Wie die Ruag-Hacker vorgegangen sind

Der Cyberspionagefall bei Ruag hat hohe Wellen geschlagen. Kein Wunder. Wenn der Rüstungskonzern des Bundes infiltriert wird, sind die geklauten Daten mit Sicherheit von grösserer nationaler Bedeutung als wenn der Metzger nebenan ausspioniert wird. Gremien befassen sich mit dem «Fall Ruag» und die CVP fordert eine Debatte.

Proaktiv hat nun der Bundesrat beschlossen, den technischen Bericht zum Ruag-Angriff zu veröffentlichen. In diesem steht, wie die Angreifer vorgegangen sind. Wer die Angreifer waren oder welche Art von Daten entwendet wurden, ist allerdings weiterhin unklar. Durch den Bericht sollen andere Organisationen ihre Netzwerke gegen ähnliche Infizierungen im Sinne der Eigenverantwortung prüfen können. 

Im Bericht schreibt die Melde- und Analysestelle Informationssicherung Melani, dass die Hacker rund 23 GB Daten entwenden konnten. Dies mit einem Programm der Turla-Familie, auch als Uroburos bekannt, eine seit Jahren im Umlauf befindliche Schadsoftware. Die im Netzwerk der Ruag beobachtete Variante habe keine RootkitFunktionalität und setze auf Tarnung.

Die Angreifer hätten bei der Infiltration und dem weiteren Vordringen viel Geduld gezeigt. Sie griffen nur Opfer an, an denen sie Interesse hatten, mit verschiedenen Massnahmen wie das Ausspähen von IP-Lists und extensivem Fingerprinting vor und nach der Erstinfiltration. Einmal im Netzwerk drangen sie seitwärts vor, indem sie weitere Geräte infizierten und höhere Privilegien erlangt.

Wie Ruag bereits kommunizierte, war eines der Hauptangriffsziele das Active Directory zur Kontrolle weiterer Geräte und den richtigen Berechtigungen und Gruppenzugehörigkeiten für den Zugriff auf die interessanten Daten. Die Schadsoftware nutzte HTTP für den Datentransfer nach aussen mit mehreren C&C-Server-Reihen. Die C&C-Server erstellten Tasks an die infizierten Geräte. Solche Tasks können beispielsweise neue Binär- und Konfigurationsdateien oder Batchjobs sein. Im infiltrierten Netzwerk konnten die Angreifer benannte Pipes für ihre interne Kommunikation verwenden, die schwer zu entdecken sind. Es kam ein hierarchisches System zum Einsatz, bei dem nicht jedes infizierte Gerät mit den C&C-Servern kommuniziert, schreibt Melani. Einige Systeme waren sogenannte Kommunikationsdrohnen, andere Arbeiterdrohnen. Letztere kommunizierten nicht mit der Aussenwelt, sondern wurden zum Entwenden und der Weitergabe der Daten an die Kommunikationsdrohnen benutzt. Die erlangten Daten wurden durch die Kommunikationsdrohnen nach aussen transferiert.

Melani schreibt, den Schaden nur schwer abschätzen zu können, was aber auch nicht Bestandteil des Berichts gewesen sei. Dafür hätten sie interessante Muster in den Proxylogs entdeckt: Phasen mit sehr geringer Aktivität sowohl bezüglich Anfragen als auch abgeführter Datenmengen abwechselnd mit sehr aktiven Perioden mit vielen Anfragen und grossen Datenmengen.

Um sich vor ähnlichen Attacken zu schützen, rät Melani unter anderem zur Benutzung von Applocker und einer verstärkten Überwachung der Active Directory. Um solche Angriffe im Nachhinein analysieren zu können, sei entscheidend, Log Files zu führen. Und zwar längere, mit Archiven von mehr als zwei Jahren. Wichtig sei zudem auch, Management- von Netzwerktraffic zu trennen. Systemmanagement sollte via «Jumpshots» von separaten Netzwerken aus gemacht werden.

Einige weitere Präventionshilfen nennt Melani im 32-seitigen technischen Bericht (Englisch). Wichtig ist der Behörde anzumerken, dass viele Gegenmassnahmen nicht kostenintensiv sind und mit vernünftigem Aufwand implementiert werden können. Es sei zwar schwierig, eine Organisation vollständig vor solchen Tätern zu schützen. Bei Melani ist man überzeugt, dass diese entdeckt werden können, da jeder Fehler mache. Betroffene Organisationen müssen dazu bereit sein, die Spuren zu sichten und diese Informationen auszutauschen. Dann bliebe man den Tätern dicht auf den Fersen.