TOP
Grizzly Steppe

Januar 2017

Grizzly Steppe: So funktioniert Spearphishing

Auf Grund der aktuellen Ereignisse in der Weltpolitik hat die US-Bundespolizei FBI ein interessantes Dokument mit dem Titel "GRIZZLY STEPPE - Russian Malicious Cyber Activity" veröffentlicht. Das Dokument soll aufzeigen, wie russische Hacker in den US-Wahlkampf eingegriffen haben.

Unabhängig davon, wer diesen Angriff nun ausgeführt hat, ist die detaillierte und allgemein verständliche Beschreibung zur Vorgehensweise der Angreifer in dem FBI-Dokument recht interessant. Die dabei benutzte Technik Spearphishing ist nicht neu. Sie führt aber offensichtlich immer wieder zum Erfolg. Auch bei Personen, die engsten Kontakt zu den prominentesten Politikern der Welt haben.

Ein Spearphishing-Angriff beginnt in der Regel mit dem Versand einer E-Mail, die vorgibt, aus einer vertrauenswürdigen Quelle zu stammen. Beispiele für solche vermeintlich sicheren Quellen sind häufig Internetdienste mit großer Mitgliederzahl, wie Google, PayPal usw. Es kann sich aber auch um einen Absender handeln, der dem Empfänger persönlich bekannt ist. Auf jeden Fall ist in die Angriffs-E-Mail ein Link eingebettet, auf den der Empfänger klicken soll. Nach dem Klick sind unterschiedliche Szenarien denkbar. In einigen Fällen wird der Benutzer über eine Fake-Website aufgefordert, ein neues Passwort für einen x-beliebigen Account einzutippen. Ein Beispiel wäre eine gefälschte Google-Webseite, die den Benutzer auffordert, ein neues Passwort für den Gmail-Account festzulegen.

 

Grizzly Steppe

Abbildung 1: So läuft laut FBI die "Grizzly Steppe" genannte Spearfishing-Attacke.

 

Die Abbildung 2 (Figure 2 auf Seite 3) im FBI-Dokument zeigt ausführlich, wie die Angreifer in diesem Fall vorgegangen sind. Es existieren insgesamt drei Ebenen. Die Angreifer selbst befinden sich im Adversary Space irgendwo auf der Welt. Um gegenüber dem Opfer im Victim Space nicht direkt in Erscheinung zu treten, haben die Angreifer Zugriff auf einen Neutral Space, i. d. R. eine Rechnerinfrastruktur, die entweder gekapert wurde oder aus anderen Gründen die wahre Identität der Angreifer sicher schützt. Der gesamte Angriff in der FBI-Abbildung läuft in 10 Schritten ab:

1. Schritt: Der Angreifer nimmt aus seiner sicheren Umgebung (Adversary Space) heraus Kontakt zur Rechnerinfrastruktur im Neutral Space auf, um den Versand einer infizierten E-Mail (im FBI-Beispiel eine E-Mail mit einem Link zu einer Fake-Webseite) in die Wege zu leiten.

2. Schritt: Die infizierte Angriffs-E-Mail wird aus der Rechnerinfrastruktur im Neutral Space heraus an einen bestimmten Empfänger geschickt.

3. Schritt: Die E-Mail erreicht den Posteingang des Empfängers. Als Absender wird dem Empfänger eine vertrauenswürdige E-Mail-Adresse präsentiert. Bei einer etwas ausführlicheren Untersuchung lässt sich meistens recht einfach erkennen, dass die E-Mail nicht wirklich vom vorgegebenen Absender verschickt wurde.

4. Schritt: Der Empfänger klickt auf den Link und landet auf einer Fake-Webseite, die z. B. vorgibt, zu Google, PayPal, T-Online usw. zu gehören. Diese Webseite fordert das Opfer auf, ein neues Passwort für seinen Account festzulegen oder das aktuelle Passwort aus Sicherheitsgründen zu bestätigen. Das Opfer erkennt nicht, dass es sich um eine gefälschte Webseite handelt und folgt den Anweisungen. Die gefälschte Webseite hostet der Angreifer auf einem Rechner im Neutral Space. Eine direkte (IP-/DNS-) Verbindung zwischen dem Link in der Angriffs-E-Mail und dem Angreifer im Adversary Space existiert somit nicht.

5. Schritt: Die Passwort-Eingaben des Opfers werden im Neutral Space an einen weiteren Rechner übermittelt. Dort kann Sie der Angreifer vom Adversary Space aus einsehen.

6. Schritt: Der Angreifer besitzt nun die Zugriffsrechte, um auf ein Zielsystem des Opfers zuzugreifen. Der Zugriff erfolgt nicht direkt vom Rechner des Angreifers, sondern über die dazwischengeschaltete Infrastruktur im Neutral Space.

7. Schritt / 8. Schritt: Missbräuchliche Nutzung der Zielsysteme. Der Angreifer kann nun z. B. eine x-beliebige Schadsoftware auf den Zielsystemen installieren, um die unberechtigte Nutzung auszuweiten.

9. Schritt / 10. Schritt: Der Angreifer kann auch x-beliebige Daten vom Zielsystem absaugen, um weiteren Schaden anzurichten.

 

Fazit: Wenn Sie als Administrator für einen VPN-Server verantwortlich sind – beispielsweise unseren SSR/525 – müssen Sie durch überlegtes und kontrolliertes Verhalten jederzeit sicherstellen, dass bei Ihnen kein Angreifer per Spearphishing die Zugriffsrechte für Ihren SSR/525-Server abgreifen kann. Ansonsten ist Ihr gesamtes VPN praktisch wertlos. Für ein sicheres Verhalten, indem Spearphishing nahezu unmöglich ist, gibt es zahlreiche Möglichkeiten.

Gerne helfen wir Ihnen dabei, sichere Administrations-Prozesse in Ihrer Organisation umzusetzen – sprechen Sie uns dazu einfach an! Hier finden Sie unsere Kontaktinformationen.

 

 

Zurück zur Übersicht

SSV Software Systems GmbH

Dünenweg 5
30419 Hannover

Tel.: +49(0)511 / 40 000-0
Fax: +49(0)511 / 40 000-40

sales@ssv-embedded.de

© 2017 SSV Software Systems GmbH. Alle Rechte vorbehalten.

ISO 9001:2015