McAfee Advanced Programs Group: Analyse eines cyberkriminellen Netzwerks

Sicherheitskonzpt (Shutterstock.com/everything possible)

Die McAfee Advanced Programs Group (APG) hat umfangreiche Nachforschungen und Analysen zu den Aktivitäten nichtstaatlicher Cybercrime-Gruppierungen in der Region China durchgeführt. Raj Samani, McAfee Fellow und leitender Wissenschaftler bei McAfee, geht in diesem Interview ausführlich auf die wichtigsten Ergebnisse dieser Forschung ein.

1994 etablierte China seine erste Kabelverbindung zum World Wide Web. Heute ist das chinesische Untergrundnetzwerk für Cyber-Kriminalität ebenso weit verbreitet wie das russische, welches oft als Maßstab für Bedrohungsforscher gilt – Tendenz steigend. Die McAfee Advanced Programs Group (APG) hat umfangreiche Nachforschungen und Analysen zu den Aktivitäten nichtstaatlicher Cybercrime-Gruppierungen in der Region China durchgeführt. Raj Samani, McAfee Fellow und leitender Wissenschaftler bei McAfee, geht in diesem Interview ausführlich auf die wichtigsten Ergebnisse dieser Forschung ein.

Was ist die McAfee Advanced Program Group? Wie sind die Forscher vorgegangen und was haben sie gefunden?

Raj Samani: McAfee APG ist auf die Untersuchung fortschrittlicher Bedrohungsgruppen auf der ganzen Welt spezialisiert, um verwertbare Erkenntnisse und Einblicke in sich entwickelnde und/oder akute Bedrohungen sowie Trends zu erhalten. Zuletzt konzentrierten sie sich auf den chinesischen Cybercrime-Untergrund. Bemerkenswerterweise hat sich dieser von kleinen lokalen Gruppen, die sich hauptsächlich auf chinesische Unternehmen und Bürger konzentrieren, zu großen, gut organisierten kriminellen Netzwerken entwickelt, die in der Lage sind, internationale Organisationen zu hacken. Es zeigte sich dabei, dass diese Gruppen ausgeklügelte Taktiken und Strategien von russischen „Vorbildern“ aus dem Untergrund übernommen haben. So war es den chinesischen Cyber-Kriminalitätsnetzwerken möglich, ihre Aktivitäten schnell und effektiv umzustellen und auszuweiten.

Sie haben erwähnt, dass die Verwendung von Taktiken russischer Cyber-Krimineller den chinesischen Gruppierungen geholfen hat, sich weiterzuentwickeln und auszuweiten. Wie arbeiten Cyber-Kriminelle im Untergrund in China?

Raj Samani: Neben „Attacks-as-a-Service“ gibt es drei wesentliche Methodenänderungen, die deutlich hervorstechen:

1. Die Cyber-Kriminellen wenden sich von der individuellen Kontaktaufnahme über den in China beliebten Instant Messenger Tencent QQ ab und bauen stattdessen formellere cyberkriminelle Netzwerke auf.
2. Um eine staatliche Zensur und – im schlimmsten Falle – eine Strafverfolgung zu vermeiden, haben sie einen Weg gefunden, ihre Absichten sogar im Clearnet zu verschleiern, indem sie einen geheimen Jargon benutzen, der von Insidern leicht erkannt wird. Beispielsweise wird ein kompromittierter Computer oder Server als „chicken meat“ bezeichnet, gekaperte Konten als „letters” oder „envelopes“ und E-Mail-Konten, die für Phishing-Angriffe oder Spamming verwendet werden, werden „(fishing)boxes“ genannt.
3. Die „Master-Apprentice-Methode” ist eine Form der Ausbildung innerhalb des kriminellen Netzwerks und spielt eine bedeutende Rolle in den cyberkriminellen Netzwerken in China. Sogenannte „Masters” werben neue Mitglieder an und erheben von ihnen Ausbildungsgebühren. Diese „Apprentices“ oder „Hackers-in-training“ bzw Lehrlinge sind verpflichtet, an mehreren kriminellen Missionen teilzunehmen und werden mit dem Abschluss an ihrer Ausbildung zu hauptberuflichen Hackern, die für den „Master“ arbeiten.

Raj Samani ist McAfee Fellow und leitender Wissenschaftler bei McAfee. (Bild: McAfee)
Raj Samani ist McAfee Fellow und leitender Wissenschaftler bei McAfee. (Bild: McAfee)

Was sind „Attacks-as-a-Service“ genau?

