passwortänderung auf das jährliche interne Baseballspiel festgelegt. Die Operation hatte also den Namen „Firmen-Baseball-Spiel“. Ab diesem Zeitpunkt wurden die Wörter „APT“ oder „Passwortänderung“ nicht mehr verwendet, alles drehte sich um das Spiel.
Das Firmensystem wurde komplett infiltriert, also wurden – zusätzlich zu den Codewörtern – neue Notebooks und W-LAN Router bestellt. Alle Arbeiten an diesem Projekt wurden nur von der neuen Hardware aus gemacht, damit die Geheimhaltung gewährleistet blieb.
Ein großer Punkt auf der Liste war die Anzahl an Mitarbeitern die einen Domain Administrator Account hatten. Es gab mehr als 1.000 Accounts – das war viel zu viel. Es war schwer herauszufinden, welche Domain Administrator Accounts wirklich gebraucht werden und welche deaktiviert werden können. Es wurde deshalb beschlossen, am Tag des Baseballspiels alle zu deaktivieren. Die Mitarbeiter, die wirklich einen Administrator-Zugang benötigten, mussten diesen neu beantragen. Dazu wurde auf einem neuen Notebook ein Entwurf des Antragsformulars erstellt. Das Formular sollte dann einen Tag vor dem großen Baseballspiel verschickt werden, sodass jeder rechtzeitig die Möglichkeit hat, einen neuen Zugang zu beantragen.
Als Grimes am nächsten Morgen um etwa 7.30 Uhr den Konferenzraum betrat, war der Projektmanager schon da. „Er schaute mich an – seine Augen waren für diese frühe Uhrzeit etwas größer als sonst – sagte, ‚hier sind unsere ersten beiden Domain-Admin-Anfragen‘ und drehte die Formulare zu mir“, erzählt Grimes.
Dabei waren die Formulare zu diesem Zeitpunkt erst in der Entwurfsphase und sollten ein paar Monate später versendet werden! Aber es waren tatsächlich zwei ausgefüllte Formulare. Die Formulare hatten einige kleine, aber deutlich merkbare, Fehler, so Grimes. Es war also klar, dass es sich nicht um den Original-Entwurf handelte. Beide Anträge wurden von Teammitgliedern ausgefüllt, die zu einer Tochtergesellschaft gehörten und momentan einen administrativen Zugang hatten. Der Grund der Beantragung? Weil der aktuelle Account zum Baseballspiel deaktiviert werden würde.
„Ich konnte es nicht glauben, ich hielt zwei Anträge in der Hand die nicht existieren sollten. Der Entwurf befand sich nur auf einem neuen Notebook, das über ein sicheres Netzwerk verbunden war. Unser geheimes Projekt war gestorben. Die anderen Teammitglieder waren ebenso erstaunt von den Neuigkeiten wie ich“, so Grimes.
Nach intensiver Nachforschungen hat das IT-Team herausgefunden, dass die Hacker durch einen Insider alle Konferenzräume infiltriert hatten. Die Projektoren und Videokonferenzsysteme wurden überwacht. Die Angreifer haben allerdings aufgrund schlechter Sprachkenntnisse nicht verstanden, dass dieser Antrag nur ein Entwurf war und erst viele Monate später versendet werden sollte.
Lektion: Falls Ihre Konferenz-Hardware im Netzwerk eingebunden ist und die Möglichkeit bieten Sprache und/oder Video aufzunehmen, müssen Sie diese Geräte vor dem Meeting abschalten.
Be the first to comment