McAfee Advanced Programs Group: Analyse eines cyberkriminellen Netzwerks

1994 etablierte China seine erste Kabelverbindung zum World Wide Web. Heute ist das chinesische Untergrundnetzwerk für Cyber-Kriminalität ebenso weit verbreitet wie das russische, welches oft als Maßstab für Bedrohungsforscher gilt – Tendenz steigend. Die McAfee Advanced Programs Group (APG) hat umfangreiche Nachforschungen und Analysen zu den Aktivitäten nichtstaatlicher Cybercrime-Gruppierungen in der Region China durchgeführt. Raj Samani, McAfee Fellow und leitender Wissenschaftler bei McAfee, geht in diesem Interview ausführlich auf die wichtigsten Ergebnisse dieser Forschung ein.

Was ist die McAfee Advanced Program Group? Wie sind die Forscher vorgegangen und was haben sie gefunden?

Raj Samani: McAfee APG ist auf die Untersuchung fortschrittlicher Bedrohungsgruppen auf der ganzen Welt spezialisiert, um verwertbare Erkenntnisse und Einblicke in sich entwickelnde und/oder akute Bedrohungen sowie Trends zu erhalten. Zuletzt konzentrierten sie sich auf den chinesischen Cybercrime-Untergrund. Bemerkenswerterweise hat sich dieser von kleinen lokalen Gruppen, die sich hauptsächlich auf chinesische Unternehmen und Bürger konzentrieren, zu großen, gut organisierten kriminellen Netzwerken entwickelt, die in der Lage sind, internationale Organisationen zu hacken. Es zeigte sich dabei, dass diese Gruppen ausgeklügelte Taktiken und Strategien von russischen „Vorbildern“ aus dem Untergrund übernommen haben. So war es den chinesischen Cyber-Kriminalitätsnetzwerken möglich, ihre Aktivitäten schnell und effektiv umzustellen und auszuweiten.

Sie haben erwähnt, dass die Verwendung von Taktiken russischer Cyber-Krimineller den chinesischen Gruppierungen geholfen hat, sich weiterzuentwickeln und auszuweiten. Wie arbeiten Cyber-Kriminelle im Untergrund in China?

Raj Samani: Neben „Attacks-as-a-Service“ gibt es drei wesentliche Methodenänderungen, die deutlich hervorstechen:

1. Die Cyber-Kriminellen wenden sich von der individuellen Kontaktaufnahme über den in China beliebten Instant Messenger Tencent QQ ab und bauen stattdessen formellere cyberkriminelle Netzwerke auf.
2. Um eine staatliche Zensur und – im schlimmsten Falle – eine Strafverfolgung zu vermeiden, haben sie einen Weg gefunden, ihre Absichten sogar im Clearnet zu verschleiern, indem sie einen geheimen Jargon benutzen, der von Insidern leicht erkannt wird. Beispielsweise wird ein kompromittierter Computer oder Server als „chicken meat“ bezeichnet, gekaperte Konten als „letters” oder „envelopes“ und E-Mail-Konten, die für Phishing-Angriffe oder Spamming verwendet werden, werden „(fishing)boxes“ genannt.
3. Die „Master-Apprentice-Methode” ist eine Form der Ausbildung innerhalb des kriminellen Netzwerks und spielt eine bedeutende Rolle in den cyberkriminellen Netzwerken in China. Sogenannte „Masters” werben neue Mitglieder an und erheben von ihnen Ausbildungsgebühren. Diese „Apprentices“ oder „Hackers-in-training“ bzw Lehrlinge sind verpflichtet, an mehreren kriminellen Missionen teilzunehmen und werden mit dem Abschluss an ihrer Ausbildung zu hauptberuflichen Hackern, die für den „Master“ arbeiten.

Raj Samani ist McAfee Fellow und leitender Wissenschaftler bei McAfee. (Bild: McAfee)

Was sind „Attacks-as-a-Service“ genau?

Raj Samani: Die Nachfrage nach cyberkriminellen Aktivitäten wächst, auch unter Laien. Mitglieder des Untergrundnetzes bieten ihre „Expertise“ auf dem chinesischen Schwarzmarkt an: Dienste wie Distributed Denial of Service (DDoS)-Botnets, Traffic-Verkäufe, Quellcode-Schreibdienste, E-Mail-/SMS-Spam und Flooding sind auf solchen Marktplätzen zu finden. Chinesische cyberkriminelle Untergrundmärkte legen außerdem einen großen Wert darauf, einen ausgezeichneten Kundenservice zu bieten. Potenzielle Kunden füllen Formulare für ihre Service-Anfragen aus, einschließlich der Arten von Angriffen, Ziel-IP-Adressen, gewünschter Malware oder Exploit-Toolkits und Online-Zahlungsabwicklung. Viele Hacker dehnen ihre Arbeitszeiten auf das Wochenende aus und bieten sogar rund um die Uhr technischen Support für Kunden, die keinen entsprechenden Hintergrund haben.

Wie und was genau konnten die chinesischen Cyber-Kriminellen exfiltrieren?

