Der staatseigene Schweizer Rüstungskonzern RUAG, sowie das Verteidigungsministerium wurden gehackt. Hier ein paar Informationen zum Thema.
Anzeige
Der Angriff auf die RUAG ist seit ein paar Tagen bekannt – die Hacker konnten durch Infiltrierung des Netzwerks wohl 20 GByte an Daten abgreifen. Beim Schweizer Verteidigungsministerium wurde der 2016 stattfindende Angriff jedoch frühzeitig erkannt und konnte abgewehrt werden.
Beim RUAG-Hack zeigten die Angreifer viel Geduld, wie man einem Bericht der Melde- und Analysestelle Informationssicherung (MELANI) entnehmen kann. Die deutsch Zusammenfassung des Berichts lässt sich als PDF-Dokument abrufen. Laut dem zusammenfassenden Bericht wurde ein Abkömmling der (seit Jahren bekannten) Turla-Familie – allerdings ohne Rootkit-Funktion benutzt. Hauptangriffsziel war das Active Directory zur Kontrolle weiterer Geräte sowie zur Kontrolle der Berechtigungen und Gruppenzugehörigkeiten.
Die Täter griffen nur Opfer an, an denen sie Interesse hatten und benutzten dazu verschiedene Maßnahmen wie IP-Lists und Fingerprinting. Aus dem Bericht geht hervor, dass der Angriff bereits 2014 erfolgreich stattfand. Im Anschluss nutzte die Schadsoftware das HTTP-Protokoll, um mit Command & Control-Servern (C&C-Servern) zu kommunizieren. Um nicht entdeckt zu werden, kommunizierten nicht alle infiltrierten Geräte mit den C&C-Servern und stellten die Kommunikation auch teilweise über längere Zeit ein. Manche Geräte kommunizierten auch mit als Kommunikationsdrohnen fungierenden Geräten innerhalb des RUAG-Netzwerks, um die Daten weiter zu reichen.
Der gesamte Bericht (in englisch) lässt sich hier als PDF-Dokument abrufen. Dort finden sich auch Empfehlungen zur Abwehr solcher Angriffe. Nachtrag: Ein paar Infos lassen sich u.a. auch bei heise.de nachlesen, die hier darüber berichteten. Kann in Deutschland demnächst nicht mehr vorkommen, da wir jetzt eine schnelle Eingreiftruppe für Cyberangriffe bekommen (siehe). Alles wird gut – Omm …
Anzeige
Anzeige
Die Schnelle Eingreiftruppe für Cyberangriffe, auch HSG 9 (HackSchutzGruppe 9) genannt, wird dann durchschnittlich zwei Jahre nach Auftreten der Infiltration (des Hacks) sofort und unverzüglich aktiv werden und wird in Zukunft schneller auf Bedrohungen reagieren können, denn dann sind die Spuren noch frisch und die Täter noch nicht weit.
Und Schuldige werden dann sowieso schnell im Osten und Fernen Osten gefunden werden können, denn so etwas kommt ja unter Freunden bekanntlich nicht vor.
P.S. Wer Ironie findet, darf sie behalten.