4. Attribution
4.1 Einführung
Attribution bezeichnet die Zuordnung einer Cyberattacke zu einem bestimmten Angreifer bzw. Angreifergruppe im ersten Schritt und die Aufdeckung der tatsächlichen Identität des Angreifers in einem zweiten Schritt. Während sich die Methodik der Zuordnung einer Cyberattacke zu bestimmten Angreifern in den letzten Jahren deutlich weiterentwickelt hat, erlauben Digitaltechnologien oft nicht den eindeutigen Nachweis der tatsächlichen Identität des Angreifers.
Die Situation sieht anders aus, wenn die Attribution als cyber-physischer Prozess gehandhabt wird, d.h. als Kombination aus digitaler Forensik und Beweisführung in der physischen Welt. Bits und Bytes sind nämlich nicht wirklich virtuell, sondern nach wie vor an eine physische Infrastruktur in der realen Welt gebunden, was verschiedene Möglichkeiten zur Erkennung von Gegnern bietet. Lücken in der Beweisführung können auch mit Mitteln der Human Intelligence (HumInt) geschlossen werden.
4.2 Attribution von Cyberangriffen
Theoretisch kann ein Hacker einen einzigen Angriff von „irgendwo“ starten und es mag unmöglich sein, diesen zurückzuverfolgen. Auf der anderen Seite ist die Erfolgsquote dieses Ansatzes recht niedrig.
Angreifer, die einen bedeutenden Erfolg erzielen wollen, greifen typischerweise in einem größeren Maßstab an, d.h. als Gruppen, mit anspruchsvoller Malware und agieren manchmal über Jahre. Je länger und je intensiver der Angriff ist, desto höher ist das Risiko für Erkennung und Attribution.
Der Datenverkehr des Computers erfolgt über sogenannte Ports. Ein Supervisor (IT-Administrator) kann die Ports und den Datenverkehr mit handelsüblichen Tools überprüfen. Diese Tools zeigen auch, an welche IP-Adresse die Daten gehen oder gegangen sind. Nun gibt es spezialisierte Suchmaschinen, die automatisch überprüfen, was hinter einer IP-Adresse steht. Ein Beispiel für solche Maschinen ist Robtex.com. Die Anbieter dieses Dienstes erklären auf ihrer Website, dass dieses Tool „nicht nur“ von der National Security Agency NSA verwendet wird, was darauf hinweist, dass diese Dienste auch als Intelligence-Tools dienen.
Durch die Eingabe der IP-Adresse in die Suchmaske zeigt Robtex Datenströme mit anderen IP-Adressen sowie den Weg zum autonomen System AS oder dem Internet Service Provider ISP. Robtex kombiniert IP-Adressen und Domains sowie alle existierenden Subdomains. Außerdem zeigt es die Mail-Server im Zusammenhang mit dem Domain-Namen. Dies ist aus folgenden Gründen wichtig:
- Angreifer behalten oft eine gewisse Angriffsstruktur bei, denn wie jedes Konstrukt hat eine Angriffsumgebung sowohl Aufbau- als auch Ausstiegskosten. Infolgedessen werden Mailadressen, Domainnamen, Server und IP-Adressen zumindest teilweise von einem Angriff zum nächsten recycelt. Diese Überlappungen erlauben die forensische Verknüpfung von Angriffen.
- Angreifer benötigen Computer als Verteiler (distribution hubs) für ihre Malware, was zur Verwendung mehrerer Domainnamen führt. Jeder bekannte Domain-Name kann den Weg zurück zur IP-Adresse geben und gleichzeitig zum Besitzer des Computers verweisen, wie unten gezeigt.
Es ist zu beachten, dass AS-Computer mit dem IANA-System nummeriert sind und jeder AS-Computer registriert ist. AS-Computer und die registrierten Personen/Organisationen können mit weiteren kostenlosen Tools wie Ultratools und vielen anderen Maschinen leicht abgefragt werden.