Raj Samani: Die Nachfrage nach cyberkriminellen Aktivitäten wächst, auch unter Laien. Mitglieder des Untergrundnetzes bieten ihre „Expertise“ auf dem chinesischen Schwarzmarkt an: Dienste wie Distributed Denial of Service (DDoS)-Botnets, Traffic-Verkäufe, Quellcode-Schreibdienste, E-Mail-/SMS-Spam und Flooding sind auf solchen Marktplätzen zu finden. Chinesische cyberkriminelle Untergrundmärkte legen außerdem einen großen Wert darauf, einen ausgezeichneten Kundenservice zu bieten. Potenzielle Kunden füllen Formulare für ihre Service-Anfragen aus, einschließlich der Arten von Angriffen, Ziel-IP-Adressen, gewünschter Malware oder Exploit-Toolkits und Online-Zahlungsabwicklung. Viele Hacker dehnen ihre Arbeitszeiten auf das Wochenende aus und bieten sogar rund um die Uhr technischen Support für Kunden, die keinen entsprechenden Hintergrund haben.

Wie und was genau konnten die chinesischen Cyber-Kriminellen exfiltrieren?

Raj Samani: Vor allem Südkorea, Taiwan, Singapur, Deutschland, Kanada und die Vereinigten Staaten fallen vermehrt den wachsenden Gefährdungsaktivitäten zum Opfer. Unsere Forscher fanden eine erhebliche Menge an Daten und Dokumenten, die im Dark Web zum Verkauf stehen: Darunter befanden sich zum Beispiel eine Million gestohlene US-amerikanische E-Mails mit verschlüsselten Passwörtern, die für 117 US-Dollar verkauft wurden, oder 1,9 Millionen deutsche E-Mail-Konten mit Klartext-Passwörtern für 400 US-Dollar. Gefälschte oder gescannte US-amerikanische und kanadische Pässe sind gefragte Angebote, die für nur 13 US-Dollar verkauft werden. Wir fanden auch vollständige Geschäftsdossiers über chinesische Firmen und Regierungsbehörden, interne Mitarbeiterverzeichnisse von namhaften Technologie-Unternehmen sowie detaillierte Kontaktinformationen und andere firmeneigene Angaben von führenden Unternehmen.

Was macht die Leistungen der McAfee APG so wichtig? Was bietet sie, was anderen Organisationen fehlt?

Raj Samani: Bei der Recherche geht es nicht nur um das Sammeln von Informationen, worauf sich viele Organisationen konzentrieren. Um den gesamten IPB (Intelligence Preparation of the Battlefield)-Prozess – der ursprünglich aus dem militärischen Bereich kommt – abzuschließen, muss man auch die Analyse der gesammelten Daten integrieren. So kann man den Verantwortlichen eine Orientierung geben, damit diese die richtigen taktischen Entscheidungen treffen können. Strategisch eingesetzt verhilft dieses Wissen Organisationen zu einer stärkeren Position, aus der sie offensiv oder defensiv handeln können.

Die Cybersicherheit entwickelt sich ständig weiter, da sowohl Cyber-Kriminelle als auch deren Gegner neue Technologien entwickeln und an ihr Geschäft anpassen. Sowohl die Aufdeckung als auch die Abwehr von Cyber-Kriminalität beruhen auf einem besseren Verständnis der bekannten Angriffsmuster, die sich auf die Bedrohungslage eines Unternehmens auswirken. Dieses Verständnis kann zur Verbesserung der Bedrohungsüberwachung, zur Gefahrenabwehr, zur Reaktion auf Zwischenfälle und für andere Bereiche der aktiven Verteidigungsstrategien genutzt werden. Die Untersuchungen der APG über das Geschäft der chinesischen Internetkriminalität bieten Einblick in potenzielle Bedrohungen oder böswilliges Verhalten, die es auf Unternehmen abgesehen haben.
Unsere Untersuchung zur chinesischen Cyber-Kriminalität klärt Fachleute über die sie umgebenden Bedrohungen auf und versetzt sie in die Lage, ihre Organisationen proaktiv vorzubereiten statt nur auf Angriffe zu reagieren. Darüber hinaus gibt es viele Fälle, in denen sich Unternehmen nicht bewusst sind, dass sie Opfer eines Cyber-Angriffs geworden sind – zum Beispiel, wenn ihre unternehmensinternen Daten nach Erkenntnissen von McAfee APG im Dark Web verkauft werden und in einigen Fällen verheerende Auswirkungen auf ihr Geschäft haben könnten.