Cyberspionage: F-Secure nimmt Aktivitäten der Dukes unter die Lupe

Die Dukes ist eine sehr engagierte und organisierte Cyberspionagegruppe, die hauptsächlich westliche Regierungen und regierungsnahe Organisationen ins Visier nimmt.

Verfasser: Berk Kutsal
Datum: 18. September 2015
Lesedauer: 6 Minuten

DOWNLOAD WHITEPAPER

F-Secure Labs, das Forschungslabor von F-Secure, hat kürzlich ein Whitepaper über die Cyberspionagegruppe „Dukes“ herausgegeben. Darin werden die Tools behandelt, die die Gruppe nutzte, um an außen- und sicherheitspolitische Informationen zu gelangen. Einige der wichtigsten Erkenntnisse: Die Dukes sind gut ausgestattet, sehr engagiert und gut organisiert. F-Secure Labs ist zudem davon überzeugt, dass die Dukes seit mindestens 2008 für die Russische Föderation arbeiten.

Cybersicherheitsberater Erka Koivunen erklärt hierzu:

Die Ergebnisse unseres Forschungslabors basieren auf einer sorgfältigen Analyse und Korrelation des riesigen Archivs von Malware-Proben, die wir im Laufe der Jahre angesammelt haben. Die Proben wurden uns von OSINT-Quellen (Open Source Intelligence) zur Verfügung gestellt oder innerhalb der AV-Branche untereinander geteilt. Das Whitepaper veranschaulicht das enorme Ausmaß der Operation in zeitlicher und technischer Hinsicht – und sollte allen Cybersecurity-Interessierten die Augen öffnen.

Erka Koivunen
Erka Koivunen

F-Secure arbeitete mit den betroffenen Institutionen zusammen und informierte diese während der Durchführung der Analyse über die Ergebnisse und das Vorhaben, das Papier zu veröffentlichen.

Wie operieren die Dukes?

Die Dukes zielen in erster Linie auf westliche Regierungen und regierungsnahe Organisationen wie Ministerien und Behörden, politische Think Tanks und Unternehmen im Dienste von Regierungen. Es sieht so aus, also ob sie es konsequent auf Institutionen abgesehen haben, die sich mit Fragen der Außen- und Sicherheitspolitik befassen.

In den letzten Jahren waren die Dukes aktiv im Rahmen von etwa halbjährlichen groß angelegten Speer-Phishing-Kampagnen gegen Hunderte oder sogar Tausende von Empfängern in staatlichen Institutionen und staatsnahen Organisationen. Bei ihren Kampagnen greifen die Dukes auf einen „Smash-and-grab“-Ansatz zurück, der inzwischen recht verbreitet ist: ein schnelles und nicht unauffälliges Eindringen ins System, gefolgt von einer schnellen Exfiltration so vieler Daten wie möglich. Und die Wirksamkeit dieser Vorgehensweise ist in der Tat bemerkenswert.

Im Falle eines der Ziele wurde beobachtet, dass das Tool-Set auch unauffälligere Taktiken beherrscht, um dauerhaft Fuß zu fassen für eine anhaltende Informationsbeschaffung. Die Dukes sind auch in kleineren, gezielten Kampagnen aktiv. Sie reagieren schnell und informieren sich, was über ihre Tool-Sets und Operationen veröffentlicht wird. Sie stellen dennoch ihre Operationen nicht ein, sondern ändern nur ihre Tools schrittweise. Damit setzen sie sich dem Risiko aus, immer wieder entdeckt zu werden.

In einigen der extremsten Fälle haben die Dukes Aufmerksamkeit erregt, indem sie mit Tools zu Werke gingen, die nur Tage zuvor durch Sicherheitsunternehmen ans Tageslicht und dann in die Medien gelangten. Vorfälle wie diese zeigen, dass die Betreiber hinter den Dukes ein extremes Vertrauen in ihre Fähigkeiten haben, auch weiterhin die anvisierten Ziele auszuspionieren, auch wenn Informationen über ihre „Einbruchswerkzeuge“ bereits veröffentlicht wurden. Ob diese Kühnheit auf aufklärungsbasiertes Wissen über die Sicherheitslage der Opfer zurückzuführen oder einfach ein Zeichen einer arroganten Taktik ist, sei dahingestellt.

Heute, nach mindestens sieben Jahren Aktivitäten setzen die Dukes ihre Angriffe fort und fügen auch weiterhin neue Tools und Techniken hinzu. Mika Aaltola vom finnischen Institut für internationale Angelegenheiten, erklärt: „Ein entscheidendes Merkmal dieser Fälle von Cyber-Hacking ist, dass es schwer ist, die Aktivitäten den Tätern zuzuschreiben. Diese Verschleierung ermöglicht weitere Angriffe und macht die Einrichtung und Aufrechterhaltung einer wirksamen Abschreckung problematisch.“

Wie ist Ihre Organisation davon betroffen?

In erster Linie verwenden die Dukes Speer-Phishing-E-Mails, wenn sie versuchen, die Opfer mit ihrer Malware zu infizieren. Spear-Phishing als Taktik nimmt generell zu und zielt zum Beispiel auf den Finanzsektor und andere wichtige Dienste. Diese Methode steckt hinter den meisten Cyberangriffen. Speer-Phishing-E-Mails reichen von Mails, die wie Spam-Nachrichten aussehen und eine große Zahl von Menschen erreichen sollen, bis hin zu stark zielgerichteten E-Mails, um nur eine bestimmte Zielgruppe anzusprechen, mit Inhalten, die von großer Bedeutung für die vorgesehenen Empfänger sind.

