Tricks der Fahnder

Hacker mit Stil

Von Peter Welchering
 - 08:01

Im Februar kam ans Licht, dass das deutsche Regierungsnetzwerk seit langem angegriffen wurde. Die Spuren der Hacker werten die Forensiker des Bundesamtes für Sicherheit in der Informationstechnik, des Bundesnachrichtendienstes und die Verfassungsschützer jetzt aus. Die Arbeit wird durch die Spekulationen mancher Sicherheitspolitiker erschwert. Denn die angeblichen Indizien, die solchen Gedankenspielen zugrunde liegen, führen oft auf falsche Ermittlungswege. Vieles ist noch rätselhaft: Mal wurde davon gesprochen, die verwendete Schadsoftware sei auf Computern bearbeitet, auf denen ein kyrillischer Zeichensatz installiert gewesen sei. Das deute auf die Online-Kriminellen der Uruburos-Gruppe hin.

Allerdings ist bisher noch keine zusammenhängende Schadsoftware-Probe aus dem Angriff auf den Informationsverbund Berlin-Bonn bekannt. Nach der Zusammensetzung eines größeren Stücks Maschinencode wird nach Angriffen intensiv gesucht. Die eingesetzten Programmierwerkzeuge können mitunter aus dem Maschinencode rekonstruiert werden. Daraus ergibt sich eine Art Fingerabdruck. Doch im Falle des Hacks auf das Regierungsnetz Informationsverbund Berlin-Bonn sind die Ermittler noch nicht so weit. Sie sammeln derzeit mühsam einzelne Datenpäckchen.

Dann wurde argumentiert, die Zeitstempel würden ausweisen, dass zu üblichen Moskauer Bürozeiten an der Schadsoftware gearbeitet worden sei. Das sei ein Indiz dafür, dass die russische Regierung involviert sein müsse. Dabei können Zeitstempel natürlich leicht manipuliert sein. Selbst die Internet-Protokolladressen der Server, von denen aus Schadsoftware in die Zielnetze eingeschleust wird, sind nur ein unsicheres Indiz. Diese Adressen können zwar genau nachvollzogen werden, aber Profi-Hacker arbeiten mit gefälschten Adressen.

Fahnder beobachten die Angreifer ein paar Tage

Interne Kennzeichen der Server, von denen Schadsoftware abgeschickt wurde, sind aussagekräftiger. So können alle möglichen Gerätetreiber, auf dem Server installierte Anwendersoftware und die Nutzung unterschiedlicher interner Speicher- und Netzadressen recherchiert werden. Allerdings lassen sich diese Angaben nur mit Spuren aus anderen ermittelten Hacks vergleichen. Liegen entsprechende Datenpäckchen vor, können die Ermittler allenfalls aussagen, dass bei diesem Hack ein schon bekannter Server verwendet wurde.

Die Angreifer sind damit noch nicht dingfest gemacht. Deshalb haben die Fahnder die Angreifer ein paar Tage beobachtet, nachdem sie ins Regierungsnetz eingedrungen waren. Die Systemadministratoren ziehen dann nicht sofort den Stecker, sondern rufen ihre Kollegen aus der digitalen Forensik zu Hilfe.

Das nennt man dann den „modus operandi“. Die digitale Forensik spricht vom „Angriffsmuster“. Bestimmte Muster werden bestimmten Hackergruppen gemäß ihren bekannten Angriffen zugeordnet. So konnte rekonstruiert werden, dass der eigentliche Spionageangriff weitgehend über Befehle gesteuert worden ist, die als E-Mail verschickt wurden. Dafür sind mit hoher Wahrscheinlichkeit Sicherheitslücken in Outlook ausgenutzt worden.

Zu Anfang des Hacks haben sich die Angreifer Zugang über die Lernplattform der Bundesakademie für öffentliche Verwaltung verschafft, und zwar über Tabellendateien. Zusätzlich haben die Hacker Schadcode in Eingabeformulare geladen. Dieser wurde dann von der aufrufenden Website an andere Benutzer weitergegeben. Weil diese Benutzer teils sehr umfassende Benutzerrechte hatten, konnte damit weitere Schadsoftware auf Computer im Regierungsnetz geladen werden.

