Der
Kampf für das Gute

In unseren Netzwerken tobt ein Krieg, an dessen Fronten Sicherheitsexperten weltweit kämpfen. Hier lesen Sie, wie unser Eliteteam aus Sicherheitsfachleuten eine der größten Bedrohungen der letzten Jahre beseitigen konnte.

Von Eric Adams
Fotos von Kenny Braun

Was für den Cybersicherheitsexperten Matt Olney (Foto oben) wie ein ganz normaler Samstagnachmittag im Jahr 2015 begann, entpuppte sich bald als Ausnahmemoment seiner bisherigen Karriere. Er saß zu Hause in Maryland (USA) mit dem Laptop auf dem Sofa und ging seiner Lieblingsbeschäftigung nach – der Jagd auf Cyberkriminelle, eine nie endende Auseinandersetzung zwischen Gut und Böse.

Matt Olney ist einer der über 250 Sicherheitsforscher bei Cisco Talos, die jeden Tag aufs Neue ins Feld ziehen, um die weltweiten Netzwerke und Datenautobahnen gegen die immer raffinierteren Cyberbedrohungen von heute zu verteidigen.

An jenem Samstag richtete Olney einen sogenannten „Honeypot“ ein – einen unverdächtig wirkenden Server, der potenzielle Angreifer mit besonders unsicheren Kennwörtern und veralteten Sicherheits-Patches anlocken soll. Um seine Absichten noch besser zu verschleiern, ließ es Olney so aussehen, als befinde sich der Server in Singapur.

Wochenendarbeit ist für Olney wie für viele seiner Talos-Kollegen übrigens selbstverständlich. „Es ist keine lästige Pflicht für mich“, so Olney. „Schließlich nehmen sich die Cyberkriminellen auch keine Auszeit.“

Talos analysiert pro Tag etwa 1,5 Millionen Malware-Instanzen und stoppt jährlich 7,2 Billionen Angriffe. Zu diesem Zweck unterhält Talos das weltweit größte Netzwerk zur Bedrohungserkennung. Mit führenden Erkennungs- und Präventionstechniken werden aktuelle Trends in den Bereichen Hacking, unautorisierter Zugriff, Malware und Sicherheitslücken erkannt, bewertet und als Grundlage für entsprechende Maßnahmen genutzt.

Innerhalb von Talos gibt es eine Handvoll Teams, die sich auf verschiedene Gebiete spezialisiert haben. Das Outreach-Team ist immer auf der Suche nach neuen Bedrohungen. Andere Teams analysieren Malware und Sicherheitslücken, um Schutzmaßnahmen für unsere Kunden zu entwickeln. Wieder andere sind für die Kommunikation zuständig, geben öffentliche Sicherheitsberichte heraus und stehen in direktem Kontakt mit Kunden, IT-Anbietern, Service-Providern und sogar Mitbewerbern.

Manchmal spielen sie wie Olney gerne eine Runde Katz und Maus mit Angreifern. Er aktivierte seinen Honeypot und griff nach seinem Glas, um einen Schluck zu trinken. Fast noch bevor er das Glas wieder absetzen konnte, wurde ihm bereits ein Treffer angezeigt.

„Die Honeypot-Software war noch gar nicht vollständig installiert, da sah ich schon den ersten fehlgeschlagenen Anmeldeversuch“, berichtet Olney.

Mit anderen Worten: Angreifer versuchten bereits, die Sicherheitsmaßnahmen des Honeypot zu überlisten, um einen schnellen Zugriff mit darauffolgender Infektion zu erzielen. Die Kriminellen hatten einen Brute-Force-Angriff gestartet, bei dem sie eine Vielzahl bekannter oder gängiger Kennwörter in schneller Abfolge ausprobieren, um sich Zugriff zu verschaffen. „Das Tempo war erstaunlich“, so Olney.

Nachdem dieser erste Fisch angebissen hatte, richtete Olney schnell weitere Honeypots in einem Dutzend anderer Netzwerke auf verschiedenen Kontinenten ein. Er hoffte, auf diese Weise noch mehr Angriffe zu provozieren und sich den Angreifern weiter zu nähern. Die Honeypots konnten nicht miteinander in Verbindung gebracht werden. „Wir richten häufig Honeypots ein, die wie Systeme zur Fertigungs- und Prozessautomatisierung, Webserver, Server für elastische Suchen, IP-Telefonieserver oder gar Gaspumpen wirken“, erklärt Olney.

„Diese Honeypots werden von keinerlei legitimem Datenverkehr angesteuert, also musste der gesamte an sie gerichtete Datenverkehr von den Angreifern ausgehen. Das war bei Weitem der unverhohlenste versuchte Diebstahl, den wir je gesehen hatten.“

Craig Williams
Threat Intelligence Outreach Manager

Digitale Detektive

Nun begann die echte Detektivarbeit. Da Olneys Honeypots alle fehlgeschlagenen Anmeldeversuche von den Angreifern unbemerkt aufgezeichnet hatten, konnten die Analysten von Talos die Versuche mit bekannten Kennwortverzeichnissen abgleichen – Datenbanken mit mehr als 450.000 Kennwörtern, die oft online unter Hackern gehandelt werden.

