Das neu aufgetauchtes IT-Angriffstool Kapeka aus Russland erregt derzeit Aufmerksamkeit. Sicherheitsforscher von WithSecure haben dieses Werkzeug entdeckt und der Angreifergruppe „Sandworm“ zugeordnet, die mit dem russischen Geheimdienst in Verbindung steht. Ein Kommentar von Richard Werner, Cybersecurity Spezialist bei Trend Micro.
Das neue IT-Angriffstool aus Russland sorgt derzeit für Schlagzeilen. Sicherheitsforscher von WithSecure haben das Werkzeug entdeckt und den Angreifern namens „Sandworm“ zugeordnet. Die zum russischen Geheimdienst gehörende Truppe hat sich seit 2014 einen Namen gemacht, weil sie hochrangige Ziele unter anderem im Energiesektor mit Einsatz so genannter Zero Day Sicherheitslücken erfolgreich angegriffen haben. Sie gehören definitiv zu den aggressiveren Tätern, die vor allem auch die Zerstörung oder Sabotage ihrer Opfer zum Ziel haben.
Kapeka wurde für gezielte Angriffe entwickelt
Werkzeuge, wie das vorliegende, werden nicht flächendeckend verwendet, sondern punktuell für hochwertige Ziele eingesetzt. Je häufiger das aber geschieht, desto höher ist das Risiko, im Einzelfall entdeckt zu werden. Deshalb kann man davon ausgehen, dass ein staatlicher Geheimdienst damit rechnet, früher oder später auf diese Werkzeuge verzichten zu müssen. Nun wurde der Fund öffentlich gemacht. Insofern werden die Täter mehr als wahrscheinlich auf alternative Wege umsteigen und auch bestehende Operationen anpassen. Niemand darf sich daher wundern, wenn nur sehr wenige Angriffe bekannt werden, in denen Kapeka nachweisbar ist.
Schützen öffentliche Infos zu Kapeka oder nicht?
War die Veröffentlichung falsch? Dies ist eine heiß diskutierte Frage in IT-Sicherheitskreisen. In diesem Fall gibt es aktive Angriffe und damit besteht immer die Gefahr, dass noch viel mehr Unternehmen und Einrichtungen betroffen sind. Der Konsens ist deshalb zu veröffentlichen, damit die gesamte Industrie die Möglichkeit erhält, alle zu schützen.
Etwas anders sieht es aus, wenn beispielsweise Geheimdienste diejenigen sind, die diese Angriffe zuerst entdecken. Beobachtet man die Täter, lernt man viel über deren Vorgehen sowie die dahinter liegende Motivation und kann ihre Operationen gezielt beeinflussen/fehlleiten. Ebenso besteht die Chance, die gewonnenen technischen Erkenntnisse etwa über bislang unbekannte Softwarelücken, auch für eigene offensive Maßnahmen zu verwenden.
Wer Cyberwaffen einsetzt, ist sich dieser Gefahr auch bewusst. In Deutschland wird deshalb unter anderem darüber diskutiert, ob ein Interessenskonflikt für das BSI (Bundesamt für Sicherheit in der Informationstechnik) daraus erwächst, dass es dem BMI (Bundesministerium des Innern und für Heimat) unterstellt ist und beispielsweise ein offensiver Einsatz von Cyberwerkzeugen (etwa den Bundestrojaner) zum Zwecke der inneren Sicherheit dem Auftrag des BSI zum Schutz von Unternehmen und Einrichtungen des Bundes entgegensteht.
Wie groß ist die Gefahr wirklich?
Die große Herausforderung für die IT-Security besteht darin, das Risiko einer bestimmten Angriffsmethode für die Allgemeinheit festzulegen. Die Zuordnung der Software zu einem Geheimdienst wurde in diesem Fall (wie beispielsweise von Heise) deshalb gemacht, weil ihre Bestandteile Ähnlichkeiten mit früheren Werkzeugvarianten derselben Gruppe aufweisen. Weiterentwicklungen oder veränderte Klone einer erfolgreichen Angriffsmethode sind keine Seltenheit.
Aber auch eine andere Möglichkeit sollte nicht außer Acht gelassen werden, nämlich dass das Tool nun aufgrund seines öffentlichen Bekanntheitsgrades möglicherweise für den geheimdienstlichen Einsatz nicht mehr zu gebrauchen ist. Einen Beweis dafür bringt die von Heise zitierte Analyse auf VirusTotal (zur CRDSS.EXE), die eine hohe Aufdeckungschance durch aktuelle Sicherheitssysteme ergab.
Zweitverwendung ist schon sicher
Tools, die es erlauben, Hintertüren in Unternehmen zu hinterlassen, sind nicht nur in Spionagesituationen gefragt, sondern kommen auch in der „normalen“ Cyberkriminalität zum Einsatz. Ob ein solcher Nachbau nun durch staatliche oder „private“ Täter gemacht wurde, ist oft schwer nachzuvollziehen. Unabhängig davon, wer es tatsächlich war, sollte man allerdings davon ausgehen, dass eine zukünftige Verwendung dieser bösartigen Software eher im „kommerziellen Sektor“ – sprich bei Cyberkriminellen — zu erwarten ist. Unternehmen müssen deshalb sicherstellen, immer aktuelle Sicherheitslösungen einzusetzen.
Da diese Werkzeuge hauptsächlich dann erst zum Einsatz kommen, wenn die ersten Sicherheitshürden eines Cyberangriffes bereits überwunden wurden, empfiehlt sich darüber hinaus auch die Umsetzung von Detection & Response-Lösungen, vor allem auf der Netzwerk- und Endpoint-Ebene.
Mehr bei TrendMicro.com
Über Trend Micro Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..