Die Welt hat sich gewandelt. Gab es früher für Spione nur die Möglichkeit sich über Beziehungen Informationen zu beschaffen, sich in Kreise einzuschleichen oder später dann immerhin Wanzen zu installieren, kann heut zu Tage fast jedes Gerät über Schadprogramme in eine Wanze verwandelt werden und damit nahezu jegliche Kommunikation abgehört werden.

Die schweizerische Bundesanwaltschaft hat erst vor kurzem bestätigt, dass genau dies bei den Verhandlungen über das Atomabkommen mit dem Iran in Genf stattgefunden hat. Verschiedene Geräte des Konferenzhotels in Genf seien dabei mit dem „Duqu 2.0“ genannten Schadprogramm infiziert gewesen.¹

Heute wissen wir, dass dieses Schadprogramm zu einer sogenannten „Advanced Persistent Threat“ (APT) Kampagne gehört. APT steht hierbei für eine hochentwickelte, hartnäckige Bedrohung. Detailliertere Informationen über APTs finden Sie im Artikel „APT – Latest Developments“ in der Dezember Cyber Flash Ausgabe.

Duqu 2.0, das im Genfer Konferenzhotel gefundene Schadprogramm, ist sehr hochentwickelt und wahrscheinlich mit Stuxnet verwandt. Beide Programme sind im Kontext von Kampagnen gegen den Iran aufgetaucht. Stuxnet wurde benutzt um eine Atomanreicherungsanlagen im Iran zu schädigen. Duqu 2.0 wurde meist zur Informationsbeschaffung eingesetzt, bzw. scheint exakt dafür erstellt zu sein. Dies lässt sich anhand der entdeckten Module und Funktionen bestimmen.²

Mittlerweile wurden bereits über 150 dieser APT Kampagnen identifiziert und einige davon richten sich gegen staatliche Institutionen, zum Beispiel:³

• APT6 richtete sich gegen US-amerikanische Regierungsorganisationen
• Hellsing richtete sich gegen Südasiatische Ziele, unter anderem die vietnamesische Regierung
• SVCMONDR richtete sich gegen die Regierungen in Kasachstan, Kirgistan, Usbekistan, Myanmar, Nepal, den Philippinen und Indien
• Hammer Panda richtete sich hauptsächlich gegen Russland

Diese Kampagnen bestätigen, dass staatliche Organisationen Ziel organisierter Cyber-Spionageaktivitäten sind – und das nicht erst seit Kurzem. Falls das „APT“ Thema bis heute etwas weit entfernt gewirkt haben könnte führen die obenstehenden Kampagnen sowie andere Schweizer Meldungen aus jüngerer Zeit das Thema einem doch ganz anders vor Augen: Die Bedrohung ist real, sie ist präsent und betrifft jeden, inklusive Regierungen und Nationen. Treffen sie genug Vorsichtsmassnahmen?

Wenn Sie mehr über das Thema „APT“ erfahren möchten können Sie gerne den Artikel „APT’s Latest Developments“ in der Dezember Cyber Flash Ausgabe lesen (in Englisch).

Felix Rieder - Senior Consultant, Consulting

Felix Rieder ist Senior Consultant im Cyber Risk Services Team von Deloitte Schweiz. Er spezialisiert sich auf hochentwickelte Cyber Bedrohungen und deren Abwehr. In seiner Zeit bei Deloitte hat Felix mehrere Cyber-Sicherheitsüberprüfungen bei Unternehmen aus verschiedenen Industrien durchgeführt, hauptsächlich jedoch bei Firmen aus dem Finanz- und Pharmasektor. Davor hat er einen Bachelor of Science an der Dualen Hochschule Baden-Württemberg in Stuttgart gemacht und arbeitete in verschiedenen Rollen bei IBM Deutschland.

Email

 1 Schweizer Bundesanwaltschaft bestätigt Spionagetrojaner bei Atomverhandlungen, http://www.heise.de/newsticker/meldung/Schweizer-Bundesanwaltschaft-bestaetigt-Spionage-Trojaner-bei-Atomgespraechen-3456012.html (accessed 16.11.2016); Cyber-Spionage bei Atomkonferenz in Genf, http://www.srf.ch/news/international/cyber-spionage-bei-atomkonferenz-in-genf (accessed 16.11.2016)
2 The Mystery of Duqu 2.0, https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf (accessed 19.11.2016)
3 APT Groups and Operations, https://docs.google.com/spreadsheets/d/1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU (accessed 19.11.2016)