BR24 Logo
BR24 Logo
BR24

So werden Hacker quer durchs Internet verfolgt | BR24

© Hack Capital/Unsplash

Hackerangriffe lassen sich zurückverfolgen - aber nur mit viel Geschick

5
Per Mail sharen

    So werden Hacker quer durchs Internet verfolgt

    Falsche Fährten, verwischte Spuren: Hacker lassen sich einiges einfallen, um ihre Herkunft zu verschleiern. Aber es gibt trotzdem Methoden, Angreifer zurückzuverfolgen. Denn auch Profi-Hacker machen Fehler.

    5
    Per Mail sharen
    Von
    • Bernd Oswald

    Bundestags-Hack, Industriespionage, Twitter-Hack: Hackerangriffe gehören im Netz zum Alltag. Gerade ist die US-Regierung - wieder einmal - zum Ziel eines breit angelegten Hackerangriffs geworden. Das Heimatschutzministerium meldete Angriffe auf mehrere Bundesbehörden. Die Washington Post berichtete, Hacker mit Verbindungen zum russischen Geheimdienst SWR seien für die Angriffe auf das Finanz- und Handelsministerium sowie weitere US-Behörden verantwortlich. Russland wies das zurück: "Wir haben nichts damit zu tun", sagte Kremlsprecher Dmitri Peskow. Doch wie können staatliche Behörden oder auch betroffene Firmen beurteilen, woher der Hackerangriff kam?

    Viele Hinweise ergeben ein Bild

    Selten lässt sich zweifelsfrei beweisen, wer genau hinter einem Hackerangriff steckt. Cyber-Spionage-Experten sammeln in der Regel eine Reihe von Indizien, anhand derer sie eine Bewertung abgeben, wer der oder die Täter sein könnten. Einzelne Hinweise sind nicht so stark, dass sie für sich alleine ausreichen, aber in der Summe ergibt sich oft ein aussagekräftiges Bild.

    "Täter zu finden, ist vor allem dann möglich, wenn sie über eine längere Zeit aktiv sind und dieselben Werkzeuge und Methoden wiederverwenden", sagt der Experte Timo Steffens. "Es ist sehr aufwendig, für jeden Angriff Schadprogramme neu zu entwickeln." Angreifer können auf verschiedene Weise Spuren hinterlassen. Dazu gehören:

    Verräterische Malware

    Schadprogramme, auch Malware genannt, tragen oft einen Zeitstempel, der zeigt, wann die Malware erstellt wurde. Diese Zeiten können erste Hinweise auf die Zeitzone geben, in der die Hacker arbeiten.

    IP-Adresse kann Angreifer verraten

    Angreifer - im IT-Jargon “Operateure” genannt - versuchen im Netz ihre IP-Adresse zu verschleiern, indem sie ein VPN oder den TOR-Browser verwenden. Beide lenken den Verkehr über verschiedene Server um. "Manchmal fällt jedoch einer dieser Dienste aus oder die Operateure vergessen, ihn einzuschalten und dann wird ihre echte IP-Adresse sichtbar. Dann können die Täter schon mal einem Land oder einer Stadt zugeordnet werden", sagt IT-Experte Timo Steffens.

    Wer hat den Kontrollserver registriert?

    Hat ein Angreifer erfolgreich eine Malware in einem fremden Rechnernetzwerk installiert, so nimmt diese Kontakt zum Kontrollserver in der Heimat des Angreifers auf. Wo der steht, ist aus der Malware ersichtlich. Deswegen schauen sich IT-Sicherheitsexperten die Registrierdaten für die Domain des Kontrollservers an: Wer hat die Domain registriert, welche Adresse wurde dabei verwendet? Diese Daten sind zwar fast immer gefälscht, aber es kommt immer wieder vor, dass Hacker dieselben falschen Adress- und Kontaktdaten verwenden, wie für eine private oder geschäftliche Website.

    Sicherheitssoftware kann Aufschlüsse über Schwerpunkte von Hacks geben

    Eine wichtige Rolle beim Aufdecken von Hackerangriffen spielen die Hersteller von Sicherheitssoftware. Anti-Viren-Software von bestimmten Herstellern ist weltweit auf Millionen von Rechnern installiert. Wenn ein Rechner mit einem Virus oder einer Malware befallen ist, melden diese Programme das nicht nur dem Nutzer, sondern je nach Konfigurationseinstellung auch dem Hersteller.

    Firmen wie Kaspersky, TrendMicro oder Symantec können anhand dieser sogenannten Telemetriedaten feststellen, ob der Angriff nur in einer bestimmten Region vorgekommen ist: Etwa nur im Nahen Osten, in Russland oder in Nato-Staaten. “Das kann ein weiterer Hinweis auf die Motivation der Täter sein”, sagt Steffens.

    Hat man es mit einer neuen Hacker-Gruppe zu tun?

    Eine der größten Herausforderungen ist es, den Hack einer bestimmten Gruppe zuzuordnen. "Es gibt bei IT-Experten selten einen Dissens über das Ursprungsland einer Gruppe, sehr wohl aber einen Dissens über die Definition der Gruppe", sagt Timo Steffen. Im Klartext: Oft stellt sie die Frage, ob man es mit einer bereits bekannten Hacker-Gruppe zu tun hat oder man eine neue Hacker-Gruppe definieren muss. Auch hier helfen die Rückmeldungen von Anti-Viren-Software. "In einem Fall wurden innerhalb von zwei Tagen auf dem selben Rechner zwei Schadprogramme entdeckt. Wenn diese Schadprogramme auch auf anderen Rechnern zusammen auftreten, ist klar: Da ist dieselbe Gruppe am Werk", so Steffens.