Für Domains und IP-Adressen existiert eine so genannte WHOIS-Registrierung, die oftmals mit kostenlosen Suchmaschinen verfügbar ist. Die Registrierungsangaben zeigen Firmennamen, Adressen, Telefonnummern und E-Mail-Adressen an. Dadurch wird der Schritt von der digitalen Welt zur physischen Welt gemacht, von Daten zu Personen und Organisationen. Damit kann der Forscher Einblick in das „digitale Ökosystem“ von Servern, Adressen, Registrierungen, Domains etc. der Angreiferidentität erhalten.
Auch gefälschte Registrierungsinformationen werden in Wirklichkeit oft wiederverwendet und ermöglichen es, Verbindungen zwischen bestimmten Angriffen herzuleiten. Überraschenderweise führt die Eingabe der Daten in Google oder jede andere Suchmaschine oft zu weiteren Erkenntnissen, die massiv die Chance erhöhen, Informationen zu finden, die sich auf eine Person mit einer realen Identität beziehen.
Weiterhin reservieren größere Organisationen IP-Blöcke, z.B. Pakete mit aufeinander folgenden IP-Nummern. Wenn eine vermutete IP-Adresse Teil eines solchen Blocks ist, kann dies helfen, auch alle anderen IP-Adressen in Domain-Suchmaschinen etc. zu überprüfen.
Der Sicherheitsforscher Krebs wurde über eine IP-Adresse der Carbanak-Gruppe informiert, die 1 Milliarde US-Dollar durch Intrusion von Bankensystemen erbeutet hatte. Seine Analyse der IP-Adress-Registrierung zeigte, dass der Firmenname auch für vergangene Cyber-Angriffe mit zwei anderen Arten von Malware verwendet wurde. Die E-Mail-Adresse führte ihn zu weiteren IP-Adressen der Carbanak-Gruppe. Die Telefonnummer erlaubte es Krebs, eine Person mit potenziellen Beziehungen zur Carbanak-Gruppe zu identifizieren; er war sogar in der Lage, diese Person zu kontaktieren.
Spezialisierte Angreifer haben schon darauf reagiert. Eine Strategie ist, IP-Adressen und Server schnell mit der sogenannten Fast-Flux-Technologie abzuwechseln. Auch das Herunterfahren bestimmter Server kann dann den Angreifer nicht stoppen. Eine Gegenstrategie ist jedoch die Verwendung von Sinkhole-Servern.
Wenn jemand eine Domain wie www.example.com in den Browser eingibt, muss der Computer die IP-Adresse des Ziels kennen. So genannte Domain Name Server (DNS Server) helfen dem Computer, die IP-Adresse zu finden.
Sinkhole-Server geben jetzt absichtlich falsche Hinweise (z. B. indem sie angeben, dass www.example.com die IP-Adresse 4.5.6.7 hat, während die wahre Adresse 1.2.3.4 ist) und damit den Datenverkehr von dem „echten“ Computer wegleiten.
Der Sinkhole-Server kann die fehlgeleiteten Daten erfassen und analysieren. Da bei größeren Angriffen die Kommunikation für eine Weile im Gange ist, können sowohl Daten des Angreifers als auch die des Opfercomputers gesammelt werden, was hilft, die Probleme durch die sich ändernden IP-Adressen zu überwinden. Sinkholing wurde z.B. von der russischen Sicherheitsfirma Kaspersky gegen die vermutlich US-amerikanische Equation Group eingesetzt, die ihrerseits Kaspersky mit der anspruchsvollen Spionage-Malware Duqu 2.0 infiziert hat.
Eine weitere Strategie ist die Verwendung von Domains mit schwer nachverfolgbarer Registrierung, die 2017 von der Sicherheitsfirma Kaspersky Labs für vermutete „Überlebende“ der Carbanak-Gruppe gemeldet wurde. Einige Länder erlauben den freien Verkauf von Domains mit ihrer Länderkennung wie Gabun (.ga) durch Anbieter wie Freenom. Jedoch hat jeder Provider das Risiko, von der nationalen oder ausländischen Polizei oder Nachrichtendiensten angegangen zu werden, um Zugang zu ihren Daten zu erhalten. Es gibt eine enorme weltweite Variabilität der Cybersicherheitsgesetze und Strafverfolgungsverfahren, und es gibt u.a. eine nie endende öffentliche Debatte und von Gerichtsverfahren in den USA, wer unter welchen Umständen befugt ist, Informationen über User von Privatunternehmen zu erfragen.
