• Sprache
    • USA
    • GERMANY
  • Sprache
    • USA
    • GERMANY

In seiner neuesten Ausgabe des Cyber-Brief warnt das Bundesamt für Verfassungsschutz vor Cyberangriffen durch die Cyberspionagegruppierung Ke3chang. Aktuelle Hinweise deuten darauf hin, dass die Gruppierung vermehrt Wirtschaftsunternehmen und Regierungseinrichtungen ins Visier nimmt. Lesen Sie hier, wie Ke3chang vorgeht und lernen Sie, wie Sie Ihr Unternehmen schützen.

Wer steckt hinter Ke3chang?

Die Gruppierung Ke3chang wurde vermutlich das erste Mal in 2010 aktiv und greift seither gleichermaßen politische und wirtschaftliche Ziele an. Das Bundesamt für Verfassungsschutz vermutet hinter den Angriffen eine langjährige und breit gefächerte Cyberspionagekampagne in Europa. Aktuell verwendet die Gruppierung eine Schadsoftware namens Ketrican, um IT-Infrastrukturen zu infiltrieren.

Wie geht Ke3chang vor?

Im Laufe der Zeit haben verschiedene Stellen und Security-Anbieter die Vorgehensweise von Ke3chang analysiert. Hier finden Sie die wichtigsten Eckdaten im Überblick:

  • Nutzung des HTTP-Protokolls zur Kommunikation
  • Einheitliche Muster in den Kommunikationsabständen (feste Zeitintervalle zwischen dem Beaconing)
  • Schwächung des Internet Explorers durch Anpassung von Registry-Einträgen
  • Intensive Nutzung von cmd.exe zur Ausführung von Befehlen
  • Geringe Anzahl infizierter Maschinen
  • Nutzung von Standard- bzw. OpenSource-Tools wie z. B. RAR-Datenkompression oder Mimikatz

Wie arbeitet die Schadsoftware Ketrican?

  • Befehle werden zwischen Schlüsselwörtern in aufgerufenen Webseiten an den kompromittierten Client ausgeliefert: good<Befehl>bad, white<Befehl>purple oder nice<Befehl>say. Derzeit ist für diese Schlüsselwörter noch keine eindeutige Systematik erkennbar. Die Befehle sind verschlüsselt (AES128 oder XOR).
  • Die technische Analyse von Ketrican-Samples hat ergeben, dass die Schadsoftware selbst keine Persistenz im System herstellt. Es wird daher eher davon ausgegangen, dass ein anderer Mechanismus (z. B. ein Dropper) eine Persistenz der Ketrican-Backdoor einrichtet.

Ke3chang: Ketrican Angriffsvektor

In der Abbildung sehen Sie den typischen Ablauf eines Angriffs mittels Ketrican. Weitere Informationen erhalten Sie im BfV Cyber-Brief 01/20.

Wie finde ich heraus, ob meine Systeme betroffen sind?

Unternehmen, Organisationen und politische Einrichtungen sind gut beraten, ihre Netzwerk-Hosts zu überprüfen. Hierzu stellt die Cyberabwehr des Bundesamtes für Verfassungsschutz entsprechende Detektionsregeln bereit:

Für alle, die auf Nummer sichergehen möchten, bieten wir zusammen mit unserem Partner für Cybersecurity Infraforce Penetration Tests an. Dabei durchleuchten wir Ihre IT-Infrastruktur aus Sicht eines Hackers und schließen so potenzielle Schwachstellen: