Nachrichtendienstlichgesteuerte Cyberangriffe

Nachrichtendienstlichgesteuerte Cyberangriffe

3

Inhaltsverzeichnis

Spionageziel Deutschland – Gefahren durchCyberangriffe 5

Russische Cyberangriffskampagnen 6

Methoden und Ziele 6 Cyberangriffskampagne APT 28 8 Cyberangriffskampagne APT 29 16 Cyberangriffskampagne Snake 17

Chinesische Cyberangriffskampagnen 19

Methoden und Ziele 19 Cyberangriffskampagne APT 3 21 Cyberangriffskampagne APT 10 22

Iranische Cyberangriffskampagnen 24

Methoden und Ziele 24 Cyberangriffskampagne OP Cleaver 25 Cyberangriffskampagne Copy Kitten 26 Cyberangriffskampagne Rocket Kitten 26

Bewertung 27

4

Spionageziel Deutschland – Gefahren durch Cyberangriffe Die Bundesrepublik Deutschlandsteht aufgrund ihrer geopoliti-schen Lage, ihrer Rolle in der Eu-ropäischen Union und der NATOsowie als Standort zahlreicher Un-ternehmen der Spitzentechnolo-gie im Fokus fremder Nach-richtendienste.

Bei der Spionage gegen Deutschland bilden die „klassi-schen“ Spionagemittel, wie z. B. der Einsatz menschli-cher Quellen, nach wie vor eine wichtige Handlungsop-tion. Dies belegt eine Reihe aufgedeckter Spionagefälleder letzten Jahre. Daneben gewinnen aber auch techni-sche Aufklärungsmaßnahmen stetig an Bedeutung.Fremde Nachrichtendienste setzen zunehmend Cyber-angriffe ein, um Regierungsstellen, Wirtschaftsunter-nehmen oder Forschungsinstitute auszuforschen.

Besonders die Nachrichten- und Sicherheitsdienste derRussischen Föderation und der Volksrepublik Chinaentfalten dabei in großem Umfang Spionageaktivitäten.Deren Schwerpunkte orientieren sich an den politi-schen Vorgaben ihrer Regierungen. Hierzu gehört auchder gesetzliche bzw. staatliche Auftrag, die eigene Volks-wirtschaft mit solchen Informationen zu unterstützen,die auf nachrichtendienstlichem Weg beschafft wurden.

Neben Russland und China verfügen aber auch Nach-richtendienste anderer Staaten – wie etwa die des Iran –über die erforderlichen Ressourcen, um derartige tech-nische Informationsgewinnungsmaßnahmen vomAusland aus gegen deutsche Ziele ausführen zu können.

5

Russische Cyberangriffskampagnen

Methoden und ZieleDie Nachrichtendienste der Russischen Fö-deration nutzen in großem Umfang Cyber-angriffe zur Informationsbeschaffung, Des-information und Propaganda. Russischenachrichtendienstliche Cyberangriffe gegendeutsche Ziele sind meist Teil mehrjähriger,

international ausgerichteter Cyberspionage-Operatio-nen. Sie finden im Rahmen einer umfassenden takti-schen und strategischen Informationsgewinnung statt.

Diese Angriffskampagnen zeichnen sich aus durch

• eine hohe technische Qualifikation,• starke finanzielle Ressourcen und• außergewöhnliche Operativ- und

Auswerterfähigkeiten.

Cyberangriffe der russischen Dienste bedrohen in er-heblichem Maße die Informationssicherheit deutscherStellen in Regierung und Verwaltung, aber auch inWirtschaft, Wissenschaft und Forschung.

Viele dieser Angriffskampagnen weisen technische Ge-meinsamkeiten auf. So werden z. B. immer wieder die-selben Serverinfrastrukturen und Schadsoftwarekom-ponenten verwendet. Dies sind wichtige Indizien fürdieselbe Urheberschaft.

Die Angriffe russischer Dienste dienen vor allem derStärkung der äußeren und inneren Sicherheit, der Si-cherung strategischen Einflusses sowie der Förderungrussischer Militär- und Energieexporte und russischer

6

Spitzentechnologie. Analog zur Aufklärung mit tradi-tionellen Spionagemethoden liegt bei der Informati-onsgewinnung mittels Cyberangriffen der Fokus derrussischen Dienste auf allen Politikfeldern, die russi-sche Interessen berühren können:

• Energiepolitik und -sicherheit• außenpolitische Fragen

(EU-, Zentralasien-, Nahost-Politik)• Militärpolitik• die Verteilung von EU-Geldern• humanitäre Fragen

Die Angreifer zielen auch auf die Ausforschung vonSpitzentechnologien mit Schwerpunkt auf den Berei-chen Energie-, Militär-, Röntgen- und Nukleartechniksowie Luft- und Raumfahrt. Zudem stehen Regierungs-kritiker, Journalisten und NGOs sowie internationaleGroßbanken, Rundfunk- und Fernsehanstalten im Fo-kus russischer Angreifer.