Der Dienst der Europäischen Kommission European Commission Service hat im Dezember 2016 einen Überblick über die aktuelle Rechtslage in den EU-Mitgliedstaaten veröffentlicht. Die Umfrage zeigte ein enormes Spektrum der Rechtsauffassungen, z.B. ob ein Anbieter mitwirken kann oder kooperieren muss, welches Ausmaß an Informationen angefordert wird, welche Arten von Strafverfolgungsmaßnamen verwendet werden (bis hin zum Fernzugriff auf Anbieter) und ob die Zusammenarbeit zwischen den Behörden praktiziert wird oder nicht.
Allerdings arbeitet die EU auf einen gemeinsamen Rechtsrahmen mit einem gemeinsamen Rechtsverfahren hin, der Europäischen Ermittlungsanordnung European Investigation Order EIO und die Europäische Union sieht Cybersicherheitsfragen als dringende politische Angelegenheit an.
Smart-Geräte haben eigene IP-Adressen. Die Analyse von Vorfällen mit intelligenten Geräten im Internet der Dinge (IoT) ermöglicht die Identifizierung des Herstellers und der beteiligten Produkte.
4.3 Hacker
Die Cyberwelt kann in mehrere Akteursgruppen unterschieden werden:
- Der Staat mit Zivilbehörden, Militär- und Zivilgeheimdiensten. Hacker können für diese Organisationen arbeiten, in einigen Staaten auch in staatlich verknüpften Hackergruppen.
- Cyber-Sicherheitsfirmen, die an der Erkennung, Attribution und Verteidigung beteiligt sind, aber auch am Bau von Cyberwaffen und Spionagewerkzeugen. Hacker können auch als Penetrationstester fungieren, um Sicherheitsmaßnahmen einer bestimmten Einheit zu überprüfen.
- Im wissenschaftlichen und privatwirtschaftlichen Bereich können Hacker als White Hat Hacker arbeiten, um Sicherheitslücken zu finden und zu schließen, aber auch als Black Hat Hacker für kriminelle Zwecke oder zur Industriespionage der Industrie.
- Hacktivisten nutzen ihre Fähigkeiten für politische Aktivitäten.
Die oben genannten Sphären sind nicht vollständig getrennt. In Wirklichkeit kann ein begabter Hacker während eines Hacking-Contests prämiert werden, der dann vom Staat angestellt wird, um später irgendwann in den privaten Sicherheitsbereich zu wechseln.
Während das ursprüngliche Image der Hacker mehr anarchisch war, sind mittlerweile Staaten intensiv und routinemäßig auf der Suche nach erfahrenen Hackern, um sie zu anzuwerben. IT-Summer Camps, Hackerwettbewerbe, Hackathons (Hacker-Marathons, wo ein bestimmtes Problem gelöst werden muss) sind typische Aktivitäten. Die Suche nach Hackern ist aber nur ein kleiner Teil der Suche nach qualifizierten IT-Mitarbeitern im Allgemeinen: Qualifizierte IT-Studierende können auch direkt von Staaten und Sicherheitsfirmen kontaktiert werden.
Auch die Rekrutierungsmethoden seitens der Nachrichtendienste und des Militärs haben sich deutlich weiterentwickelt. Studien zeigen, dass Hacker trotz der ursprünglichen Distanz unter Umständen für den Staat zu arbeiten bereit sein können. Im Ergebnis konnten die Rekrutierungsmethoden in der Cybersicherheit inzwischen einfacher gestaltet werden.
Der typische Hacker ist ein jüngerer Mann, der – wenn er in größere Cyber-Attacken involviert ist – dies als regelmäßigen Job macht. Die Dominanz der jüngeren Männer im Hacking spiegelt die Dominanz der jüngeren Männer im IT-Bereich im Allgemeinen wider. Dies wird mittlerweile als ein Problem gesehen, da dies die unzureichende Ressourcennutzung von Frauen im IT-Bereich anzeigt. Der britische Cyber-Nachrichtendienst Government Communication Headquarter GCHQ ist nun systematisch auf der Suche nach qualifizierten Frauen durch die Initiierung der CyberFirst Girls Competition für 13 bis 15 Jahre alte Mädchen mit Tests in Kryptologie, Logik und Codierung. Ende Februar 2017 starteten 600 Teams den Wettbewerb. Derzeit sind nur 37% der 12.000 Mitarbeiter im britischen Geheimdienstsektor Frauen.
