Mi, 20. Juni 2018

"Handschriftanalyse"

14.09.2016 14:07

So jagen IT-Sicherheitsfirmen Hacker weltweit

IT-Sicherheitsexperten tun sich schwer damit, Hacker-Angriffe wie jenen auf die Anti-Doping-Agentur WADA, eindeutig einem bestimmten Herkunftsland zuzuschreiben. Zu leicht kann der Ursprungsort der Attacken verschleiert werden. Deswegen suchen Forscher von Firmen wie Symantec, Kaspersky oder FireEye nach Indizien, die allein keinen Beweis bilden - aber in Summe zumindest eine begründete Vermutung erlauben.

So kommt es oft vor, dass Hacker-Gruppen zu den typischen Büro-Arbeitszeiten in Zentralrussland oder chinesischen Großstädten aktiv sind - das wird als ein Hinweis auf ihren Standort gewertet. Manchmal wurden im Software-Code russische Worte entdeckt. Und auch an manchen englischen Formulierungen sei zu erkennen gewesen, dass hinter ihnen russischsprachige Personen steckten, hieß es bei einer IT-Sicherheitsfirma.

Hacker haben oft ihre eigene "Handschrift"
Außerdem hilft eine längere Beobachtung, die Angriffe bestimmten Gruppen zuzuordnen: Sie haben eine bestimmte typische "Handschrift". Das können Teile des Software-Codes sein, die sie immer wieder verwenden, die Schwachstellen, die sie als Einfallstor benutzen, oder die Art, wie sich ihre Schadprogramme im angegriffenen Netzwerk ausbreiten. Zudem erlauben auch die angegriffenen Ziele einen Rückschluss auf die Interessen der Hacker.

"Fancy Bear" soll Putins Geheimdienst nahestehen
Die Hacker, die Unterlagen der Welt-Anti-Doping-Agentur (WADA) gestohlen haben, nennen sich "Fancy Bears' Hack Team". Unter dem Namen "Fancy Bear" führen westliche IT-Sicherheitsfirmen eine Gruppe mit mutmaßlicher Nähe zu russischen Geheimdiensten. Sie ist auch unter den Bezeichnungen "Sofacy" und "APT28" bekannt und wird unter anderem hinter den Hackerangriffen auf den Deutschen Bundestag und den Demokraten-Parteivorstand DNC in den USA vermutet. Die WADA erklärte in ihrer Stellungnahme am Dienstag, dass APT28 hinter dem Daten-Diebstahl stecke.

Das könnte Sie auch interessieren

Kommentar schreiben

Liebe Leserin, lieber Leser,

die Kommentarfunktion steht Ihnen ab 6 Uhr wieder wie gewohnt zur Verfügung.

Mit freundlichen Grüßen
das krone.at-Team

Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Newsletter

Melden Sie sich hier mit Ihrer E-Mail-Adresse an, um täglich den "Krone"-Newsletter zu erhalten.