Cyber-Angriff: Schweiz veröffentlicht detaillierte Analyse

Bei einer Cyberattacke auf den staatseigenen Rüstungskonzern RUAG sind mehr als 20 Gigabyte an Daten abgeflossen. Dies gab die Melde- und Analysestelle Informationssicherung (MELANI) am vergangenen Montag bekannt, die in der Schweiz ähnliche Aufgaben hat wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland.

Laut der MELANI deute vieles auf einen Fall von Wirtschaftsspionage hin. Der Schweizer Bundesrat hatte nach der Attacke entschieden, den kompletten Bericht zu veröffentlichen, damit andere Institutionen anhand der detaillierten Analyse überprüfen können, ob sie von einem ähnlich gelagerten Angriff betroffen sind. Der Bericht gibt auch Empfehlungen zu Gegenmaßnahmen, die laut MELANI sehr wirksam gegen diese Art der Bedrohung auf der System-, Active-Directory- und Netzwerkebene sind.

Die Angreifer benutzten eine seit mehreren Jahren im Umlauf befindliche Schadsoftware der Turla-Familie. Die im Netzwerk der RUAG beobachtete Variante hatte keine Rootkit-Funktionalität und setzt auf Tarnung. Die Angreifer zeigten laut MELANI viel Geduld bei der Infiltration und dem weiteren Vordringen. Sie griffen nur Opfer an, an denen sie Interesse hatten, mit verschiedenen Maßnahmen wie das Ausspähen von IP-Lists und extensivem Fingerprinting vor und nach der Erstinfiltration. Einmal im Netzwerk drangen sie seitwärts vor, indem sie weitere Geräte infizierten und höhere Privilegien erlangten.

Ein Hauptziel war das Active Directory zur Kontrolle weiterer Geräte und den richtigen Berechtigungen und Gruppenzugehörigkeiten für den Zugriff auf die interessanten Daten. Die Schadsoftware nutzte HTTP für den Datentransfer nach außen mit mehreren C&C-Server-Reihen. Die C&C-Server erstellten Tasks an die infizierten Geräte. Im infiltrierten Netzwerk konnten die Angreifer benannte Pipes für ihre interne Kommunikation verwenden, die schwer zu entdecken sind. Es kam ein hierarchisches System zum Einsatz, bei dem nicht jedes infizierte Gerät mit den C&C-Servern kommuniziert. Einige Systeme waren sogenannte Kommunikationsdrohnen, andere Arbeiterdrohnen. Letztere kommunizierten nicht mit der Außenwelt, sondern wurden zum Entwenden und der Weitergabe der Daten an die Kommunikationsdrohnen benutzt. Die erlangten Daten wurden durch die Kommunikationsdrohnen nach außen transferiert.

Indirekt wurde Kritik an den Sicherheitsmaßnahmen der RUAG laut, da die Experten in ihrer Analyse zu dem Ergebnis kommen, dass es eine “sehr wirksame Schutzmethode” gegen derartige Angriffe gebe, wie MELANI-Leiter Pascal Lamia sagte.