    IT-Sicherheitsfirmen haben alle eigene Systeme, um Hackergruppen zu bezeichnen. Crowdstrike etwa verwendet eine Kombination aus einem Tiernamen, der für ein Land steht, und einem Adjektiv, das für eine bestimmte Hacker-Gruppe steht. Der Bundestags-Hack wurde etwa der Gruppe “Fancy Bear” zugewiesen, eine Bezeichnung, die sich für diesen Hack durchgesetzt hat.

    Wie ist die Hackerszene in einem Land aufgestellt?

    Um herauszufinden, ob ein Staat hinter einem Hackerangriff steckt, sind auch die Erkenntnisse von Geheimdiensten nützlich. In vielen Staaten gibt es Geheimdienste, die darauf spezialisiert sind, den Internetverkehr abzuhören. Das bekannteste Beispiel dürfte die US-amerikanische NSA sein. Aber auch der Bundesnachrichtendienst überwacht die Kommunikation im Ausland.

    Bei der Attribution eines Hackerangriffs ist es nützlich, die Hacker-Landschaft in einem Land zu kennen und zu wissen, wie heterogen sie ist. Eine wichtige Rolle spielt die Frage, ob "staatliche Behörden Hacker beauftragen oder ob sie die Angriffe selbst durchführen", sagt Steffens.

    Glücklich schätzen sich IT- und Cyberspionage-Experten, wenn ihnen eine Anleitung für Hacker in die Hände fällt. 2017 wurde das “Vault 7”-Handbuch des US-Geheimdienstes CIA geleaked, in dem genau aufgeführt war, was Malware-Entwickler alles zu beachten haben: "Überschreibt Zeitstempel, entfernt Testausgaben und alle Zeichenketten mit lesbaren Wörtern", hieß es darin.

    Wer könnte von dem Angriff profitieren?

    Wie bei jeder kriminellen Handlung fragen sich auch Sicherheitsexperten: Wer könnte von dem Angriff profitieren? Sie schauen, wer von den Cyber-Angriffen betroffen ist: Bestimmte Regionen, Wirtschafts-Branchen, NGOs, Dissidenten oder Regierungseinrichtungen. China steht zum Beispiel im Verdacht, in großem Stil Wirtschaftsspionage zu betreiben und Vietnam hat vermutlich Dissidenten, die nun in Deutschland leben, auszuspionieren versucht. US-Ministerien und Behörden sind schon oft im Visier russischer Hacker gestanden.

    Von diesen staatlich gelenkten Tätern lassen sich Wirtschaftskriminelle, die es auf Zugangsdaten zu Zahlungsdiensten oder Daten, die sich verkaufen lassen, abgesehen haben, gut abgrenzen.

    Täter versuchen falsche Spuren zu legen

    Wie andere Kriminelle versuchen auch Hacker, ihre Spuren zu verwischen und falsche Fährten zu legen. Häufig verwenden Hacker eine IP-Adresse aus einem anderen Land oder verwenden Wörter aus einer anderen Sprache im Programmcode ihrer Malware: So tauchte in einer in Palästina eingesetzten Schadsoftware namens Micropsia das Wort "Ausfahrt" auf, womit die Täter die Spur auf deutsche Entwickler lenken wollten. Es handelte sich offenbar um eine Fehlübersetzung des Wortes "Exit", das für den Abbruch des Programms stehen sollte.

    Immer wieder fälschen Hacker den Zeitstempel ihrer Malware, um die Spur auf eine andere Zeitzone zu lenken. Den Zeitstempel können sie zwar in ihrem Schadprogramm, nicht aber im Netzwerk des Opfers ändern. "Es ist sehr aufwändig, eine Verschleierung über alle Teile des Angriffs so konsistent zu fahren, etwa, dass alle Beteiligten so tun, als seien sie – sagen wir - aus Paraguay“, sagt Steffens.

    In einem besonders gewieften Fall kopierten die Täter einen bestimmten Teil der Schadsoftware einer fremden Gruppe und fügten diesen in die eigene Spionage-Software ein. Dieser Teil, der Rich Header genannt wird, sagt etwas über den Rechner aus, auf dem das Schadprogramm entwickelt wurde. Allerdings machten die Täter einen Fehler: Der Rich Header passte einfach nicht zum eigentlichen Hauptteil der Spionage-Software: Sie verwendete neue Werkzeuge, die im Rich Header nicht angegeben waren.

    Fortschrittliche Malware passt nicht zu einfachen Spuren

    IT-Analysten können Timo Steffens zufolge gut abschätzen, welche Täuschungen wie aufwendig sind. Wenn etwa fortschrittliche Maleware eingesetzt wird und die Angreifer kaum Fehler machen, erscheint es beispielweise eher unplausibel, wenn sie anderswo offensichtliche Spuren hinterlassen. Und dennoch: Trotz aller Analysemethoden kommt es am Ende vor allem auf Bauchgefühl und Intuition an.

    "Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!