Bundesamt für Cybersicherheit Schweiz
Der Bericht von GovCERT.ch analysiert den Spionagefall bei RUAG, der im Mai 2016 öffentlich gemacht wurde. RUAG, ein bedeutendes Unternehmen in der Rüstungsindustrie, wurde Ziel eines hochentwickelten Cyberangriffs, bei dem Malware aus der Turla-Familie eingesetzt wurde. Diese Analyse dient als technische Dokumentation, um Organisationen auf ähnliche Infektionen aufmerksam zu machen und die Methoden der Angreifer offenzulegen.
- Zusammenfassung des Falls
Der Bericht beginnt mit einer kurzen Zusammenfassung der Ereignisse und der Malware, die bei RUAG entdeckt wurde. Die Angreifer, die hinter dem Vorfall stecken, nutzten Malware, die auf eine langandauernde Kampagne hinweist und seit mehreren Jahren aktiv ist. Der Vorfall wird als ein Beispiel für gezielte Cyber-Spionage betrachtet, die auf strategisch wichtige Informationen abzielte. Die Angreifer zeigten während der Infiltration und der späteren Bewegungen im Netzwerk große Geduld, indem sie nur gezielte Opfer angriffen.
- Chronologie des Angriffs
Eine detaillierte Chronologie beschreibt die verschiedenen Phasen des Angriffs. Die Angreifer begannen mit einer umfassenden Informationssammlung über die Zielorganisation, gefolgt von einer schrittweisen Infektion von Systemen und dem internen lateral movement, um Zugang zu sensiblen Daten zu erhalten.
- Malware-Familie
Die Turla-Malware wird als eine der fortschrittlichsten Bedrohungen beschrieben. Innerhalb der Turla-Familie sind verschiedene Trojaner aktiv, die in der Lage sind, Daten zu stehlen und sich in Netzwerken zu verbreiten. Die Malware, die bei RUAG identifiziert wurde, umfasste kein Rootkit, sondern nutzte obfuscation-Techniken, um unentdeckt zu bleiben.
- Modus Operandi
Der Modus Operandi der Angreifer wird in mehrere Phasen unterteilt:
- Opferbewertung: Die Angreifer sammelten Informationen über die Zielorganisation, um zu bestimmen, welche Systeme interessant waren.
- Infektion: Die Angreifer verwendeten verschiedene Methoden, einschließlich Spear-Phishing und die Aktivierung von „Wasserstellen“, um die Opfer zu infizieren.
- Aktive Infektion: Nach der ersten Infektion setzten die Angreifer Trojaner ein, um das Netzwerk weiter zu erkunden und zu infiltrieren.
- Datenexfiltration: Die Angreifer exfiltrierten die gesammelten Daten über HTTP-POST-Anfragen zu mehreren Command-and-Control (C&C)-Servern.
- Lateral Movement und Datenexfiltration
Die Angreifer führten eine umfangreiche Bewegung im Netzwerk durch, indem sie gängige Tools wie Mimikatz zur Extraktion von Anmeldeinformationen und andere Techniken zur Erhöhung ihrer Berechtigungen verwendeten. Die gesammelten Daten wurden dann mithilfe einer hierarchischen Botnet-Architektur organisiert, die sowohl Kommunikations- als auch Arbeitsdrohnen umfasste. Diese Struktur erleichterte die Datenexfiltration und die Ausführung von Kommandos.
- Sicherheitsmaßnahmen und Empfehlungen
Der Bericht schließt mit Empfehlungen zur Verbesserung der Sicherheitslage gegen solche Angriffe. Die vorgeschlagenen Maßnahmen umfassen:
- Systemebene: Implementierung von Software wie AppLocker, um die Ausführung nicht autorisierter Programme zu verhindern und Benutzerprivilegien zu beschränken.
- Active Directory: Verbesserung der Überwachung von AD-Protokollen und Implementierung von Zwei-Faktor-Authentifizierung für privilegierte Konten.
- Netzwerkebene: Schaffung eines zentralen Überwachungspunktes für den Internetzugang, um den Datenverkehr zu kontrollieren und zu protokollieren.
- Logdateien: Langfristige Aufbewahrung und Analyse von Logdateien, um potenzielle Angriffe frühzeitig zu erkennen.
- Fazit
Insgesamt zeigt der Bericht die Komplexität und die Gefahren moderner Cyberangriffe, insbesondere im Kontext kritischer Infrastrukturen wie RUAG. Die detaillierte Analyse der Angriffsvektoren und der eingesetzten Malware bietet wertvolle Einblicke, die Organisationen dabei unterstützen können, ihre Sicherheitsvorkehrungen zu verstärken und ähnliche Angriffe in der Zukunft zu verhindern. Der Fall unterstreicht die Notwendigkeit, proaktive Maßnahmen zu ergreifen, um die Cybersicherheit in der Schweiz zu stärken und die Resilienz gegenüber solchen Bedrohungen zu erhöhen.