NSA hat eine Datenbank mit Stilproben angelegt

Noch nicht geklärt ist, wie die aufgespielte Schadsoftware dann von außen gesteuert wurde, um wichtige Dokumente an einen – inzwischen identifizierten – Zielrechner zu überspielen. Aus den bisher gefundenen Puzzlestückchen muss so viel Schadsoftware wie nur eben möglich rekonstruiert werden, um mit einer sogenannten stilometrischen Analyse mehr über die Programmierer des Schadcodes zu erfahren. Ähnlich wie ein Romanautor hat ein Programmierer seinen eigenen Schreibstil. Die amerikanische National Security Agency (NSA) hat deshalb eine Datenbank mit Stilproben von Programmierern angelegt, um die Urheber von Schadsoftware ermitteln zu können. Die Bundesregierung verweigert hier zwar jede Stellungnahme zum aktuellen Hack, Sicherheitsexperten gehen davon aus, dass den Ermittlern der Zugang zur NSA-Datenbank mit stilometrischen Analysen offensteht, wenn sie erst einmal eine entsprechend verwertbare Software–Probe zusammengestellt haben.

In einigen Fällen muss dafür der Maschinencode in den Quelltext zurückübersetzt werden. Bei Skripten kann die stilometrische Analyse direkt eingesetzt werden. Das machen Algorithmen maschinellen Lernens und Software für die Mustererkennung. Sie werden mit besonderen Stil-Beispielen von Software trainiert.

Die Art, Klammern zu setzen, Variablennamen zu vergeben, Leerzeichen einzufügen und die Struktur, die ein Programm-Quelltext aufweist, geben dabei den einzigartigen Stil eines Programmierers wieder. Allerdings kann der Urheber nur dann identifiziert werden, wenn bekannte Programme von ihm vorliegen.

Bei kommerziell verwendeter Software kann der Autor eines Programms in 92 von 100 Fällen auf diese Weise ermittelt werden. Bei Schadsoftware wie Computerviren ist das in weniger als zehn von 100 Fällen möglich. Deshalb legen die Ermittlungsexperten der NSA großen Wert darauf, vergleichbare Datenproben zu bekommen. Das funktioniert am besten mit Quelltexten, die im Rahmen von Programmierwettbewerben geschrieben worden sind. Denn da entwickelt jeder Programmierer seine Lösung für dasselbe Problem, an dem auch mehrere Dutzend anderer Entwickler arbeiten. Die Datengrundlage ist extrem gut vergleichbar. Die NSA investiert sehr viel Geld, um Informanten ausfindig zu machen, welche die Identität von bekannten Virenautoren oder Entwicklern anderer Schadsoftware lüften können. Dazu zählen auch Geldzahlungen an Informatik-Professoren und Dozenten, die dafür Arbeitsproben ihrer Studenten abliefern.

Natürlich werden auch ansehnliche Belohnungen ausgesetzt. Solche Hinweise werden auf Informationsbörsen sogar gehandelt. Der Hack auf das Regierungsnetz ist auch deshalb erst am 28.Februar Medienvertretern bekanntgegeben worden, weil zuvor in Sicherheitskreisen durchgesickert war, dass entsprechende Informationsankäufe im Darknet betrieben wurden. Solche Ermittlungshinweise werden in der Regel nicht direkt von Sicherheitsbehörden angefragt und angekauft, sondern von externen Beratern und Sicherheitsunternehmen, die mit der operativen Absicherung zum Beispiel von Regierungsnetzen beauftragt sind. In nicht wenigen Fällen sind die genaue Rekonstruktion der Angriffsvektoren und deren Ausnutzung durch eine bestimmte Tätergruppe erst durch solche angekauften Hinweise oder Tipps von „Vertrauenspersonen“ der Nachrichtendienste gelungen.

Quelle: F.A.S.
  Zur Startseite
Ähnliche ThemenNSABNDBonn