Die Kampagnen richten sich deshalb gegen:

• supranationale Organisationen• Regierungsstellen• Streitkräfte• Parlamente und Politiker• deutsche und internationale Wirtschafts-

unternehmen• Wissenschafts- und Forschungseinrichtungen

7

Cyberangriffskampagne APT 28Bei der Cyberangriffskampagne APT 28, auch bekannt alsFancy Bear, handelt es sich um eine langjährige, interna-tional angelegte Angriffsoperation, deren Beginn min-destens bis ins Jahr 2004 zurückreicht. Auch der Cyberan-griff auf das interne Kommunikationsnetzwerk desDeutschen Bundestages, der Anfang Mai 2015 aufgedecktwerden konnte, wird dieser Kampagne zugerechnet.

Vermutlich wird APT 28 durch russische staatliche Stel-len gesteuert. Hierfür spricht insbesondere die bisherige„Opferauswahl“ bzw. das dahinter stehende Aufklä-rungsinteresse. Neben Strukturen der NATO, der OSZEsowie westlichen Verteidigungs- und Außenministerienwaren auch kaukasische Behörden und russische Oppo-sitionelle Opfer der Kampagne. Technische Überein-stimmungen und Parameter, wie z. B. Spracheinstellun-gen und Zugriffszeiten der Angreifer auf Opfersysteme,weisen ebenfalls auf einen russischen Ursprung hin.

Im Mai 2016 wurden erstmals gezielte Angriffsversuchegegen Parteistrukturen und Stiftungen in Deutschlandbekannt, die APT 28 zugerechnet werden. Dabei wurdeinsbesondere mit Spear-Phishing-Angriffen operiert.

8

APT (advanced persistent threat)

Fortgeschrittene andauernde Bedro-hung.

Hiermit wird ein komplexer, zielgerich-teter und effektiver Angriff auf kritischeIT-Infrastruktur oder vertrauliche Da-ten beschrieben. APTs erfolgen nachlanger Vorbereitung und Anpassungan das Opfer. Zumeist ist das Ziel, sichmöglichst lange unentdeckt im Opfer-system zu bewegen, um so möglichstviele Daten abzugreifen.

Angriffsmethode PhishingBeim Phishing versuchen Angreifer über gefälschteoder kompromittierte Webseiten, E-Mails oder Nach-richten an Benutzerinformationen zu gelangen. Dabeigeht es vor allem um das Abschöpfen von Passwörternund Zugangsdaten. Phishing-Mails können allgemeinan eine Vielzahl von Nutzern geschickt werden oderzielgerichtet an einzelne Personen. In solchen Fällenspricht man von Spear-Phishing.

Spear-Phishing-Mails sind also personalisiert undrichten sich beispielweise an Mitarbeiter von Unter-nehmen, aus denen der Angreifer Daten entwendenmöchte. Es werden persönlich zugeschnittene E-Mailsvon einer vermeintlich vertrauenswürdigen Quelle andie Opfer geschickt. Die Inhalte der Mails sind gut re-cherchiert und enthalten teilweise Insiderwissen. Diesverdeutlicht, dass die Angreifer professionelles SocialEngineering betreiben, sich also zuvor intensiv mit demUmfeld des Opfers auseinandersetzen. Die E-Mails ent-halten infizierte Links oder Schadanhänge.

Credential-Phishing beschreibt eine spezielle Form desSpear-Phishing, bei dem gezielt Zugangsdaten, soge-nannte Credentials, abgeschöpft werden sollen. DasVorgehen bei derartigen Angriffen ist meist ähnlich:Dem Opfer wird eine Anmeldeseite vorgetäuscht, dieder Angreifer auf einem eigens hierfür angelegten Ser-ver hinterlegt hat. In der Annahme, dies sei die legitimeSeite, gibt der Nutzer beispielsweise die Anmeldedatenfür sein Mailpostfach ein, die dann von den Angreifernabgegriffen und missbräuchlich weiterverwendet wer-den. Der Unterschied zum legitimen Server wird demAnwender kaum auffallen.

9

Attacken mit Bezug zu ATP 28Mai 2016

Angriffsversuche gegen das Netz derChristlich Demokratischen UnionDeutschlands (CDU)

Bei Analysen zu APT 28 waren Domains aufgefallen, die wahr-scheinlich exklusiv für Phishing-Angriffe gegen Mitarbeiter und Ab-geordnete der CDU angelegt wor-den waren. Die Angriffe warennicht erfolgreich, da die Domainsfrühzeitig blockiert wurden. Andernfalls wären wahrscheinlichalle E-Mails aus den Postfächernkopiert und ausgeleitet worden.

August 2016

Spear-Phishing-Angriffswelle gegenden Deutschen Bundestag und mehrerepolitische Parteien

Versendet wurde eine E-Mail mit maliziö-sem Link von einer gefälschten E-Mail-Adresse der NATO. Der Angriff erfolgte indrei Wellen. In den ersten beiden Wellenwurde ein malizöser Hyperlink eingesetzt.In einer dritten Angriffswelle wurde eingefälschter Absender des EU-Parlamentsverwendet und ein mit Schadcode infizier-tes Word-Dokument angehängt.

10

Februar 2017

Angriffsvorbereitungen einer Spear-Phishing-Kampagne gegen die CDU

Hinweise deuteten auf die Vorbereitung einer Spear-Phishing-Kampagne gegen die CDU hin. Hierfürwurde eine legitime Seite der CDU extra für geplantePhishing-Angriffe imitiert. Soweit technisch verfolgbarfanden nur Angriffsvorbereitungen statt, Spear-Phishing-Mails wurden nicht bekannt.