Die Ziele der Dukes können beispielsweise sein:

  • Diebstahl von Daten
  • Eine Hintertür zu den Systemen finden
  • Sammeln von Screenshots
  • Benutzerrechte missbrauchen
  • Diebstahl von Passwörtern oder Passwort-Hashes
  • DDoS-Angriffe (Distributed Denial of Service)
  • Desinformation und Identitätswechsel in den sozialen Medien verbreiten
  • Herunterladen zusätzlicher Malware und Updates

Die ausgewählten Zielpersonen arbeiten in der Regel in äußerst exponierten Rollen wie etwa Botschafter oder sind andere hochrangige politische Figuren. Deren tägliche Aufgabe ist es, dringende Probleme zu lösen und mit einer breiten Palette von Verbündeten und Nicht-Verbündeten zu kommunizieren. Personen wie diese können in der Regel nicht allzu wählerisch sein, welche E-Mail-Anhänge oder Web-Links sie öffnen oder nicht öffnen sollen. Diese Personen arbeiten diesbezüglich in so etwas wie einer „Hochrisiko-Umgebung“.

Es ist klar, dass die Aufklärung der Mitarbeiter eine sehr wichtige Maßnahme ist bei dem Versuch, Speer-Phishing-Kampagnen wie diese zu bekämpfen. Mitarbeiter, die Bedrohungen wie Phishing und der Watering-Hole-Methode ausgesetzt sind, müssen diese Risiken verstehen und lernen, Täuschungstaktiken zu erkennen. Diese Mitarbeiter benötigen auch den bestmöglichen Schutz gegen Phishing und Watering-Hole-Angriffe. So müssen Unternehmen sicherstellen, dass sie die nötigen Sicherheitsmaßnahmen aufstellen, um diese Art von Angriffen zu verhindern.

Erka Koivunen erläutert dazu:

Allerdings ist es ebenso wichtig, zu gewährleisten, dass die Sicherheitsverantwortlichen alle notwendigen Werkzeuge haben, um alle verdächtigen Links, E-Mails oder Dateien unter isolierten Bedingungen zu untersuchen. Die Verbesserung der allgemeinen Sicherheitspraktiken innerhalb der Organisation hilft auch bei der Bekämpfung dieser Risiken. Warum also sollten Makro-fähige Office-Dokumente oder PDF-Dateien, die JavaScript enthalten, verwendet werden – ohne ersichtlichen Grund? Werden solche unsichere Praktiken vermieden, reduziert sich bereits die für den Gegner zur Verfügung stehende Angriffsfläche.

Die Dukes nutzen oft Köder wie Bilddateien, Dokumentdateien, Adobe-Flash-Videos oder ähnliche Inhalte, um die Empfänger von den eigentlichen, bösartigen Aktivitäten abzulenken. Als Ablenkungsmanöver dient zum Beispiel ein albernes Affenvideo, ebenso wie ein fachlich relevant erscheinender Bericht oder eine Einladung. Während das Opfer mit einem dieser Köder beschäftigt ist, können die Dukes ins Netz eindringen, um das Angriffsziel auszuspionieren. Hierbei wird deutlich, dass die Betroffenen eine typische Malware-Infektion nicht sehen oder sonst irgendwie wahrnehmen können. Auf dem Bildschirm blinkt nichts auf und der Computer verhält sich auch nicht „seltsam“. Das Betriebssystem startet einfach im Hintergrund einen neuen Prozess. So wird der Computer des Opfers gekapert, noch bevor der Benutzer die Kopfzeile des Köderdokuments gelesen hat.

Die Dukes greifen bei ihren Angriffen auf die Ausnutzung von Schwachstellen zurück, haben diese in der Regel jedoch nicht selbst entdeckt oder die entsprechenden Schwachstellen-Exploits entwickelt. In vielen Fällen sieht es so aus, dass die Gruppe einfach auf öffentliche verfügbare Exploits oder Praktiken für ihre Zwecke zurückgegriffen hat.

Wie Koivunen es ausdrückt:

Es wird schnell klar, dass es bislang sehr einfach für die Dukes war, immer wieder in die Zielnetzwerke einzudringen. Ein Grund dafür könnte sein, dass Organisationen etwas Zeit benötigen, um ihre Schwachstellen zu patchen. Damit steht für Angreifer die Tür offen, um bekannte Sicherheitslücken auszunutzen.

Dies bestätigt erneut, dass das Patchen von Softwareschwachstellen nach wie vor ein wesentlicher Bestandteil der Sicherheitsstrategie sein muss. Patchen allein reicht zwar nicht, um sich vollends zu verteidigen, ist aber dennoch eine wesentliche Komponente.

Mika Aaltola fügt abschließend hinzu:

Es ist klar geworden, dass die Angriffe der Dukes seit 2008 auch aufgrund der schwachen Cyberverteidigung der westlichen Institutionen immer wieder stattfanden. Wiederholte Angriffe durch dieselben Täter mit sehr ähnlichen Werkzeugen deuten stark darauf hin, dass die passiven und aktiven Abschreckungsmethoden versagt haben.

 

The Dukes: 7 years of Russian cyberespionage
Whitepaper zu sieben Jahre russischer Cyberspionage

Lesen Sie auch das technische Whitepaper, um mehr über die siebenjährige Geschichte und die damit verbundenen Cyberangriffe der Dukes zu erfahren. Tragen Sie sich unten ein und erhalten Sie das Whitepaper per E-Mail zugeschickt.