Kaspersky-Tool warnt Firmen, wenn professionelle Cyberkriminelle sie ins Visier nehmen
Wenn sich ein Mitarbeiter über eine wahllos an verschiedene Empfänger verschickte E-Mail Schadsoftware einfängt, ist das natürlich schlecht. Viel problematischer ist es allerdings, wenn die Schadsoftware als Teil einer Kampagne verschickt wurde, die es gezielt auf das Unternehmen abgesehen hat. Denn dann geht es den Angreifern in aller Regel nicht um den einen Firmenrechner, sondern im Zweifel um das ganze Netzwerk und die dort gespeicherten Informationen. Sicherheitsforscher bezeichnen solche gezielten Angriffe als Advanced Persistent Threat (APT) – also eine fortgeschrittene andauernde Bedrohung. Der Antivirensoftware-Hersteller Kaspersky hat jetzt ein Werkzeug vorgestellt, mit dem Firmen solche APT erkennen und dann entsprechend darauf reagieren können.
Der russische Hersteller hat das Tool Kaspersky Threat Attribution Engine getauft. Die Software vergleicht Proben von Schadprogrammen mit einer Datenbank. Anhand von Ähnlichkeiten im Code soll das Programm die Proben dann einer Gruppe oder Kampagne zuordnen können. Außerdem sollen Firmen eigene Proben in der Datenbank abspeichern oder sie per API an Systeme anderer Sicherheitsunternehmen anbinden können. Die Kaspersky Threat Attribution Engine wird zum Schutz gegen eine mögliche Manipulation auf einem nicht mit dem Internet verbundenen Rechner installiert. Malware-Proben und Updates werden per USB-Stick aufgespielt.
Angreifer zu identifizieren, ist nicht immer ganz einfach
Cyberkriminelle geben sich bisweilen einige Mühe, ihre Arbeit zu verschleiern. Die Lazarus-Gruppe, von der viele Experten annehmen, dass sie aus Nordkorea stammt, nutzte in der Vergangenheit beispielsweise russische Textfragmente in ihrem Code. Muttersprachler warfen allerdings früh ein, dass das vermeintliche Russisch aufgrund einiger grober Syntaxfehler eher nach etwas klang, das der Google-Translator ausspucken würde. Eine andere Gruppe, die von Sicherheitsexperten Hades getauft wurde, baute in ihren Code wiederum Hinweise ein, die einige Forscher annehmen ließ, er stamme von der bereits erwähnten Lazarus-Gruppe. Viele Sicherheitsexperten hielten das nach einer genaueren Untersuchung zwar ebenfalls für eine Finte, beide Fälle zeigen jedoch, wie viel Mühe sich Cyberkriminelle geben, um ihre Spuren zu verwischen.
„Kaspersky Threat Attribution Engine gibt keine 100-prozentige Ergebnisgarantie für die Zuschreibung eines Angriffs“, schreibt daher auch Firmengründer Eugene Kaspersky auf seinem Blog. „Alles kann gefälscht und ausgetrickst werden – auch die fortschrittlichsten Lösungen. Unser Hauptziel ist es, den Experten einen sehr genauen Anhaltspunkt zu geben, in welche Richtung sie blicken sollten, und verschiedene wahrscheinliche Szenarien zu testen.“