März 2017

Spear-Phishing-Angriff auf dieKonrad-Adenauer-Stiftung (KAS)

Am 8. März wurde das Netzwerk derCDU-nahen Konrad-Adenauer-Stiftungmit einer Spear-Phishing-Mail ange-griffen. Die Domain mit einer nachge-stellten Login-Seite, von der der Angriffausging, war mutmaßlich allein zu die-sem Zweck angelegt worden.

Credential-Phishing-Angriff auf dieFriedrich-Ebert-Stiftung (FES)

Am 31. März wurde die SPD-nahe Friedrich-Ebert-Stiftung (FES) Opfer eines Credential-Phishing-An-griffs. Die Phishing-Mails erweckten den Anscheinvon der IT-Abteilung der FES zu stammen. Die Opferwurden – nach dem üblichen Schema – aus angebli-chen Sicherheitsgründen aufgefordert, ihre Webmail-Zugangsdaten in das Login-Fenster einzugeben.

11

Auch internationale Einrichtungen gerieten in der Ver-gangenheit wiederholt ins Visier von APT 28. Ende 2016war eine äußerst breit angelegte Spear-Phishing-Kampagne von APT 28 zu verzeichnen, die in mehrerenWellen verlief und sich v. a. gegen diplomatische Vertre-tungen und andere Regierungseinrichtungen weltweitrichtete. In den einzelnen Angriffswellen kamen unter-schiedlich gestaltete Phishing-E-Mails und Angriffsme-thoden zum Einsatz.

Der Angreifer nutzte dabei Zero-Day-Exploits. Das Aus-maß war selbst für die sehr aktive Cyberoperation APT 28 außergewöhnlich. Auslöser der Aktion könnte

die kurz zuvor erfolgte Bekannt-gabe der genannten Sicherheitslü-cken gewesen sein. Vermutlichwollten die Angreifer die Lückennoch kurzfristig ausnutzen, bevorsie von den Software-Herstellerngeschlossen wurden.

Seit dem militärischen Engagement Russlands im syrischen Bürgerkrieg ist eine Intensivierung von APT 28-Angriffen in Jordanien, Syrien und Irak festzu-stellen. Es waren jedoch auch Außen- und Verteidi-gungsministerien in westlichen Staaten betroffen.

Ein weiterer schwerwiegender Angriff wurde Ende Oktober 2016 auf das interne Netz der OSZE festgestellt.Dem Angreifer war es über einen längeren Zeitraum ge-lungen, in großem Umfang Daten aus dem Netzwerkauszuleiten.

12

Zero-Day-Exploits

Hiermit ist ein Angriff gemeint, der einedem Hersteller bislang unbekannte Si-cherheitslücke in der Software (z. B. imFlash Player von Adobe oder in Wind-ows-Betriebssystemen) nutzt.

Cyberangriff auf die Welt-Anti-Doping-Agentur(WADA)Auch bei einem Angriff auf die Athletendatenbank derWelt-Anti-Doping-Agentur (WADA) lassen sich Bezügezu APT 28 herstellen. Im September 2016 veröffentlich-te eine Gruppierung mit der Bezeichnung „Fancy Bears’Hack Team“ auf der Webseite fancy-bear.net medizinische Da-ten prominenter Sportler aus denUSA. Später erfolgten weitere ent-sprechende Veröffentlichungenzu Sportlern aus Großbritannien, Dänemark, Polen, Tschechien, Rumänien sowie Deutschland.

Die betreffenden Sportler verfügen über eine medizini-sche Ausnahmegenehmigung der WADA oder ihrer na-tionalen Anti-Doping-Agentur, die es ihnen erlaubt,zur Behandlung akuter oder chronischer Erkrankun-gen eigentlich verbotene Medikamente einzunehmenund dennoch Wettkämpfe zu bestreiten.

Der Angriff und die Veröffentlichungen erfolgten ge-nau zu dem Zeitpunkt, als eine Reihe russischer Sport-ler wegen systematischer Dopingvergehen ihres Ver-bandes von der Teilnahme an den Olympischen Spielenin Rio de Janeiro ausgeschlossen worden waren.

Die Veröffentlichung der gehackten Daten zielte offen-bar auf die Diskreditierung der WADA und der betrof-fenen Athleten ab. Die Domains, die für den Angriff ver-wendet wurden, weisen starke Überschneidungen zubereits bekannter APT 28-Angriffsinfrastruktur auf.Angesichts des angespannten Verhältnisses Russlandszur WADA bestehen hier Anhaltspunkte für eine False-Flag-Operation der APT 28-Kampagne. 13

False-Flag-Operationen Bereits 2015 konnten Operationen unter „falscher Flag-ge“ innerhalb der APT 28-Angriffskampagne festge-stellt werden.

Die False-Flag-Operationen bilden einen Modus Ope-randi, der bislang nicht bei anderen russischen An-griffskampagnen beobachtet wurde und der dement-sprechend ein Alleinstellungskriterium von APT 28darstellt.

