Analyse der Hacking-Attacke aufs Department of Defense 2011

IT-Verteidigungslinien im Pentagon

| Autor / Redakteur: Daniel Persch, QGroup / Stephan Augsten

Wie die Angreifer den Fuß in die Tür bekamen

Ähnlich wie beim Hack auf den Sicherheitsanbieter RSA ist die höchste Erfolgsaussicht eines Angriffs durch die Übernahme einer gültigen Identität gegeben. So stand am Anfang des DoD-Hacks ebenfalls eine E-Mail mit einem kompromittierten Anhang, genauer einer präparierten PDF-Datei.

Diese nutzte eine bis dato ungepatchte Schwachstelle im Adobe Acrobat Reader aus und installierte einen Trojaner namens Sykipot auf anfälligen Systemen. Damit hatten die Angreifer den Fuß in der Tür. Doch zwischen ihnen und der gewünschten Information stand noch die Überwindung der nächsten Sicherheitshürde, der CAC.

Vorbereitungsmaßnahmen

Selbst wenn man in den Besitz einer CAC kommt, so muss man zunächst einmal sehr viel Zeit in einem teuren Labor verbringen, um die Zertifikate zu extrahieren. Gleichzeitig muss der Angreifer bis zur Verwendung des Zertifikats hoffen, dass der Verlust der CAC noch nicht gemeldet worden ist. Und zu guter Letzt benötigt er immer noch die notwendige PIN.

Die meisten ausgegebenen CAC-Lesegeräte in den Behörden verwenden für die Eingabe der PIN die Computertastatur. Damit sind sie kompakter und vor allem auch günstiger zu produzieren. Mit dem Sykipot-Trojaner lassen sich allerdings die in Windows integrierten Funktionen nutzen, um die Tastatur-Eingaben des Anwenders abzufangen.

Der Angreifer war in diesem Fall sogar so geschickt, dass er dem Trojaner bereits eine Funktion mitgegeben hat, um das Einlegen der Smartcard zu erkennen. So wurde automatisch nur die PIN-Eingabe in einem bestimmten Fenster extrahiert, andere Tastatureingaben blieben außen vor.

Dadurch wurden nur minimale Datenmengen gesammelt und an den Angreifer übertragen, so dass diese Übermittlungen gegenüber Überwachungssystemen unerkannt bleiben. Nach kurzer Zeit hatte der Angreifer die gültige PIN, um die CAC des Mitarbeiters zu verwenden.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 40020850 / Security-Testing)