Eine Gruppe von Cyberkriminellen macht der NATO das Leben schwer. Die Gruppe namens Earworm war in der Lage, vertrauliche, sensible Daten von einigen der wichtigsten Institutionen und Regierungen der Welt zu stehlen.

Wer sind Earworm?

Alles deutet darauf hin, dass die Mitglieder von Earworm mit APT28 (auch bekannt als Zebobracy und Fancy Bear) verbunden sind: einer cyberkriminellen Gruppe, die seit Jahren Regierungsinformationen stiehlt, insbesondere aus Ländern, die sie als Feinde betrachtet.

Das US Department of Homeland Security und das FBI hatten nie Zweifel: Für sie ist Earworm russischen Ursprungs. Konkret verknüpfen sie es mit dem GRU (Militärischer Nachrichtendienst), dem SVR (Foreign Intelligence Service) und dem FSB (dem Nachfolger des alten KGB). Die Vereinigten Staaten sind der Ansicht, dass diese russischen Geheimdienste nicht nur Earworm und APT28 fördern, sondern auch ihre Operationen aktiv finanzieren.

Wen haben sie angegriffen?

Das Vorstrafenregister der Gruppe ist relativ jung. 2016 traten sie das erste Mal in Erscheinung, als es ihnen gelang, sensible Informationen aus dem Demokratischen Nationalkomitee der USA (DNC) zu stehlen. Sie standen auch hinter einem Angriff auf die Welt-Anti-Doping-Agentur (WADA), bei dem sie vertrauliche Informationen über mehrere Drogentests preisgaben.

Earworm hat ein klares Ziel: NATO-Mitgliedsstaaten. U.a. wirft die niederländische Regierung der cyberkriminellen Gruppe vor, Informationen von der Organisation für das Verbot chemischer Waffen (OPCW) in Den Haag gestohlen zu haben. Das britische National Cyber Security Centre hat Earworm und den russischen Geheimdienst beschuldigt, sie hätten zudem Angriffe auf die institutionelle Cybersicherheit mehrerer Länder durchgeführt.

Wie greifen sie an?

Earworm nutzt E-Mails als Entry Point. Sie versenden E-Mails mit Anhängen an Mitarbeiter und leitende Mitglieder der NATO. Dabei geben sie sich als vertrauenswürdiger Absender aus. Nachdem die Dateien heruntergeladen wurden, kommen zwei Malware-Tools ins Spiel:

  • Trojan.Zekapab. Diese Software wurde auf dem Computer installiert und konnte andere Malware-Tools automatisch herunterladen.
  • Backdoor.Zekapab. Dieses Programm wurde auf das System des Opfers installiert, woraus Screenshots erstellt und unabhängige Dateien ausgeführt werden konnten. Auch die Protokollierung von Tasten-Anschlägen wurde möglich, um Einsicht in die Aktivitäten des Computernutzers zu erhalten.

Zudem gelang es den Cyberkriminellen monatelang auch über Standby-Zustände hinweg, unentdeckt im System zu verweilen. Die Betroffenen schöpften keinen Verdacht und wähnten sich in Sicherheit.

Wie man diese Angriffe vermeidet

Die institutionelle Cybersicherheit ist im Jahr 2019 ein zentraler Schwerpunkt, der den Ländern der Welt die größte Sorge bereitet. Um solchen problematischen Entwicklungen zu entgehen, wie sie kürzlich von Deutschland behandelt wurden, müssen schnell Maßnahmen ergriffen werden.

  1. Authentifizierung: Die von Cyberkriminellen verbreitete Taktik: sich als hochrangige Mitarbeiter des eigenen Unternehmens auszugeben, um darüber einen Angriff zu generieren. Die Sicherstellung der Echtheitsprüfung aller Mitarbeiter und leitenden Mitglieder dieser Institute ist erforderlich, um einen solchen Identitätsdiebstahl zu vermeiden.
  2. Sensibilisierung für Phishing: Aufmerksamkeit hat da einen entscheidenden Stellenwert. Mitarbeitende aus potenziell gefährdeten Institutionen müssen bei der Bearbeitung von E-Mails behutsam vorgehen, besonders bei denen, die verdächtig erscheinen oder zweifelhafte Anhänge enthalten. Darüber hinaus müssen sie im Falle eines eingetretenen Vorfalls ihre Vorgesetzten informieren, um den Cyberangriff bestenfalls zu stoppen oder schnellstmöglich einzugreifen, um Schäden und deren Folgen zu minimieren.
  3. Monitoring: Beim vermeintlich unbemerkten Einbruch in ein IT-System hinterlassen Hacker gewöhnlich doch eine Spur, insbesondere bei schneller Durchführung des Diebstahls. Aus diesem Grund müssen die Institutionen über fortschrittliche Cybersicherheitslösungen verfügen. Panda Adaptive Defense ist dabei die Lösung, die proaktiv und automatisch alle Prozesse überwacht, die auf dem Unternehmenssystem laufen. Im Fall von potenziellen Gefahren werden Warnungs-Benachrichtigungen in Echtzeit erzeugt, damit Problematiken vorgebeugt und vermieden werden können.
  4. Isolierte Informationen: Nach Möglichkeit sollten die sensibelsten und vertraulichsten Informationen einer Institution in Systemen ohne Internetverbindung gespeichert werden. Unter Umständen könnte diese Maßnahme allerdings unzureichend sein, da Hackern der Zugriff auf Geräte, und somit auch auf die Daten, über elektromagnetische Strahlungen möglich ist – ohne Internetverbindung und physischen Zugang. Wenn die Offline-Speicherung nicht zum Tragen kommt, sollten die Informationen auf anderen Servern gespeichert werden, die keine leichte Zugänglichkeit garantieren.

Die Reaktionszeit ist entscheidend: Wenn ein Cyberangriff bereits ausgeführt wurde und die Maßnahmen zur Vorbeugung nicht mehr rechtzeitig getroffen werden konnten, ist ein Schaden nicht mehr abzuwenden. Es besteht die ernsthafte Gefahr, dass in jedem Land ein solches Ereignis auftreten könnte. Regierungen und Institutionen müssen wachsam und proaktiv im Kampf gegen den Cyberkrieg sein. Nur so können die schwerwiegenden Folgen eines Cyberangriffs solch wichtiger Informationen, wie die der NATO, vermieden werden.