Russische Nachrichtendienste verüben in diesen FällenCyberangriffe unter dem Deckmantel vermeintlicherHacktivistengruppen. Solche Operationen stellen mit-unter eine Ergänzung der Spionage um Sabotage undderen Flankierung mit gezielten Desinformationskam-pagnen und Propaganda dar.

„Guccifer 2.0“ und der DNC-HackEine besonders weitreichende False-Flag-Operationbildete der Cyberangriff auf das Netzwerk des US-ame-rikanischen Democratic National Committee (DNC),der Verwaltungsorganisation der Demokratischen Par-tei der Vereinigten Staaten. Sie wurde von dem bis da-hin unbekannten Pseudonym „Guccifer 2.0“ verübt, dasvon Sicherheitsbehörden und IT-Sicherheitsunterneh-men als eine False-Flag-Operation von APT 28 angese-hen wird. Unter dem Namen „Guccifer 2.0“ bekanntesich ein angeblicher Hacker im Juni 2016 zu einem Cy-berangriff, bei dem es zu einem Datendiebstahl imNetzwerk des DNC kam.

14

„Guccifer 2.0“ gab in seinem Blogan, einen Großteil der entwen-deten Daten an WikiLeaks über-mittelt zu haben. Am 22. Juli,drei Tage vor dem Nominie-rungsparteitag der US-Demo-kraten, wurden über 19.000 interne E-Mails des DNC auf WikiLeaks veröffentlicht, dieseenthielten u. a. Angaben zu Per-sonen, die an die Demokratische Partei gespendet hatten sowie interne Finanzberichte der Partei.

Die Untersuchung des Vorfalls ergab Hinweise auf dierussischen Angriffskampagnen APT 28 und APT 29 alsUrheber. Die Aktivitäten von „Guccifer 2.0“ wurden da-bei als mögliche russische Desinformationskampagnegewertet, die den Präsidentschaftswahlkampf zuguns-ten des republikanischen Spitzenkandidaten Trumpbeeinflussen sollte.

Auch der französische Präsidentschaftskandidat Macron hat Cyberangriffe auf sein Wahlkampfteam be-klagt, die dortigen Untersuchungen zufolge von russi-schen Stellen ausgegangen sein sollen.

Zusammenfassend ist festzuhalten, dass APT 28 nachwie vor eine der umfangreichsten und gefährlichstenKampagnen im Cyberraum darstellt. Das Bedrohungs-potenzial – auch für deutsche Stellen in Verwaltung,Wirtschaft, Wissenschaft und Forschung – ist hoch.Entsprechend begegnet das Bundesamt für Verfas-sungsschutz (BfV) dieser sehr aktiven Angriffskampa-gne mit dem ganzen Spektrum nachrichtendienstlicherInformationsgewinnung sowohl zur Täteraufklärungals auch zur Gefahrenfrüherkennung.

15

16

Cyberangriffskampagne APT 29Bei APT 29, auch bekannt als Cozy Bear, handelt es sichum eine russischen staatlichen Stellen zuzuordnendeAngriffskampagne. Sie zielt vorwiegend auf folgendeBereiche ab:

• Verwaltung• Verteidigung• Energie• Finanzen• Think-Tanks• NGOs• Forschung und Entwicklung

APT 29 ist eine seit mindestens 2008 aktive, technischsehr aufwendig und komplex gestaltete Cyberoperati-on, welche eine Reihe von Zero-Day-Schwachstellenausnutzt und dabei die eingesetzte Schadsoftware imLaufe der Zeit mehrfach modifiziert hat.

Öffentliche Aufmerksamkeit erlangte die Kampagnezuletzt im Rahmen des Mitte Juni 2016 bekannt gewor-denen Cyberangriffs auf das DNC, an dem neben APT28 auch APT 29 beteiligt war. Im Gegensatz zum APT28-Angreifer, der sich erst seit April 2016 im DNC-Netz-werk befunden hatte, war die Infiltration durch APT 29wohl bereits Mitte 2015 erfolgt.

Unmittelbar nach den amerikanischen Präsident-schaftswahlen am 9. November 2016 kam es zu breit an-gelegten Spear-Phishing-Angriffen in mehreren Wellen.Sie richteten sich vor allem gegen amerikanische Think-Tanks, Universitäten, Journalisten und NGOs. So gab ei-ne der versandten Angriffs-E-Mails vor, von der ClintonFoundation zu stammen und im angehängten Doku-

ment Informationen über die wahren Hintergründe desAblaufs der US-Präsidentschaftswahlen zu enthalten.

Der Kampagne APT 29 wird u. a. ein Angriff auf dasBundestagsbüro einer Politikerin der Grünen sowie aufeine NGO in Deutschland zugerechnet. Die Aktivitätendieser hoch spezialisierten Cyberangriffskampagneverdichten sich seit Mitte 2016 deutlich.

Cyberangriffskampagne SnakeBei der Angriffskampagne Snake,auch bekannt als Uroburos oderTurla, handelt es sich um eine ge-heim angelegte Cyberspionage-operation mit internationalemAusmaß, die bis 2005 zurückver-folgt werden kann. Von einer staat-lichen Lenkung – vermutlich unterder Verantwortung des FSB – ist auszugehen. Für die Zu-ordnung zu russischen Stellen bedeutsam ist neben tech-nischen Parametern insbesondere der erkennbare Fokusauf Staaten der ehemaligen Sowjetunion und des ehe-maligen Warschauer Paktes sowie Staaten im Nahen Os-ten. Darüber hinaus bestehen Parallelen zu anderen,ebenfalls Russland zuzuordnenden Kampagnen.

