Security-Spezialisten, Mitarbeiter von Strafverfolgungsbehörden und Journalisten haben sich in Punta Cana in der Dominikanischen Republik für den jährlichen Security Analysts Summit von Kaspersky Lab eingefunden, der direkt nach zwei anderen Kaspersky-Veranstaltungen stattfand. Am Tag saßen die Teilnehmer in den Security-Vorträgen ihrer Wahl, die in drei verschiedenen Themenbereichen stattfanden. Am Abend wurden sie dann bei Strandparties (und in einer Höhle) fürstlich bewirtet.
So großartig die Unterbringung auf der tropischen, wolkenlosen Insel auch war, so viel besser waren die Inhalte der Konferenz selbst. Das Global Research and Analysis Team (GReAT) von Kaspersky Lab hat Details zu einer neuen Advanced-Persistent-Threat-Kampagne (APT) vorgestellt [PDF] die nun unter dem Namen „Careto“ bekannt ist, ein spanisches Wort, dessen Bedeutung umstritten ist. Manche sagen, „careto“ sei gar kein Wort, während andere behaupten, dass es „hässliches Gesicht“ oder „Maske“ bedeutet. Deshalb wird die entdeckte APT-Kampagne auch „The Mask“ genannt. Und mindestens ein Mensch sagte mir, „careto“ sei in Madrid ein abschätziges Slang-Wort für „Gesicht“.
Wie dem auch sei, Costin Raiu, Director von GReAT, hat eine faszinierende Präsentation zur Enthüllung der Mask-Kampagne gehalten und gesagt, es sei die anspruchsvollste Kampagne, die er in den letzten Jahren gesehen habe, und das sagt einiges, wenn man bedenkt, wie viele solcher Kampagnen Raiu und seine Kollegen in den letzten Jahren aufgedeckt haben.
Wie er letzten Montag sagte, hat das zwei Gründe: Zum einen scheinen die Schadprogramme und Exploits, die in der Kampagne verwendet werden, von Spanisch sprechenden Entwicklern programmiert worden zu sein. Zum zweiten scheint es keine Verbindung nach China zu geben, das eine Brutstätte für APTs und staatliche Hacker-Attacken ist. The Mask zielt auf Regierungseinrichtungen und Energiekonzerne in über 30 Ländern ab – unter anderem auch in Deutschland und der Schweiz. Sie kann Windows- und Mac-Computer angreifen, doch der Datenverkehr von den Command-and-Control-Servern – deren Kontrolle Kaspersky-Forscher übernommen haben – deutet an, dass The Mask auch Module enthalten könnte, mit denen Linux-, iOS- und Android-Systeme angegriffen werden können.
Die Hintermänner der Kampagne – wer immer das auch sein mag – haben die Operation letzte Woche innerhalb weniger Stunden nach Veröffentlichung der Pressmitteilung von Kaspersky Lab abgeschaltet. Raiu warnte allerdings, dass sie die Kampagne recht einfach wieder starten können, wenn sie das wünschten.
Auf dem Security Analysts Summit traten zahlreiche weitere hochkarätige Sprecher auf, unter anderem Katie Moussouris, Microsoft Security Strategist, die dem sehr unbeliebten Markt für Sicherheitslücken fast im Alleingang Sand ins Getriebe streute, indem sie den Umfang und die Belohung für Forscher ausweitete, die Fehler und Sicherheitslücken an Microsoft berichten.
Chris Soghoian von der American Civil Liberties Union hat sich in seiner Keynote wie üblich nicht zurückgehalten, und über die Auswirkungen und das Erbe der von Edward Snowden veröffentlichten NSA-Geheimnisse gesprochen. Soghoian lieferte eine Rede die Snowden den Rücken stärkte, gegen Regierungsüberwachung – und das vor Zuhörern, die eher der anderen Seite des Spektrums anzugehören schienen.
Weit weniger kontrovers war Steve Adegbite von Wells Fargo, der in seinem Vortrag die Wichtigkeit des Risikomangements hervorhob. Adegbite plädierte für eine massive Risikobewertung, die der wahrscheinlich wichtigste Aspekt in der Sicherheit jeder Organisation sei. „Ihr Risikomodell wird nicht immer funktionieren“, so Adegbite, so dass immer auch das Versagen des Risikomodells eingeplant werden sollte.
