Im zweiten Beitrag dieser Reihe geht es um die wichtigsten Motivationen der Angreifer: Cyberspionage, Cyberkriminalität und Hacktivismus. [...]
CYBERSPIONAGE
Cyberspionage umfasst die geduldige, dauerhafte und oft kreative Ausbeutung von Computernetzwerken (Computer Network Exploitation, CNE), um strategische wirtschaftliche, politische und/oder militärische Vorteile zu erzielen. Das Konzept der Advanced Persistent Threats (APTs) findet sich hier oft wieder.
Die Akteure, die im Rahmen dieser Motivation aktiv sind, sind die digitalen Äquivalente der oft verklärten Spione, die in Ländern und Organisationen von Interesse ihre Arbeit verrichten. Cyberspionage richtet sich zum einen gegen Nationalstaaten, finanziert von der Regierung und/oder dem Militär, um nachrichtendienstliche Aufgaben zu erfüllen. Zum anderen zielt Cyberspionage auf Unternehmen, um sich – auf unfaire Weise – einen Wettbewerbsvorteil in einer Branche zu verschaffen.
Von den gesammelten Daten können die Akteure auf verschiedene Weise profitieren: Sie erhalten einen Einblick in vertrauliche, geschäftskritische Informationen von Wettbewerbern. Durch Industriespionage können sich die Auftraggeber unfaire Wettbewerbsvorteile verschaffen zugunsten ihrer Positionierung am Markt. Hierbei handelt es sich um Diebstahl des intellektuellen Kapitals, mit dem Ziel, Forschungs- und Entwicklungskosten zu vermeiden oder gezielt Gegenstrategien zur nun bekannten Produkt-Roadmap des Wettbewerbers aufzubauen. Der Zugriff auf vertrauliche Insiderinformationen kann politische und geschäftliche Verhandlungen beeinflussen. Die Operationen können auch dazu dienen, Plattformen, Geschäftseinheiten und/oder Personen zu identifizieren, gegen die anschließend progressive Angriffskampagnen gestartet werden.
Zwar gibt es erhebliche Überschneidungen bei TTPs (Taktiken, Techniken und Prozeduren) und Tools, aber CNE-Operationen im Rahmen von nationalstaatlicher Spionage und Unternehmensspionage unterscheiden sich in ihrer Ausrichtung, Skalierung und im Nutzenpotenzial. Nationalstaatlich gesponserte CNE-Aktivitäten können globale Kampagnen sein, die sich auf mehrere Branchen hinweg, über mehrere Jahrzehnte hinweg erstrecken. Diese können eine Reihe von längerfristigen Auswirkungen haben, wobei die Schäden oft nicht zu quantifizieren sind. Die meisten Firmen-gesponserten CNE-Aktivitäten haben kurzfristigere Ziele. Der Schaden ist in der Regel einfacher zu quantifizieren.
Hinter den meisten APTs stehen ausreichende Ressourcen (Finanzierung, Beteiligte), eine etablierte Infrastruktur (gekauft oder kompromittiert) und eine mäßige bis hohe Komplexität, um die Angriffe zu verschleiern. Der Begriff APT ist ein wenig irreführend, da die meisten Angreifer keine „advanced“, also fortschrittlichen Fähigkeiten einbringen. Stattdessen verfügen sie oft nur über ausreichende Ressourcen, um ihre Ziele zu erreichen. In den meisten Angriffen kommt eine Kombination von Social Engineering und cleverer Lieferung von einfachen böswilligen Nutzlasten zum Einsatz. Zero-Day-Exploits und fortschrittliche Angriffs-Tools werden in der Regel in Reserve gehalten, um ihre Exposition und potenzielle Erkennung zu minimieren. Sie werden nur ins Spiel gebracht für hochwertige strategische oder taktische Ziele.
Aktuelle Beispiele von Cyberspionageaktivitäten sind die Operation Lotos Blossom (Lotusblüte), Hackerangriffe durch die APT-Gruppe UPS gegen die US-Regierung und die Verbreitung der Gh0st-Malware in der „Musical Chairs“-Kampagne.
Be the first to comment