Einen Aufklärungsschwerpunkt von Snake bilden Regie-rungseinrichtungen wie Außenministerien und diplo-matische Vertretungen, Innenministerien oder Tele-kommunikationsministerien. Die Zielauswahl des An-greifers zeigt allerdings auch ein Interesse an Entwick-lungen in Wirtschaft und Forschung, insbesondere inden Bereichen

17

• Energietechnik,• Röntgen- und Nukleartechnologie,• Messtechnologie sowie• Luft- und Raumfahrt.

Zu den betroffenen deutschen Zielen gehörten bislangBotschaften in Westeuropa, mehrere Schulen undHochschulen, aber auch Forschungsinstitute.

Angriff auf RUAG Holding AGAnfang Mai 2016 berichteten schweizerische Medienüber einen erfolgreichen Cyberangriff auf den BernerRüstungs- und Technologiekonzern RUAG HoldingAG. Höchstwahrscheinlich als Folge einer Watering-Hole-Attacke mit einer der Kampagne Snake zuzuord-nenden Schadsoftware konnte der Angreifer ein erheb-liches Datenvolumen ausleiten.

Der Angreifer konnte sich mehre-re Monate lang unbemerkt im Da-tennetz des Konzerns bewegenund dieses weitgehend unter seineKontrolle bringen.

Insgesamt erfolgen die festgestell-ten Angriffe der Kampagne Snakeextrem zielgerichtet. Die jeweili-gen Opfer werden passgenau aus-gewählt und angegriffen, wie auchder RUAG-Vorfall exemplarisch

belegt. Von einem entsprechend hohen Schadpotenzialist auszugehen. Es handelt sich um eine fortdauerndeAngriffsoperation, von der nach wie vor eine hohe Ge-fahr für deutsche Opfer in Regierung und Verwaltung,Wirtschaft, Wissenschaft und Forschung ausgeht.

18

Angriffsmethode Watering-Holes

Bei Watering-Holes handelt es sich umlegitime Webseiten, die mit Schadsoft-ware infiziert wurden. Die Infizierungist meist durch unbekannte Sicher-heitslücken, so genannte Zero-Day-Schwachstellen, möglich. Watering-Holes können als Attacke gegen Unter-nehmen oder Institutionen verwendetwerden, indem z. B. gezielt häufig ge-nutzte Websites der betreffenden Opferinfiziert werden.

Chinesische Cyberangriffskampagnen

Methoden und ZieleDie Möglichkeit zur Durchführung länger-fristiger und strategisch angelegter Spiona-geangriffe im Cyberbereich gehört zum Fä-higkeitenportfolio chinesischer Nachrich-tendienste. Die dortigen Kapazitäten umfas-sen nicht nur die Möglichkeit, komplexe,international angelegte Angriffe zielgerichtet durchzu-führen, sondern diese auch parallel mit einer Vielzahlvon einzelnen Opfern zu betreiben. Im Fokus stehensowohl die deutsche Wirtschaft als auch Regierungs-und Verwaltungseinrichtungen.

Das eigene Erkenntnisaufkommen sowie öffentlich be-kannte chinesische Spionagekampagnen mit RichtungDeutschland bzw. Westeuropa offenbaren ein umfas-sendes Interesse in den Bereichen

• Verwaltung und Regierung,• Militär und Rüstung,• Luft- und Raumfahrt,• Elektronik und Elektrotechnik,• Stahl- und Metallindustrie sowie• Hochtechnologie.

Nachrichtendienstlich initiierte und gesteuerte Kampa-gnen zur Informationsgewinnung stellen aufgrund ihrerQualität und ihres Umfangs eine erhebliche Gefahr fürden Erfolg und die Entwicklungsmöglichkeiten deut-scher Unternehmen und Forschungsinstitutionen dar.

Aber auch Behörden und Regierungsinstitutionen bil-den einen Schwerpunkt im Bereich chinesischer An-

19

griffskampagnen. Ziel der Angreifer ist hier regelmäßigdie Aufklärung außen-, sicherheits- und wirtschaftspo-litischer Standpunkte, Einschätzungen und Hand-lungsoptionen, um dadurch eine entsprechende Infor-mationslage der Volksrepublik China sicherzustellen.

Akteure und VorgehenDie Bandbreite chinesischer Cybergruppierungenreicht von kriminellen Strukturen über sogenannte pa-triotische Hacker bis hin zu Unternehmern, Regie-rungs- und Militärakteuren. Die Interessen und Zieleder einzelnen Gruppierungen überschneiden sich, sodass eine konkrete Zuschreibung teilweise schwierig ist.

Die Kampagnen werden meist über mehrere Jahre fort-geführt. Folgende technische Charakteristika sind da-bei typisch:

• Schwer zu detektierendes Vorgehen bei derZustellung der Malware, der Netzwerkinfiltra-tion, -erkundung und -ausbreitung sowie derDatenausleitung.