Raj Samani: Vor allem Südkorea, Taiwan, Singapur, Deutschland, Kanada und die Vereinigten Staaten fallen vermehrt den wachsenden Gefährdungsaktivitäten zum Opfer. Unsere Forscher fanden eine erhebliche Menge an Daten und Dokumenten, die im Dark Web zum Verkauf stehen: Darunter befanden sich zum Beispiel eine Million gestohlene US-amerikanische E-Mails mit verschlüsselten Passwörtern, die für 117 US-Dollar verkauft wurden, oder 1,9 Millionen deutsche E-Mail-Konten mit Klartext-Passwörtern für 400 US-Dollar. Gefälschte oder gescannte US-amerikanische und kanadische Pässe sind gefragte Angebote, die für nur 13 US-Dollar verkauft werden. Wir fanden auch vollständige Geschäftsdossiers über chinesische Firmen und Regierungsbehörden, interne Mitarbeiterverzeichnisse von namhaften Technologie-Unternehmen sowie detaillierte Kontaktinformationen und andere firmeneigene Angaben von führenden Unternehmen.

Was macht die Leistungen der McAfee APG so wichtig? Was bietet sie, was anderen Organisationen fehlt?

Raj Samani: Bei der Recherche geht es nicht nur um das Sammeln von Informationen, worauf sich viele Organisationen konzentrieren. Um den gesamten IPB (Intelligence Preparation of the Battlefield)-Prozess – der ursprünglich aus dem militärischen Bereich kommt – abzuschließen, muss man auch die Analyse der gesammelten Daten integrieren. So kann man den Verantwortlichen eine Orientierung geben, damit diese die richtigen taktischen Entscheidungen treffen können. Strategisch eingesetzt verhilft dieses Wissen Organisationen zu einer stärkeren Position, aus der sie offensiv oder defensiv handeln können.

Die Cybersicherheit entwickelt sich ständig weiter, da sowohl Cyber-Kriminelle als auch deren Gegner neue Technologien entwickeln und an ihr Geschäft anpassen. Sowohl die Aufdeckung als auch die Abwehr von Cyber-Kriminalität beruhen auf einem besseren Verständnis der bekannten Angriffsmuster, die sich auf die Bedrohungslage eines Unternehmens auswirken. Dieses Verständnis kann zur Verbesserung der Bedrohungsüberwachung, zur Gefahrenabwehr, zur Reaktion auf Zwischenfälle und für andere Bereiche der aktiven Verteidigungsstrategien genutzt werden. Die Untersuchungen der APG über das Geschäft der chinesischen Internetkriminalität bieten Einblick in potenzielle Bedrohungen oder böswilliges Verhalten, die es auf Unternehmen abgesehen haben.
Unsere Untersuchung zur chinesischen Cyber-Kriminalität klärt Fachleute über die sie umgebenden Bedrohungen auf und versetzt sie in die Lage, ihre Organisationen proaktiv vorzubereiten statt nur auf Angriffe zu reagieren. Darüber hinaus gibt es viele Fälle, in denen sich Unternehmen nicht bewusst sind, dass sie Opfer eines Cyber-Angriffs geworden sind – zum Beispiel, wenn ihre unternehmensinternen Daten nach Erkenntnissen von McAfee APG im Dark Web verkauft werden und in einigen Fällen verheerende Auswirkungen auf ihr Geschäft haben könnten.

Anja Schmoll-Trautmann

Anja Schmoll-Trautmann berichtet seit 2001 vorrangig für ZDNet.de über aktuelle Entwicklungen im Bereich Consumer Electronics, Mobile und Peripherie. Seit 2012 beschäftigt sie sich auch für silicon.de immer wieder mit Business-Hardware, Digitalisierung und Markttrends.

Recent Posts

Weltweiter Smartphonemarkt wächst 11 Prozent im zweiten Quartal

Die Absatzzahlen sind im Vergleich zum Vorquartal jedoch rückläufig. Fehlende Komponenten schränken die Lieferfähigkeit einiger…

36 Minuten ago

Samsung meldet höchsten operativen Gewinn seit drei Jahren

Der Umsatz steigt um 20 Prozent auf einen neuen Höchstwert für ein Juni-Quartal. Samsung profitiert…

3 Stunden ago

Microsoft meldet Umsatz- und Gewinnwachstum im vierten Fiskalquartal

Beide Kategorien übertreffen auch die Erwartungen von Analysten. Die Cloudsparte erzielt mit 30 Prozent das…

24 Stunden ago

Windows Server: Microsoft beschränkt sich künftig auf LTSC-Releases

Der Semi-Annual Channel fällt dem Rotstift zum Opfer. Das LTSC-Release erhält indes zehn Jahre Support.…

1 Tag ago

Apple meldet neuen Umsatzrekord im dritten Fiskalquartal

Die Einnahmen und auch der Gewinn legen deutlich zu. Beide Kategorien übertreffen die Prognosen der…

1 Tag ago

Kaseya dementiert Lösegeldzahlung

Das Entschlüsselungstool steht weiterhin betroffenen Organisationen kostenlos zur Verfügung. Kaseya verlangt jedoch die Unterzeichnung einer…

2 Tagen ago