Herausforderungen bei der Analyse von Icefogging

Hit-and-Run-APTs –ein Widerspruch in sich?

| Autor / Redakteur: Thorsten Henning, Palo Alto Netwoks / Stephan Augsten

Kaltgestellt: Icefog-Attacken entziehen sich der forensischen Analyse.
Kaltgestellt: Icefog-Attacken entziehen sich der forensischen Analyse. (Bild: Archiv)

Icefog- oder Hit-and-Run-Attacken sind ein recht junges Phänomen in der IT-Welt. Anfang September sahen sich Regierungen, Medien- und Technologieunternehmen in Japan und Südkorea mit solchen Angriffen konfrontiert. Die ungewohnte Hacking-Methode stellt die IT-Security-Hersteller vor neue Herausforderungen.

Icefog-Attacken werden in der IT-Sicherheitsbranche auch als „Hit-and-Run-APTs“ (Advanced Persistent Threats) bezeichnet. Dies ist ein Widerspruch in sich. Schließlich zeichnen sich APTs dadurch aus, dass der Angreifer einige Zeit in die Vorbereitung seines Angriffs investiert und sich anschließend möglichst lange unbemerkt im Zielsystem bewegt.

Im Falle der kompromittierten japanischen und südkoreanischen IT-Systeme wird jedoch deutlich, warum die Angreifer eben keinen großen Aufwand betrieben mussten: Die Cyber-Kriminellen wussten offenbar genau, was sie stehlen sollten – und sie verließen das System, sobald sie gefunden hatten, wonach sie suchten.

Die Angreifer kamen aus China und wurden nach Erkenntnissen von Kaspersky Lab auf Projektbasis angeheuert. Klar ist auch: Die relativ zielgerichteten und konzentrierten Angriffe dürften deutliche Auswirkungen darauf haben, wie die Branche mit der Weiterentwicklung der Advanced Threats umgehen wird.

Erschwerte Echtzeit-Erkennung

Vor allem aber macht diese Strategie die Einordnung von Angriffen noch komplizierter, als sie ohnehin bereits ist. Bei anderen Angriffen ist eine Einordnung erst möglich, wenn die Analysten einen Angriff live mitverfolgen können. Durch den kleineren Angriffsquerschnitt sinkt die Wahrscheinlichkeit rapide, dass die Response-Teams die Chance bekommen, Icefog sozusagen direkt vor Ort zu analysieren.

Das bedeutet wiederum, dass sich die Untersuchung darauf beschränkt, die von den Angreifern eventuell in den Logs hinterlassenen Spuren zu untersuchen, wodurch natürlich die für die Einordnung zur Verfügung stehende Datenmenge reduziert wird. Die Forscher von Kaspersky Lab kommentierten genau diesen Trend im Rahmen einer Diskussion.

Der Sicherheitsexperte Kurt Baumgartner gab beispielsweise zu verstehen, dass es den „hoch spezialisierten APT-Gruppen“ immer besser gelänge, unter dem Radar zu bleiben. „In dem ganzen Rauschen ein Muster aufzuspüren, ist keine leichte Aufgabe. Die Identifikation der Muster und deren Zuordnung zu einer Gruppe wird immer schwieriger.“

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42381225 / Monitoring und KI)