Der typische Hacker ist kein Einzelkämpfer, sondern interagiert mit Freunden und anderen Hackern, um Werkzeuge und Erfahrungen auszutauschen, Einblicke und Neuigkeiten aus der Szene zu bekommen usw. Dies geschieht mit Decknamen in Hackerforen, auf dem Schwarzmarkt und im Darknet. Diese drei Bereiche überlappen sich gegenseitig. Manchmal gibt es auch defacement websites, wo Hacker Screenshots der gehackten und beschädigten (verunstalteten) Webseiten als eine Art Trophäe posten.
Dies öffnet den Weg zur Attribution: Decknamen können in mehreren Angriffen erscheinen, auch die verwendeten E-Mail-Adressen. Wenn ein einzelner Hacker einen Angriff öffentlich für sich beansprucht, steigt das Risiko, gefasst zu werden, wie z.B. der Hacker mit dem Decknamen Anna Sempai, der an den Mirai-Botnet-Attacken beteiligt war und der wahrscheinlich schon identifiziert wurde.
Wieder kann es hilfreich sein, den Decknamen eines Hackers in eine Suchmaschine einzugeben, um weitere Hinweise zu erhalten. Die Praxis zeigt, dass Hacker manchmal mehrere Decknamen verwenden, aber nicht zu viele, denn sonst verlieren sie ihr „Profil“ in der Insider-Szene.
Reales Praxisbeispiel: In der Winnti 2.0-Attacke trug eine Bot-Kommunikation via Twitter als Header den Decknamen eines der Hacker, der sich dann auch in Hacker-Foren finden ließ. Dort hatte er E-Mail-Kommunikation mit einem Freund, der eine reguläre Social-Media-Website mit allen Kontaktdaten hatte. Auch eine Abkürzung im Malware-Programm führte zu weiteren Treffern in Suchmaschinen und führte zu einem Hacker-Team, von dort wiederum zu einer Mail-Adresse, die dann wieder zu einer jungen männlichen Person führte.
Das Darknet wurde in den Medien 2016 und 2017 als großes Problem thematisiert. Das TOR-System (abgeleitet von The Onion Router) gilt in den Medien als Rückgrat des Darknets, weil es die Aufteilung von Datenpaketen über mehrere Strecken und damit einen hohen Grad an Anonymität im Netz ermöglicht.
Allerdings gerät TOR zunehmend unter Druck. Eine neuere Arbeit des Naval Research Laboratory, das das TOR-System ursprünglich erfunden hat, zeigt, dass die Übernahme eines autonomen Systems oder eines IXP-Knotencomputers (siehe oben) durch einen Gegner genügend Informationen zur Erfassung eines Nutzers innerhalb von Wochen oder manchmal sogar innerhalb von Tagen bereitstellen würde. Während dieses Erkennungsverfahren nur als statistische Modellierung präsentiert wurde, zeigt die Arbeit, dass das TOR-System wohl nicht auf Dauer eine Barriere gegen Erkennung und Attribution bleiben wird.
TOR ist besonders anfällig, wenn der Exit-Knotenserver von einem Gegner kontrolliert wird und es können auch bestimmte Daten während der Datenübertragung über das TOR-Netzwerk extrahiert werden, da theoretisch jedermann einen TOR-Server einrichten kann.
In Bezug auf das Darknet sollte man bedenken, dass die Akteure auch Undercover-Ermittler sein können. Da mittlerweile viele Behörden verdeckte Agenten für mannigfaltige Ermittlungen im Darknet einsetzen, besteht ein zunehmendes Interferenzrisiko oder eine unbeabsichtigte Wechselwirkung zwischen ihnen, z.B. sie arbeiten dann unabsichtlich gegeneinander anstatt ihre Gegner zu untersuchen.