• Die Fähigkeit, innerhalb weniger Stunden vomeingeschränkten Zugriff auf ein Netzwerkseg-ment einen vollumfänglichen Zugriff auf das ge-samte (Unternehmens-) Netzwerk zu erlangen.

• Etablierung möglichst vielfältiger Zugangs-möglichkeiten zum infiltrierten Netzwerk, umdie Verbindung zum System auch bei Gegen-maßnahmen des Opfers lange aufrecht zu er-halten.

20

• Kombination von gezielten Spear-Phishing-E-Mails und Massenversand von E-Mails, um eine Verschleierung der echten Ziele zu erreichen.

• Sofortige Ausnutzung von bekannt geworde-nen und bisher nicht angegriffenen Schwach-stellen mittels Zero-Day-Exploits. So wurde imJuli 2015 bei WikiLeaks eine bislang unbekann-te Sicherheitslücke veröffentlicht. Bereits we-nige Tage danach wurde diese Schwachstellevon mutmaßlich chinesischen Stellen dazuausgenutzt, um deutsche Wirtschaftsunter-nehmen anzugreifen.

• Verwischen von „digitalen Spuren“, um eine forensische Analyse von Vorfällen zu erschwe-ren oder unmöglich zu machen.

• Vorgehen nach dem sogenannten „Staubsau-gerprinzip“. Dabei werden alle verfügbaren Daten ohne vorweggenommene Selektion extrahiert.

Auch wenn Angriffe sich nicht explizit gegen deutscheZiele richten, wird Deutschland teilweise als Standortfür die Bereitstellung von Infrastruktur zur Durchfüh-rung von Cyberangriffen genutzt.

Cyberangriffskampagne APT 3Im Juni 2015 richtete sich eine Spear-Phishing-Kampa-gne, die APT 3 zugeordnet wird, gegen deutsche Unter-nehmen, unter anderem ein global operierendes Tech-nologieunternehmen.

21

Die verschickten Phishing-E-Mails mit maliziösemLink wurden dabei so präpariert, dass der Link nur beierstmaligem Anklicken funktionierte. Dies erschwerteeine forensische Analyse und diente allein dem Zweck,den Nachweis des Angriffs und dessen Rückverfolgungzu erschweren. Einige der angegriffenen E-Mail-Adressen waren nicht offen verfügbar.

Dies lässt auf einen gezielt ausgewählten Empfänger-kreis und ggf. das Vorliegen von Insiderwissen schließen.

Die Nutzung von Schadsoftware wie PIRPI, CookieCut-ter, PlugX sowie der Einsatz des Scanbox-Frameworkssprechen in diesem Fall für einen Akteur aus China.Ebenso deuten Schwachstellen, die auch von anderenchinesischen APT-Gruppierungen genutzt werden, so-wie der Umstand, dass Teile der Infrastruktur in derChina lokalisiert wurden, auf eine entsprechende Zu-ordnung hin. Sicherheitsbehörden und IT-Sicherheits-unternehmen gehen aufgrund der vorliegenden Er-kenntnisse von einem staatlich gesteuerten chinesi-schen Hintergrund aus, was auch die hinter dem An-griff stehende Interessenlage bekräftigt. Das Vorgehenerfolgte zielgerichtet und fokussiert. Es ist somit eineAbkehr vom „Staubsaugerprinzip“ wahrzunehmen.

Cyberangriffskampagne APT 10Die mutmaßlich chinesische Kampagne APT 10, die u. a.auch als Menupass Team und Stone Panda bekannt ist,wird mit Cyberangriffen auf IT-Dienstleister und Wirt-schaftsunternehmen in Verbindung gebracht. Die An-griffe stellen eine hohe Bedrohung für betroffene Un-ternehmen und deren Kunden dar.

22

Zwar ist APT 10 mindestens seit dem Jahr 2009 aktiv, ih-re Angriffe richteten sich in der Vergangenheit aller-dings vorrangig gegen US-amerikanische und japani-sche Ziele. Erst seit Ende 2016 scheint sich der Interes-senfokus auf Wirtschaftsunternehmen in Europa er-weitert zu haben.

APT 10 hat neben dem Hochtechnologie-Bereich Auf-klärungsinteresse an:

• Energie• Transport und Verkehr• Rohstoffen• Chemie• Gesundheit• Telekommunikation• Luft- und Raumfahrt

Ausgangspunkt der Cyberangriffe sind in der Regel Spear-Phishing-Mails. Als Schadsoftware kommt imAnschluss häufig PlugX, auch als DestroyRAT bekannt,zum Einsatz. Daneben nutzt die AngreifergruppierungAPT 10 seit Ende 2016 anscheinend exklusiv eineSchadsoftware mit dem Namen ChChes.

Derzeit richten sich die Cyberangriffe der Gruppe ge-zielt gegen IT Service Provider, vor allem Cloud-Dienst-leister, um von dort aus in die oft besser geschütztenSysteme der Kunden zu gelangen. Das Vorgehen wirdals „Operation Cloud Hopper“ bezeichnet.

Betroffen waren bisher vor allem Unternehmen in denUSA, Japan, Großbritannien und Indien.