Dann zeigten die Kaspersky-Spezialisten Vitaly Kamluk und Sergey Belov zusammen mit Anibal Sacco von Cubica Labs, wie eine potenziell zerstörerische Attacke aus der Ferne alle Daten auf den Opfer-Computern löschen könnte. Kamluk fand die Sicherheitslücke, die diesen Exploit ermöglicht, auf dem Computer seiner Frau. Und dort nicht irgendwo, sondern im BIOS, dessen Aufgabe es ist, den PC-Start einzuleiten. Das Programm mit dem Namen Computrace hat sich so verdächtig wie ein Schadprogramm verhalten, einen neuen Prozess injiziert, Anti-Debugging-Schutz für sich gestartet und seine Anwesenheit verschleiert. Zudem hat es ziemlichen Widerstand gegen seine Löschung gezeigt. Ungewöhnlicherweise handelt es sich hier aber um ein legitimes Programm. Es soll verlorene oder gestohlene Computer aufspüren, wie Kamluk anmerkte – das klingt ganz nützlich. Allerdings hat weder er noch seine Frau das Programm eingeschaltet, was bedeutet, dass es vielleicht auf Millionen von Computern weltweit eingeschaltet sein könnte. Das könnte auch bedeuten, dass Millionen von Anwendern für Angriffe anfällig sind, bei denen alle Daten auf den Computern gelöscht werden könnten, wenn ein Angreifer die Internet-Verbindung des Anwenders kompromittieren kann. Schlimmer noch ist, dass ein Angreifer aus der Ferne massenhaft Daten löschen könnte, wenn er die Internet-Verbindung einer großen Anwendergruppe oder eines Landes kompromittieren kann.
Anschließend nahm der Kryptographie-Experte und legendäre Sicherheits-Experte Bruce Schneier für ein Kamingespräch mit Baroness Pauline Neville-Jones, frühere britische Minister of State for Security and Counter Terrorism, platz. Die zwei debattierten lebhaft darüber, ob es staatliche, sicherheitsfokussierte Überwachung im Internet-Zeitalter geben kann, ohne Bürgerrechte zu verletzen. Schneier, einer der wichtigsten Kritiker flächendeckender Überwachung und der Terrorismus-Panikmache, drückte die fast überall vorherrschende Meinung aus, dass präzise Überwachung aus Gründen der Strafverfolgung und um Verbrecher zu finden, wichtig ist. Allerdings sagte er auch, dass die flächendeckende Überwachung schlecht für alle ist. Er sagte weiter, dass Terrorismus – der Grund, der meist für uneingeschränkte Spionage genannt wird – ein Rundungsfehler bei der Risikobewertung sei. Baroness Neville-Jones sagte dazu, es gebe keine Rundungsfehler, wenn Menschenleben einem Risiko ausgesetzt sind.
Ein weiterer namhafter Sprecher am ersten Tag der Konferenz war Christopher Ahlberg, CEO von Recorded Future, der die Zuhörer auf eine Erkundung der 50 wichtigsten nicht-staatlich gesponsorten Hackergruppen führte, etwa der Syrian Electronic Army. Ahlberg konzentrierte sich vor allem auf die Voraussage von Gefahren basierend auf der Analyse öffentlich erhältlicher Informationen aus Sozialen Netzwerken und anderen einfach zugänglichen Internetbereichen. Peter Zinn vom Dutch National High Tech Crime Unit sprach über die Zukunft der Cyberkrimninalität und verglich sie mit einer Zombie-Apokalypse. Er eröffnete seinen Vortrag mit einer wenig Oscar-verdächtigen Vorstellung eines untoten Eugene Kaspersky. Andre Dornbusch vom Bundeskriminalamt tauchte in die Welt der Banking-Malware und Ransomware für Android ein. Anschließend diskutierte Christian Tancov, ein rumänischer Untersuchungsbeamter für Cyberverbrechen, warum das Skimming, einer der ältesten Tricks bei elektronischen Angriffen, immer noch eine große Gefahr darstellt.
Zinn, Dornbusch, Tancov und Dr. Madan M. Oberoi von Interpol diskutierten später gemeinsam über die ethischen und rechtlichen Auswirkungen globaler Untersuchungen und Verfolgungen von Cyberverbrechen. Diese Diskussion und andere Vorträge der Konferenz zeigten ganz klar, dass übergreifende Zusammenarbeit sowohl wichtig ist, als auch eine große Herausforderung für die Strafverfolgungsbehörden beim Kampf gegen das internationale Cyberverbrechen darstellt.
Davor diskutierten aber noch Eugene Kaspersky, Baroness Neville-Jones, Latha Reddy, der frühere Deputy National Security Adviser von Indien, und Jae Woo Lee von der Dongguk University und der Cyber Forensic Professional Association in Südkorea über die beklagenswerten Zustände im Bereich der Sicherheit kritischer Infrastrukturen.
„Es gibt nur zwei Dinge, die mich nachts nicht schlafen lassen“, so Kaspersky, „die Unsicherheit kritischer Infrastrukturen und Turbulenzen.“
Die Diskussion wurde übrigens von Howard Schmidt, dem früheren Cybersecurity Coordinator der Obama-Regierung, moderiert, der die Teilnehmer fragte, was bei ernsten Sicherheitsproblemen bei Systemen getan werden kann, die wichtige Elemente der Gesellschaft kontrollieren, etwa Wasserwerke und Straßennetze:
„Beten“, sagte Kaspersky, der dabei nur halb witzelte.
Den Bericht zum zweiten Tag der Konferenz finden Sie demnächst in unserem Blog.