Niemand weiss, was bei Ruag geklaut wurde

Die Chronologie der (bekannten) Ereignisse. Für die Zeit vor September 2014 gibt es keine Erkenntnisse. Grafik: Melani:GovCERT
Ausser die Hacker selbst. Laut einem Melani-Bericht kann man zwar sagen, wie viele Daten gestohlen wurden, aber nicht welche.
 
Die Melde- und Analysestelle Informationssicherung Melani hat im Auftrag des Bundesrates heute einen Bericht mit technischen Erkenntnissen zum Cyberangriff auf den Schweizer Rüstungskonzern Ruag veröffentlicht. Der Bericht macht einiges klarer, zum Beispiel zum Ablauf der Ereignisse, lässt aber auch viele Fragen offen.
 
Klar ist nun unter anderem, mit welcher Malware die Ruag-Systeme infiziert wurden. Laut Melani handelt es sich um Malware einer Familie, die meist "Turla" genannt wird, genauer gesagt deren Mitglieder "Carbon-DLL" und "Tavdig". Die Malware habe keine Rootkit-Funktionalität, setze aber auf Tarnung, um unerkannt zu bleiben. Die Ruag-Systeme sind seit mindestens September 2014 infiziert. Mindestens? Leider sind bei Ruag laut Melani keinerlei Proxy-Logfiles für die Zeit vor September 2014 verfügbar. Schon in den ersten vorhandenen Files haben die Melani-Experten Anzeichen gefunden, dass die Malware damals schon aktiv war.
 
Vor September 2014 liegt alles im Dunkeln
Über die Zeit davor gibt es keinerlei Erkenntnisse, wie auch Melani-Direktor Pascal Lamia gegenüber inside-it.ch bestätigt: "Wir haben keine Kenntnis, was der Angreifer vor dem September 2014 im Netz der Ruag gemacht hat." So weiss man unter anderem nicht, wann und wie die Erstinfektion stattgefunden hat. Auch ob schon vor September 2014 Daten gestohlen wurden, kann nicht eruiert werden.
 
Aber hätte man mindestens im September 2014 durch eine Analyse der Logfiles den Angriff erkennen können, vielleicht sogar müssen? Laut Lamia eher nicht: "Ich denke dies wäre nicht realistisch gewesen. Die Ruag-Leute wussten zu diesem Zeitpunkt nicht, was sie genau suchen mussten. Der Angreifer hat sich sehr behutsam und unauffällig im Netz bewegt und ist nicht aufgefallen."
 
23 GB gestohlen - Keine Ahnung was
Für die Zeit nach dem September 2014 steht aufgrund der Logfiles fest, dass Daten abgeflossen sind, und zwar genau 23 Gigabyte. Leider ist auch den Melani-Experten völlig unbekannt, was das für Daten waren: "Die Menge der transferierten Daten gibt keine Auskunft über deren Vertraulichkeit oder den Wert der gestohlenen Daten. Es ist nicht möglich aufgrund der Proxy-Files herauszufinden, welche Daten gestohlen wurden." Dies ermögliche erst spezielle Überwachungssoftware, die aber erst installiert wurde, nachdem der Angriff entdeckt wurde. Dies geschah laut dem Bericht Anfang Februar 2016.
 
Monitoring gestartet - Angreifer stoppen
Im Bericht findet man auch eine Grafik der täglich abgezogenen Datenmengen. Diese zeigt zwischen September 2014 und Mitte 2015 nur wenig Aktivitäten. Am meisten Daten wurden zwischen September 2015 und Januar 2016 auf die von den Angreifern verwendeten "Command & Control"-Server (C&C) transferiert. Danach bricht die Aktivität aber plötzlich ab - also genau zu dem Zeitpunkt, als der Angriff entdeckt und Überwachungssoftware installiert wurde. Melani-Chef Lamia
Die täglich abgegegriffenen Datenmengen. Grafik: Melani:GovCERT
gab uns dafür zwei mögliche Erklärungen. Der Angreifer könnte bemerkt haben, dass er aufgeflogen ist, oder er hatte schon genügend Informationen gesammelt und benötigte kein mehr.
 
Admin-Verzeichnis?
Obwohl laut Melani-Bericht also keinerlei Erkenntnisse zum Inhalt der abgegriffenen Daten vorliegen, erklärt das VBS in einer begleitenden Pressemitteilung, dass darunter "auch Daten aus dem Admin-Verzeichnis" sein dürften, "welches die Outlooksoftware der Bundesverwaltung speist." Dabei handle es sich, so VBS-Sprecher Renato Kalbermatten gegenüber 'sda', um eine Art Telefonverzeichnis, mit Namen, Vornamen, Funktion und Arbeitsplatz, also um rein geschäftliche Daten. Eine Agenda sei nicht enthalten. Auch gebe es darin keine persönlichen Daten. So sei beispielsweise nicht ersichtlich, wo jemand wohne. Wie man darauf kommt, dass die Ruag-Hacker gerade diese relativ unsensiblen Daten abgegriffen haben "dürften", wird in dieser Mitteilung nicht erklärt.
 
Spekulationen rund um die Urheberschaft der Angriffe will der Bundesrat nicht bestätigen. Die angeordneten Untersuchungen würden "unvermindert auf Hochtouren" weiterlaufen.
 
Modus Operandi
Die ersten Trojaner der Malware-Familie Turla kennt man laut Melani bereits seit 2007. Der Angreifer, welche diese Malware benütze, habe im letzten Jahrzehnt schon viele Regierungsorganisationen aber auch Privatunternehmen aufs Korn genommen.

Hauptsächlich aufgrund dieser anderen bekannten Angriffe schildert Melani ausführlich den üblichen "Modus Operandi" des beziehungsweise der Turla-Angreifer. Demnach werde "beeindruckend geduldig" vorgegangen. Es würden nur Opfer angegriffen, an denen ein spezielles Interesse bestehe. Dafür würden unter anderem die angesteuerten IP-Adressen ausgespäht. Einmal im Netzwerk drangen die Angreifer seitwärts vor, indem sie weitere Geräte infizierten und höhere Privilegien erlangten.
 
Gemäss dem Bericht ist das Active Directory jeweils ein Hauptziel, um dadurch die Kontrolle über weitere Geräte zu erlangen und an die richtigen Berechtigungen und Gruppenzugehörigkeiten für den Zugriff auf die "interessanten" Daten zu erlangen.
 
Die Schadsoftware nutzt laut einer Zusammenfassung von Melani HTTP für den Datentransfer nach aussen mit mehreren C&C-Server-Reihen. Die C&C-Server erstellten Tasks an die infizierten Geräte. Solche Tasks können beispielsweise neue Binär- und Konfigurationsdateien oder Batchjobs sein. Im infiltrierten Netzwerk konnten die Angreifer sogenannte "Named Pipes" für ihre interne Kommunikation verwenden, die schwer zu entdecken sind. Es kam ein hierarchisches System zum Einsatz, bei dem nicht jedes infizierte Gerät mit den C&C-Servern kommuniziert. Einige Systeme waren sogenannte "Kommunikationsdrohnen", andere reine "Arbeiterdrohnen", die Daten sammelten.
 
Bei Melani findet man sowohl eine kurze deutsche Zusammenfassung des Berichts als auch den ausführlichen Bericht auf englisch. (Hans Jörg Maron/sda)