Schätzungen zeigen, dass das Darknet Mitte 2017 aus ca. 5200 Webseiten besteht, von denen 2700 aktiv sind und die Hälfte illegale Inhalte haben. Es ist zu beachten, dass das Darknet faktisch der (weitgehend) anonyme Bereich des Internets ist, was nicht mit dem weitaus größeren tiefen Internet (Deep Web) zu verwechseln ist, was jene Webseiten umfasst, die von Suchmaschinen normalerweise nicht erfasst werden.
Im Juli 2017 wurden zwei der größten Darknet-Plattformen für illegalen Drogen- und Waffenhandel AlphaBay und Hansa in enger Zusammenarbeit des FBI, der Drug Enforcement Agency (DEA) und der niederländischen Polizei mit Unterstützung von Europol geschlossen.
Alphabay war die größte Plattform mit 200.000 Nutzern und 40.000 Anbietern und einem Umsatz von 1 Milliarde Dollar seit 2014. Im Juli 2017 wurden im Zuge der Operation Bayonet des FBI und der DEA die Server sichergestellt und die zentrale Person von Alphabay verhaftet, ein in Thailand lebender Kanadier.
Die Plattform Hansa wurde mit Hilfe des Cybercrimecenters E3C am 20 Juni 2017 sichergestellt, jedoch noch einen Monat undercover weiter betrieben, um die von Alphabay wechselnden Nutzer einfangen zu können.
Im Messenger-Dienst Telegram finden sich Angebote von 1000 Dollar im Tag für Angestellte von Moneygram oder Western Union für eine Zusammenarbeit mit Hackern. Generell findet 2018 eine Abwanderung vom Darknet in verschlüsselte Messengersysteme mit Apps und Plattformen wie Amir Hack und Dark Job statt, die Ermittlungsbehörden begannen bereits mit der Infiltration.
4.4 Attribution im Cyberwar
Die Zuordnung im Cyberkrieg ist aus theoretischer und rechtlicher Perspektive das wichtigste Attributionsproblem, da die Frage „Wer war es?“ zur Vergeltung oder gar Krieg führen kann, wenn ein bestimmtes Schadensausmaß überschritten wird. Allerdings ist die praktische Relevanz der Sache fraglich, da es ein Attributions-Paradoxon gibt.
Die US- und chinesischen Cyberwar-Konzepte zeigen deutlich, dass ein konventioneller Schlag gleichzeitig oder sehr kurz nach dem Cyber-Angriff durchgeführt werden muss, wenn die militärische Aktion erfolgreich sein soll. Dies bedeutet, dass die Zuordnung des Cyber-Angriffs innerhalb von Minuten möglich ist, weil der Zielstaat gleichzeitig dem feindlichen Feuer ausgesetzt sein wird, d.h. der Angreifer identifiziert sich selbst.
Reales Praxisbeispiel: Bei dem Angriff auf eine mutmaßliche Atomanlage in Ostsyrien am 06.09.2007 mussten israelische Flugzeuge den gesamten syrischen Luftraum durchfliegen. Um dies zu ermöglichen, hatten die Israelis den Computern der syrischen Luftabwehr einen leeren Himmel vorgegaukelt, so dass die Flugzeuge unbehelligt einfliegen und angreifen konnten. Dies ist ein klassisches Beispiel für die Idee des Cyberwars als operativer Ergänzung zu konventionellen Maßnahmen.
Wenn ein massiver Cyber-Angriff ohne einen konventionellen Schlag durchgeführt wird, hat der Zielstaat Zeit, die Systeme zuerst wiederherzustellen und die Attribution in der Zwischenzeit zu beginnen, die mit aggressivem Gebrauch von nachrichtendienstlichen Methoden weniger Zeit in Anspruch nehmen kann, als die Angreifer erwarten.
Auf der anderen Seite ergibt sich eine Art reverse attribution, d.h., von der physischen zur digitalen Welt. In der Ära der Spionage-Satelliten wird die Vorbereitung eines großen Militärschlags nicht unentdeckt bleiben und er kommt typischerweise nach massiven politischen Spannungen, d.h. es gibt klare Warnzeichen in der physischen Welt für Angriffe in der digitalen Welt.
Klaus Saalbach; 2020
https://nbn-resolving.org/urn:nbn:de:gbv:700-202009303598
https://creativecommons.org/licenses/by/3.0/de/
Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt.