Wie Geheimdienste Cyberattacken durchführen

Wie gehen Geheimdienste gegen Cyber-Attacken vor und wie führen sie selber solche Angriffe durch? Auf dem Web Summit in Lissabon hat Andre McGregor (LinkedIn) darüber etwas aus dem Nähkästchen geplaudert. McGregor war früher Agent des FBI im national security “cyber squad” und offenbar an einer Reihe hochkarätiger Fälle beteiligt.

Grundsätzlich seien die meisten wirklich interessanten Systeme “airgapped”, erklärte McGregor, also nicht mit öffentlichen Netzwerken verbunden. Die ersten Schritte eines “Hacks” seien deshalb in der Regel Social-Engineering-Attacken, um Einfluss auf Menschen zu bekommen, die Zugang zum Zielsystem haben. Die dafür gängigen Methoden stünden unter dem Akronym “MICE”: Money, Ideology, Coersion und Ego.

Zuckerbrot oder Peitsche?

Eine Zielperson für ihre Kooperation schlicht zu bezahlen, sei grundsätzlich die einfachste Methode. Die Wirksamkeit hänge aber sehr davon ab, wie viel Geld die Person ohnehin zur Verfügung habe. Außerdem könne man Geld als Mittel in der Regel nur zeitlich begrenzt nutzen, weil Zielpersonen tendenziell ihre Forderungen immer weiter anheben würden.

Personen gegen ihren Willen zu bestimmtem Verhalten zu bringen, etwa über die Drohung, ansonsten Straftaten zur Anzeige zu bringen, sei die schlechteste der vier Methoden. Unter anderem weil relativ schnell der Punkt komme, an dem Menschen lieber die angedrohten Folgen in Kauf nehmen, als weiter gegen ihren Willen zu kooperieren.

Fast am besten sei es Zielpersonen über ihr Ego zur Kooperation zu bewegen, etwa durch Schmeicheleien. Noch besser funktioniere das Ausnutzen der ideologischen Prinzipien der Zielperson. Solche Zugänge seien nicht nur am effektivsten, sondern hielten auch besonders lange. Idealerweise würden mehrere dieser MICE-Vorgehensweisen kombiniert gegen eine Zielperson zum Einsatz gebracht. In der Regel kämen erst danach und darauf aufbauend technische Hacks zum Einsatz.

Vergiftete USB-Sticks

Alternativ würden Zielpersonen auch ohne ihr Wissen benutzt. So könnten etwa USB-Sticks im Umfeld der Zielperson “vergiftet”, also mit Malware präpariert werden. Das schließt Sticks ein, die im nächsten Supermarkt zum Verkauf stehen. Die würden dann en masse präpariert, wodurch man eventuell eine ganze Reihe anderer Kunden nebenbei hacke. Wenn die Zielperson irgendwann in den Laden kommt und einen neuen Stick zur Nutzung am Zielsystem kauft, bekomme man so Zugriff.

Die eigenen Agenten, die im Zielland solche Aktionen durchführen, seien den dortigen Behörden in der Regel durchaus als Spione bekannt, erläuterte McGregor weiter. Es gäbe üblicherweise Formulare, um sich bei der Einreise als ausländischer Agent zu identifizieren. Im eigenen Interesse geschehe das auch: Nur registrierte Spione genössen diplomatische Immunität und würden daher auch lediglich ausgewiesen, wenn ihre Aktionen auffliegen. Ohne diesen Schutz wäre man Strafverfahren des Ziellandes ausgesetzt, was durchaus lebensbedrohlich sein könne. Die Kehrseite sei natürlich, dass so registrierte Spione – und vor allem ihr Umfeld – von den Behörden des Ziellandes genau beobachtet würden.

Freund, Feind, Jedermann

Praktisch alle Staaten auf der Welt setzten grundsätzlich solche Methoden ein, erklärte McGregor. Gegen verfeindete Staaten und kriminelle oder terroristische Organisationen, aber auch gegen Verbündete – wenn auch in geringerem Maße. Auch nichtstaatliche, kriminelle Organisationen würden so vorgehen, was unter anderem zur Frage der Zuschreibung führt. Schließlich arbeiten nicht alle Hacker in Russland auch für den russischen Staat. Angriffe ihren Urhebern zuzuordnen ist schwierig. Häufig kann man nur über Indizien arbeiten und Wahrscheinlichkeitsaussagen treffen.

McGregor stimmt dem grundsätzlich zu und nennt die Assoziation der Malware Stuxnet mit Israel und den USA als Beispiel. Es komme aber auch vor, dass sichere Zuschreibung möglich sei, wie beim Sony-Pictures-Hack, für den die USA Nordkorea verantwortlich machen. Amerikanische Geheimdienste hätten hier selbst Zugriff auf die zum Angriff genutzten nordkoreanischen Computer gehabt. Dadurch hätten sie den Angriff live verfolgen können, so McGregor, was die Zuschreibung natürlich relativ einfach und zuverlässig mache. Normalerweise veröffentliche man allerdings solche Einsichten nicht. In diesem Fall habe man eine Ausnahme gemacht, weil die globale InfoSec-Community sich zu sehr in Fehlschlüsse verrannt hätte.

Kinetische Gegenattacken

Schwierig sei oft auch die Frage der angemessenen Reaktion auf einen zugeordneten Angriff, erklärt McGregor weiter. Wie sicher müsse man etwa eine Attacke einer bestimmten Terrororganisation zuordnen können, um den Angriff über einen “kinetischen Gegenschlag” zu stoppen, also durch den Einsatz physischer Waffen gegen den Ausgangsort der Attacke? Problematisch sei es auch, wenn das Angriffsziel ein Konzern wie Sony sei, also ein privates, aber für den betroffenen Staat sehr wichtiges Unternehmen. Ist ein Angriff auf so eine Firma ein Angriff gegen den Staat oder nicht? Im ersten Fall würden eventuell zwischenstaatliche Abkommen zum Tragen kommen. Obama habe beim Sony-Pictures-Hack entschieden, dass der Angriff sich letztendlich gegen das Unternehmen Sony richte und nicht gegen Japan selbst. (syt)