23

Iranische Cyberangriffskampagnen

Methoden und ZieleDie iranischen Cyberfähigkeiten wurdenmaßgeblich ausgebaut. Grund dafür ist un-ter anderem der Stuxnet-Schock des Jahres2010, bei dem gezielt Steuerungssysteme desiranischen Atomprogramms angegriffenwurden, mit der Absicht dieses lahmzule-

gen. Auch die Nutzung internetbasierter Kommunika-tionsmittel durch oppositionelle Bewegungen bei denPräsidentenwahlen 2009 förderte diese Entwicklung.

AufklärungsinteresseDas iranische Regime setzt seine Cyberkapazitäten mitverschiedenen Zielrichtungen ein. Einerseits soll durchdie Kontrolle internetgebundener Kommunikations-medien den Gefahren für die öffentliche Sicherheit be-gegnet werden. Darüber hinaus ist der Iran bemüht, dieeigene IT-Infrastruktur besser vor Cyberangriffen zuschützen. Die Cyberkapazitäten werden jedoch auch of-fensiv zur Spionage und für Sabotageaktivitäten imAusland genutzt. Letztere setzt der Iran gezielt ein, umsich als ernstzunehmender Cyberakteur zu profilieren.Zu den Hauptzielen gehören vorwiegend die ideologi-schen Gegner Israel, USA und Saudi-Arabien.

Um Opfersysteme mit Schadsoftware zu infizieren, set-zen iranische Cyberakteure gängige Angriffsvektorenwie Spear-Phishing E-Mails und Watering-Hole-Seitenein. Die Auswahl der Werkzeuge und die Ausnutzungbekannter Schwachstellen von Soft- und Hardware er-

24

folgt auch im Iran zweckmäßig und zielgerichtet, häufigdurch Anwendung öffentlich bekannter Hacking-Tools.

Cyberangriffskampagne OP CleaverOP Cleaver ist eine der derzeit aktivsten iranischen Cyberkampagnen. Die Gruppe ist auch unter der Alias-Bezeichnung Oilrig bekannt und weist Verbindungenzu weiteren offensiven Cyberaktivitäten auf, die irani-schen staatlichen Stellen zugeschrieben werden. OP Cleaver ist mindestens seit dem Jahr 2014 aktiv. DieAngreifer weisen sehr vielfältige Operationsziele auf.Zu den Opfern gehören z. B. Unternehmen aus der Rüs-tungsindustrie mit Schwerpunkt Luft- und Raumfahrt.Darüber hinaus greift die Gruppe in jüngerer Zeit ver-mehrt Regierungseinrichtungen im Nahen Osten an.

Berichte von IT-Sicherheitsunternehmen bezüglichÜberschneidungen in der genutzten Infrastruktur mitden in den Kampagnen Cadelle/Chafer sowie Shamoonweisen auf einen möglichen gemeinsamen Urheberdieser Kampagnen hin. Zu den bekannten Zielen vonCadelle/Chafer gehören vorwiegend Unternehmen ausden Sektoren Telekommunikation und Transport. DieGruppe Shamoon wird hingegen mit Sabotage-Opera-tionen gegen Saudi-Arabien in Verbindung gebracht.Bei einem Vorfall im Jahr 2012 soll Shamoon im Rah-men einer Infiltration des Computernetzwerks der sau-dischen Ölfirma Saudi Aramco großflächig Festplattender im Netzwerk verbundenen Server und Clients ge-löscht haben. Seit 2016 werden erneute Aktivitäten derGruppe vor allem im Nahen Osten registriert. Die Grup-pe zeichnet sich insbesondere durch Nutzung derSchadsoftware Wiper aus.

25

Cyberangriffskampagne Copy KittenDie Gruppe Copy Kitten ist seit mindestens 2014 aktiv.In einer Angriffswelle von September 2016 bis Januar2017 versuchte die Gruppe Regierungseinrichtungen inIsrael, im Nahen Osten sowie teilweise auch in westeu-ropäischen Staaten anzugreifen. Die Angreifer nutzensowohl Spear-Phishing als auch Watering-Holes alsAngriffsvektoren. Der breiteren Öffentlichkeit bekanntwurde eine Watering-Hole-Attacke auf das Netzwerkdes Deutschen Bundestags. Hierbei wurden schadhafteVerbindungen bei Seitenaufrufen eines verseuchtenLinks auf der Webseite der israelischen Zeitung Jerusa-lem Post festgestellt.

Cyberangriffskampagne Rocket KittenDie Gruppierung Rocket Kitten hatte einen Aktivitäts-schwerpunkt in den Jahren 2014 und 2015. Die Gruppenutzt einen kombinierten Ansatz aus konventionellenSpear-Phishing-Angriffen und einem aggressiven, teil-weise ausgefeilten Social Engineering. Hierbei versuch-ten die Angreifer, ihre Opfer zur Preisgabe von privatenZugangsdaten zu E-Mail-Postfächern sowie zu Kontenin sozialen Netzwerken auf gefälschten Login-Seiten zubewegen. Die Angreifer kontaktierten hierzu ihre Opferteilweise telefonisch. Betroffen waren vorwiegend Per-sonen aus dem Nahen Osten und Israel. Im Jahr 2015konnte durch operative Fehler der Angreifer ein Akteurder Gruppe identifiziert werden. Aufgrund der vorlie-genden Erkenntnisse wird vermutet, dass die Irani-schen Revolutionsgarden für die Angriffe der Rocket Kitten-Gruppe verantwortlich sind.

