Im Verlauf der COVID-19-Pandemie gab es immer wieder Gerüchte, dass Cyber-Spionageaktivitäten durch einzelne Nationalstaaten zunehmen. Parallel dazu stehen in letzter Zeit viele Ransomware-Stämme im Zusammenhang mit COVID-19.
Nun hat das britische Zentrum für nationale Cybersicherheit (National Cyber Security Centre, NCSC) ein Gutachten herausgegeben, in dem es heißt, die Bedrohungsgruppe APT29 (auch als CozyBear bekannt) nehme jetzt Ziele ins Visier, die an der Entwicklung und Erprobung von COVID-19-Impfstoffen beteiligt sind – hierzu gehören unter anderem Ziele aus Regierungs- und Diplomatenkreisen, Think-Tanks, der Gesundheitsfürsorge und dem Energiesektor – um so wichtige geheime Informationen zu gewinnen. APT29 ist wahrscheinlich dem russischen Geheimdienst zuzuordnen.
Phase 1: Hat es mein Unternehmen erwischt? Sind wir betroffen?
Wenn euer Unternehmen einem der genannten Sektoren angehört und es Anzeichen für einen im NCSC-Bericht aufgelisteten Kompromittierungsindikator (Indicator of Compromise, IoC) gibt, solltet ihr auf jeden Fall Echtzeit-Monitoring mit entsprechenden Benachrichtigungen einrichten.
- Überprüft in euren Netzwerkverkehrsdaten, ob eine IP-Verbindung zu den veröffentlichten schädlichen IPs hergestellt wird. Darunter fällt Network Traffic Data von/zu Standard-Gateways, an Netzwerkausgangspunkten wie VPNs und DMZs sowie in Cloud-Umgebungen wie AWS VPCs.
- Prüft, ob an euren Endpunkten, in lokalen Server-Systemen und Cloud-Instanzen (z.B. EC2) Prozesse mit den nachweislich (d. h. gemeldeten) schadhaften Hashes ausgeführt werden. Darüber hinaus solltet ihr bei eurer Endpoint-Protection-Lösung prüfen, ob diese Hashes bereits in die Blockierliste aufgenommen wurden. Falls dies nicht der Fall ist, fügt sie hinzu.
- Auf euren Proxy-Servern solltet ihr Monitoring einrichten, um schnell erkennen zu können, ob es Online-Aktivitäten unter Beteiligung der entsprechenden IPs gibt.
- Richtet für eure öffentlich zugänglichen Business-Anwendungen, d.h. Anwendungen bei denen eure Mitarbeiter oder Kunden sich anmelden können, Monitoring ein, um Anmeldeversuche der schädlichen IPs herauszufiltern.
Phase 2: Waren wir vielleicht in der Vergangenheit betroffen?
Ihr solltet nicht nur aktuelle Echtzeitinformationen unter die Lupe nehmen. Blickt auch zurück und korreliert die heute verfügbaren Informationen zur Bedrohungslage mit Daten von gestern, letzter Woche oder vielleicht sogar mit den Daten der letzten Monate. Selbst wenn die Hackergruppe heute ihre Spuren beseitigt hat, könnt ihr feststellen, ob sie bereits früher in euer Netzwerk eingedrungen ist und an welchen Stellen sie noch eine schlummernde Gefahr darstellen könnte. Außerdem könnt ihr „Patient Null“ ermitteln – den Host oder Service, der als erster kompromittiert wurde, um sich Zugang zu verschaffen. Dieser Host könnte auch mit Blick auf die Zukunft die Schwachstelle in eurer Umgebung sein (zumindest wenn dieser noch nicht gepatcht wurde, was nicht ungewöhnlich wäre ;-) ).
Cyber-Security-Teams sollten prüfen, ob sie ihre Strategie für das Sicherheits-Monitoring ausbauen können, und es nicht nur beim Korrelieren von IoCs belassen. Grund ist, dass diese von Angreifern zu leicht geändert werden können. Stattdessen ist es empfehlenswert, das Verhalten zu erkennen und entsprechend zu bewerten.
Phase 3: Entwickelt euch von reinen IoC-Checks zur Erkennung von TTPs – Tactics, Techniques and Procedures
Natürlich solltet ihr auch weiterhin nach Kompromittierungsindikatoren suchen. Gleichzeitig solltet ihr jedoch einen Schritt weiter gehen und allgemeinere Verhaltensmuster analysieren, die für eine Spionagegruppe schwieriger zu verschleiern sind.
Anstatt euch auf eine Liste von Hash-Werten von Malware-Dateien (IoCs) zu verlassen, könnt ihr beispielsweise einfache Analysen für neu ermittelte oder erstmalig vorkommende ausführbare Dateien durchführen, die auf Hash-Werten in eurer gesamten Umgebung basieren. Damit lässt sich nicht nur brandneue Malware erkennen, auch unerwünschte Programme oder Updates, die außerhalb des Routineprozesses installiert wurden, werden schnell ermittelt. Ähnliche „Neu ermittelt“-Konzepte lassen sich auf Anmeldedaten privilegierter Benutzer anwenden, die sich bei Systemen oder Anwendungen anmelden, die sie nie zuvor verwendet haben. Die Cyber-Security-Teams bei Telia und Swisscom nutzen diesen datengestützten Ansatz, um die Kill Chain zu unterbrechen. Basierend auf dieser Grundlage könnt ihr eure Priorisierungsstrategie weiterentwickeln und festlegen, welche neu ermittelten Aktivitäten untersuchungswürdig sind oder zuerst untersucht werden sollten.
Wenn Phase 1 und Phase 2 in eurer Umgebung häufig eintreten und sich als sehr zeitaufwendig erweisen, solltet ihr über den Einsatz von SOAR-Technologie wie Splunk Phantom nachdenken, um diese Maßnahmen in einem Playbook für alle lokalen und Cloud-Umgebungen zu automatisieren. Dies ist insbesondere in großen heterogenen Technologielandschaften sinnvoll.
Ich hoffe, ich konnte euch mit diesem Blog-Beitrag ein wenig für die Problematik sensibilisieren und euch helfen zu überprüfen, ob auch euer Unternehmen betroffen ist.
Viele Grüße,
Matthias
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Nation-State Espionage Targeting COVID-19 Vaccine Development Firms - The Actions Security Teams Need To Take Now!.
