Kapeka: Wird Cyberwaffe zum normalen Angriffstool?
Ein neues IT-Angriffstool namens Kapeka aus Russland sorgt derzeit für Schlagzeilen. Sicherheitsforscher von WithSecure haben das Werkzeug entdeckt und den Angreifern namens „Sandworm“ zugeordnet.
Die zum russischen Geheimdienst gehörende Truppe hat sich seit 2014 einen Namen gemacht, weil sie hochrangige Ziele unter anderem im Energiesektor mit Einsatz so genannter Zero Day Sicherheitslücken erfolgreich angegriffen haben. Sie gehören definitiv zu den aggressiveren Tätern, die vor allem auch die Zerstörung oder Sabotage ihrer Opfer zum Ziel haben.
Kapeka: Optimismus ist fehl am Platz
Werkzeuge, wie das vorliegende, werden nicht flächendeckend verwendet, sondern punktuell für hochwertige Ziele eingesetzt. Je häufiger das aber geschieht, desto höher ist das Risiko, im Einzelfall entdeckt zu werden. Deshalb kann man davon ausgehen, dass ein staatlicher Geheimdienst damit rechnet, früher oder später auf diese Werkzeuge verzichten zu müssen. Nun wurde der Fund öffentlich gemacht. Insofern werden die Täter mehr als wahrscheinlich auf alternative Wege umsteigen und auch bestehende Operationen anpassen. Niemand darf sich daher wundern, wenn nur sehr wenige Angriffe bekannt werden, in denen Kapeka nachweisbar ist.
War die Veröffentlichung falsch?
Dies ist eine heiß diskutierte Frage in IT-Sicherheitskreisen. In diesem Fall gibt es aktive Angriffe, und damit besteht immer die Gefahr, dass noch viel mehr Unternehmen und Einrichtungen betroffen sind. Der Konsens ist deshalb zu veröffentlichen, damit die gesamte Industrie die Möglichkeit erhält, alle zu schützen.
Etwas anders sieht es aus, wenn beispielsweise Geheimdienste diejenigen sind, die diese Angriffe zuerst entdecken. Beobachtet man die Täter, lernt man viel über deren Vorgehen sowie die dahinter liegende Motivation und kann ihre Operationen gezielt beeinflussen/fehlleiten. Ebenso besteht die Chance, die gewonnenen technischen Erkenntnisse etwa über bislang unbekannte Softwarelücken, auch für eigene offensive Maßnahmen zu verwenden.
Wer Cyberwaffen einsetzt, ist sich dieser Gefahr auch bewusst. In Deutschland wird deshalb unter anderem darüber diskutiert, ob ein Interessenskonflikt für das BSI daraus erwächst, dass es dem BMI unterstellt ist und beispielsweise ein offensiver Einsatz von Cyberwerkzeugen (aka Bundestrojaner) zum Zwecke der inneren Sicherheit dem Auftrag des BSI zum Schutz von Unternehmen und Einrichtungen des Bundes entgegensteht.
Wie groß ist die Gefahr wirklich?
Die große Herausforderung für die IT-Security besteht darin, das Risiko einer bestimmten Angriffsmethode für die Allgemeinheit festzulegen. Die Zuordnung der Software zu einem Geheimdienst wurde in diesem Fall (wie beispielsweise von Heise) deshalb gemacht, weil ihre Bestandteile Ähnlichkeiten mit früheren Werkzeugvarianten derselben Gruppe aufweisen. Weiterentwicklungen oder veränderte Klone einer erfolgreichen Angriffsmethode sind keine Seltenheit.
Aber auch eine andere Möglichkeit sollte nicht außer Acht gelassen werden, nämlich dass das Tool nun aufgrund seines öffentlichen Bekanntheitsgrades möglicherweise für den geheimdienstlichen Einsatz nicht mehr zu gebrauchen ist. Einen Beweis dafür bringt die von Heise zitierte Analyse auf VirusTotal, die eine hohe Aufdeckungschance durch aktuelle Sicherheitssysteme ergab.
Tools, die es erlauben, Hintertüren in Unternehmen zu hinterlassen, sind nicht nur in Spionagesituationen gefragt, sondern kommen auch in der „normalen“ Cyberkriminalität zum Einsatz. Ob ein solcher Nachbau nun durch staatliche oder „private“ Täter gemacht wurde, ist oft schwer nachzuvollziehen. Unabhängig davon, wer es tatsächlich war, sollte man allerdings davon ausgehen, dass eine zukünftige Verwendung dieser bösartigen Software eher im „kommerziellen Sektor“ – sprich bei Cyberkriminellen — zu erwarten ist. Unternehmen müssen deshalb sicherstellen, immer aktuelle Sicherheitslösungen einzusetzen.
Da diese Werkzeuge hauptsächlich dann erst zum Einsatz kommen, wenn die ersten Sicherheitshürden eines Cyberangriffes bereits überwunden wurden, empfiehlt sich darüber hinaus auch die Umsetzung von Detection & Response-Lösungen, vor allem auf der Netzwerk- und Endpoint-Ebene.