Das Threat-Intelligence-Team übernahm die Analyse der Datenverkehrsmuster. Das Detection-Research-Team zerlegte den Code des DDoS-Trojaners. Ein Team von Talos-Datenanalysten suchte nach weiteren Hinweisen auf die Identität der Angreifer.

„Unsere Experten für Datenanalysen filtern auch die feinsten Nuancen aus Daten heraus. Sie sind mathematisch so geschult, dass sie anhand der Mengenlehre und der Cluster-Algorithmen zuverlässig die Urheber, die Art und den Ausgangspunkt eines Angriffs ermitteln können“, so Senior Director Matt Watchinski, erfahrener Sicherheitsexperte und Leiter von Talos aus Columbia (Maryland, USA).

Gemeinsam kamen die Talos-Teams der Quelle der Angriffe auf die Spur: Es waren nur zwei Netzwerke in Hongkong. Nach Abwägung einiger Alternativen gaben die Talos-Mitglieder den Angreifern den Namen „SSHPsychos“.

Dem Team wurde schnell bewusst, dass die SSHPsychos keine Amateure sein konnten. Talos und andere Sicherheitsexperten schätzten den Wert der SSHPsychos-Infrastruktur alleine auf mehr als 100.000 US-Dollar – ganz abzusehen von den Kosten für den laufenden Betrieb. „Manche Ausrüstung und Techniken, die uns heute begegnen, sind unglaublich komplex“, so Williams.

„Unsere Experten für Datenanalysen filtern auch die feinsten Nuancen aus Daten heraus. Sie sind mathematisch so geschult, dass sie anhand der Mengenlehre und der Clusteralgorithmen zuverlässig die Urheber, die Art und den Ausgangspunkt eines Angriffs ermitteln können.“

Matt Watchinski
Senior Director von Cisco Talos

Katz und Maus

Nachdem der Standort der SSHPsychos nun bekannt war, sollte es ihnen an den Kragen gehen.

Talos war bereit. Und nicht allein. Talos pflegt enge Beziehungen zur Cybersicherheits-Community, von denen eine bei der Bekämpfung der SSHPsychos unverzichtbar war.

Olney und sein Team gaben ihre Erkenntnisse vertraulich an Bedrohungsforscher des multinationalen Telekommunikationsanbieters Level 3 Communications aus Broomfield (Colorado, USA) weiter, der an der weltweiten Backbone-Infrastruktur des Internets beteiligt ist.

„Wir arbeiten mit Cisco Talos zusammen, um Bedrohungen in unserem eigenen Netzwerk und in den Netzwerken unserer Kunden zu beseitigen. Gemeinsam erfahren wir mehr über die Angreifer und können sie am Fortkommen hindern“, berichtet Mike Benjamin aus den Threat Research Labs von Level 3.

Die Profis von Level 3 erfassten den Umfang der Bedrohung schnell und reagierten sofort. Gemäß seinem Kundenprotokoll kann Level 3 nicht einfach einen Standort auf die Blacklist setzen, auch wenn von dort schädlicher Datenverkehr ausgeht. Stattdessen unterrichtete Level 3 den Anbieter China Telecom über die illegalen Aktivitäten in seinem Netzwerk.

Als die Nachforschungen schnell höhere Wellen schlugen, bekamen die Angreifer Wind davon. Nahezu sofort stellten die SSHPsychos sämtliche Aktivitäten ein, sodass Talos erstmals ihre Spur verlor.

An einem Tag hatten diese Angreifer noch ein Drittel der weltweiten SSH-Aktivität generiert. Am nächsten Tag waren sie verschwunden. Und mit ihnen vielleicht die Chance, sie aufzuhalten.

„Wir bei Talos haben die Aufgabe, verschiedene Gruppen miteinander in Kontakt zu bringen und sie über neu entstehende Bedrohungen zu informieren. Wir sitzen alle im selben Boot.“

Joel Esler
Threat Intelligence Manager
bei Cisco Talos

Esler hat bei Talos viele Aufgaben. Er arbeitet nicht nur mit Strafverfolgungsbehörden zusammen, sondern leitet auch ein Team, das mehrere Open-Source Security-Communitys verwaltet. Hierzu zählt auch Snort, das vom Sourcefire-Gründer Martin Roesch entwickelte vielgelobte System zur Erkennung von Eindringlingen. Als Sourcefire 2013 zu Cisco übersiedelte, war auch Snort mit im Gepäck. Zusätzlich verwaltet Eslers Team die Website TalosIntel.com, auf der Talos Informationen für die breite Öffentlichkeit bereitstellt.

„Wir bei Talos haben die Aufgabe, verschiedene Gruppen miteinander in Kontakt zu bringen und sie über neu entstehende Bedrohungen zu informieren“, so Esler. „Wir sitzen alle im selben Boot.“

Talos und Level 3 waren bereit für eine erneute Jagd auf die Angreifer. Dieses Mal gingen sie deutlich aggressiver vor.

Am 7. April 2015 richtete Level 3 ein „Black Hole“ ein, das den gesamten Datenverkehr der SSHPsychos in den weltweiten Netzwerken von Level 3 blockierte – eine bis dahin noch nie eingesetzte Maßnahme. Auch andere Internetanbieter wurden von Level 3 kontaktiert und um Unterstützung bei der Blockade gebeten.