26

Bewertung

Russisches BedrohungspotenzialBei der Analyse staatlich gesteuerterCyberangriffe aus Russland zeigt sichdeutlich die hohe informationstechni-sche Qualität der Angriffsoperationen,z. B. durch Ausnutzung noch unbe-kannter Sicherheitslücken. Sichtbarwird auch die Finanzstärke der Täter.Zudem lassen Art und globaler Umfangder Operationen immense Operativ-und Auswertekapazitäten erkennen.Offensichtlich ist Russland in der Lage,auf außenpolitische Kräfteverschiebungen und auf„störend“ empfundene Ereignisse kurzfristig zu reagie-ren. Dabei wird auch vor Sabotageakten nicht zurück-geschreckt.

Die festgestellten Angriffe erfolgen meist sehr zielge-richtet und passgenau. Die Erfolgswahrscheinlichkeitund damit das Schadpotenzial russischer Angriffe er-scheint aufgrund des erkennbar hohen Ressourcenan-satzes, der Hochwertigkeit der Ziele, der herausgehobe-nen technischen Fähigkeiten und des guten Social Engineerings hoch.

Chinesisches BedrohungspotenzialDer Rückgang der mutmaßlich chinesischen APT-An-griffe auf westliche Ziele in den letzten Jahren war in-ternational sichtbar. Die Aufdeckung der „OperationCloud Hopper“ in der jüngsten Vergangenheit zeigt je-

27

doch, dass chinesische APT-Gruppen noch immer aktivCyberspionage betreiben. Dabei ist ein immer an-spruchsvolleres Vorgehen erkennbar, was die Detekti-on derartiger Cyberangriffe erschwert.

Waren die Cyberangriffe mutmaßlich chinesischen Ur-sprungs bis zum Jahr 2016 in Deutschland rückläufig,konnte allerdings zuletzt eine Zunahme sichtbarer An-griffsoperationen verzeichnet werden.

Iranisches BedrohungspotenzialDas Gefährdungspotenzial iranischer Cyberangriffe hatsich in den letzten Jahren signifikant erhöht. PolitischeEreignisse, wie der erfolgreiche Abschluss des Abkom-mens über das iranische Nuklearprogramm im Rah-men der 5+1-Verhandlungen könnten als Indizien füreine Art politisches „Tauwetter“ und ein damit einher-gehendes künftig vermindertes Gefährdungspotentialverstanden werden. Gegen eine solche Einschätzungsprechen allerdings folgende Faktoren:

28

• Wegen des politischen „Tauwetters“ werdenEchtweltaktionen z. B. gegen Oppositionelle imAusland aufgrund der zu befürchtenden politi-schen Kollateralschäden erheblich riskanter.Cyberangriffe könnten hier eine leicht abzu-streitende und anonyme Alternative bieten.

• Die Aufnahme von ausländischen Wirtschafts-kontakten ist trotz der Auflockerung der Sank-tionen weiterhin zurückhaltend, sodass Cyber-operationen alternativ als eine Form der „ver-tragsfernen“ Beschaffung von Knowhow ziel-führend eingesetzt werden könnten.

Das Potenzial zur Durchführung von Cyberangriffenim Iran wird perspektivisch durch die Fokussierung aufCyber-Themen im iranischen Bildungssystem und denprivilegierten Zugriff auf diese Ressourcen durch staat-liche Stellen erheblich zunehmen.

29

ImpressumHerausgeberBundesamt für VerfassungsschutzÖffentlichkeitsarbeitMerianstraße 10050765 Kölnoeffentlichkeitsarbeit@bfv.bund.dewww.verfassungsschutz.deTel.: +49 (0) 221/792-0Fax: +49 (0) 221/792-2915

Gestaltung und DruckBundesamt für VerfassungsschutzPrint- und MedienCenter

Bildnachweis© sdecoret – Fotolia.com© Антон Медведев – Fotolia.com© BirgitKorber – Fotolia.com© profit_image – Fotolia.com© Maksim Kabakou – Fotolia.com© picture alliance / chromorange© picture alliance / chromorange© picture alliance / dpa© dpa© picture alliance / AP Photo© picture alliance / AP Photo© the_lightwriter – Fotolia.com© Birgit/Korber – Fotolia.com© Birgit/Korber – Fotolia.com© BigNazik – Fotolia.com2© ommbeu – Fotolia.com© BfV

StandMai 2018

Diese Broschüre ist Teil der Öffentlichkeitsarbeit des Bundesamtes fürVerfassungsschutz. Sie wird kostenlos abgegeben und ist nicht zum Verkaufbestimmt. Sie darf weder von Parteien noch von Wahlwerbern undWahlhelfern während eines Wahlkampfes zum Zwecke der Wahlwerbung ver-wandt werden.

Was wir bieten, wen wir suchen:

Sinnvolle undsichere Jobs

im Inlandsnachrichtendienst

www.verfassungsschutz.de/karriere

Im VerborgenenGutestun!

Jetzt

auf eine von

vielen freien

Stellen

bewerben!

Weitere Informationen zum Verfassungsschutz finden Sie hier:

www.verfassungsschutz.de