Back to business

Politischer Aktivismus als zweiter Karriereweg? Der ehemalige IT Contractor Dennis Montgomery nutzte die Wirren rund um die Terroranschläge von 9/11 und entwickelte hochpreisige OSINT-Analysen für den Auslandsgeheimdienst der Vereinigten Staaten, die zu dramatischen Fehleinschätzungen und einem Beinahe-Abschuss von weiteren Passagierflugzeugen geführt hätten. Heute behauptet Dennis Montgomery vor Anhängern von Donald Trump, er habe damals schon den „Hammer“-Supercomputer und die „ScoreCard“-Software zu der angeblichen Manipulation der US-Wahlen im November 2020 entwickelt. Chris Krebs, Chef der amerikanischen Cybersecurity and Infrastructure Security Agency, widerlegte diese Fake News zu „HAMR and SCORECARD“ und erkennt darüber hinaus folgende Cyberangriffsmuster¹, die er vereinfachend als die fünf Ds des politischen Aktivismus bezeichnet:

• Demand – IT-Systeme mit zu vielen Anfragen/Anwendern überlasten
• Disruption – IT-Systeme die nicht gemäß ihren Spezifikationen funktionieren
• Defacement – Den Inhalt von Webseiten mutwillig ändern
• Denial of Service – Verhinderung von Diensten über Bot-Netzwerke
• Disinfo – Verbreiten von falschen Tatsachen

Geopolitisch zeigt ein öffentlicher Bericht des britischen Geheimdienstausschusses², wie schwierig Russland als internationaler Partner einzuschätzen ist. Einerseits bestehe seitens Russland gegenüber der EU und NATO eine überhöhte und nicht begründbare Paranoia, andererseits betrachte Russland sein antidemokratisches Wertesystem als einen Wettbewerbsvorteil, während es zeitgleich aber von diversen Mitgliedschaften in internationalen Gremien profitiere. US-Behörden veröffentlichten vor kurzem neue Details zu Cyber-Warfare-Aktivitäten von Russland: Die vom russischen Forschungsinstitut „TsNIIKhM“ entwickelte Sabotage-Software „Triton“ kam im Jahr 2017 gegen ein US-Saudisches petrochemisches Joint-Venture zum Einsatz und zerstörte dort teilweise die Infrastruktur. Wie aktuelle Berichte der US-Behörden darlegen, war die Schadsoftware zum Angriff auf industrielleKontrollsysteme komplex, hoch professionell programmiert und hatte durch das Auslösen einer Explosion die komplette Zerstörung zum Ziel. Technische Umstände hatten jedoch eine größere Katastrophe verhindert. Das TsNIIKhM und ausgewählte Programmierer werden jetzt international über Kontosperren und weitere Sanktionsmaßnahmen durch die USA isoliert. 

Nach über 25 Jahren musste das US-Unternehmen Stanley Black & Decker seine Produktionsstätte in Shenzhen, China aufgeben und entlässt über 1.000 Mitarbeiterinnen und Mitarbeiter. Das Unternehmen ist für seine Werkzeuge, Bohrmaschinen und Arbeitsbehelfe weltweit bekannt. China-Experten vermuten mehrere Gründe wie unklare Benutzungsrechte für die Grundstücke, eine überstrenge Bürokratie gegenüber US-Unternehmen und eine intransparente politische Agenda der Regionalverwaltung. Chinesische High-Tech-Unternehmen in Shenzhen outsourcen mittlerweile selber nach Vietnam und ein Produktionswerk für halbfertige Produkte, wie jenes von Stanley Black & Decker, dürfte somit nicht mehr in die Optik der politischen Verantwortlichen passen.

Virtuelle Lösegelderpressungen werden im Jahr 2020 vermehrt durch Cryptojacking (T1496 Resource Hijacking) ergänzt. Wie bereits mehrfach von uns dargelegt, war dies ein im Jahr 2019 bereits verschwunden geglaubtes Phänomen, das seit der Pandemie wieder auflebt. Die Sicherheitsfirma ESET bestätigt diese Beobachtungen zu Cryptojacking-Vorfällen über eine Analyse zum dritten Quartal (Q3/2020) und zeigt, wie pandemiebedingt mittlerweile der Kurs von Bitcoin und Cryptojacking-Vorfälle korrelieren.

Bei Cryptojacking werden neben Windows-Servern vor allem Hochleistungsrechner mit dem Unix-Betriebssystem präferiert. Die aktuell im Unix-Betriebssystem Solaris identifizierte, kritische Sicherheitslücke CVE-2020-14871 ermöglicht Angreifern einen unerlaubten Zugriff (SSH tunnel port forwarding) für Cryptojacking und Ransomware. Das von der US-Firma Oracle weiterentwickelte Unix-Betriebssystem läuft vor allem auf wissenschaftlichen Hochleistungscomputern und bei ITK-Unternehmen. Diverse Sicherheitsfirmen beobachten bereits mehrfach Cyberangriffe über diese kritische Lücke in Solaris und weisen auf eine besonders fähige Angreifergruppe hin, die sich mit Leichtigkeit lateral zwischen Unix- und Windows-Systemen im Netzwerk bewegt.

Das nächste Update folgt im Dezember. Haben Sie noch Fragen? Benötigen Sie Literaturhinweise zu den Beispielen oder interessieren Sie sich für unsere Leistungen in diesem Bereich? Unsere Spezialisten Ewald Kager und Lorenz Szabo stehen Ihnen gerne mit Rat und Tat zur Seite. 

¹ Es handelt sich hier um eine sehr vereinfachte Darstellung, die beispielsweise das deutsche Bundesamt für Sicherheit in der Informationstechnik in dem ausführlichen Katalog der „Elementaren Gefährdungen“ sehr präzise darstellt. 
² Siehe „Intelligence and Security Committee of Parliament: Russia“ vom 21.7.2020 auf der Webseite isc.independent.gov.uk.