Der leuchtend grüne Cursor blinkte auf einem Terminal, ein beinahe gleichmäßiger Herzschlag in der stillen Dunkelheit eines verdunkelten Büros. Das Jahr war 1996, und der Cyberspace, wie wir ihn heute kennen, stand noch am Anfang. Im Schatten der Netzwerke des Pentagons war gerade etwas Böses durchgeschlüpft. Die Bedrohung brachte das System nicht zum Absturz und ließ keine Alarmsirenen ertönen; stattdessen schlich es sich wie ein fast unsichtbarer Geist durch die Hintertür, indem es einen Universalschlüssel benutzte, der nicht hätte existieren dürfen. Moonlight Maze kam nicht zu einem Besuch. Es war gekommen, um zu bleiben.  

Fast drei Jahre lang blutete der Einbruch die amerikanische Verteidigungsorganisation aus. Von den sterilen Labors der NASA bis zu den hochsicheren Tresoren des Energieministeriums wurden Tausende von Dateien abgesaugt und auf halbem Weg um die Welt bewegt. Dies war kein gelangweilter Teenager im Keller oder ein einsamer Dieb auf der Suche nach einer Kreditkartennummer. Dies war eine präzise, zeitlich abgestimmte und gezielte staatlich gesponserte Extraktion. Die Ziele konnten nicht präziser sein: verschlüsselte militärische Kommunikation, vertrauliche Hardware-Schemata und die buchstäblichen Karten der sensibelsten Infrastruktur des Landes.

Als das FBI 1999 schließlich begann, an den sichtbaren Fäden zu ziehen, fanden sie nicht einfach ein fehl am Platz stehendes Virus. Sie fanden ein Meisterwerk staatlich unterstützter Spionage. Die Hacker hatten ein Relais kompromittierter Universitätsserver geschaffen und genutzt, um ihre Spur zu verwischen. Die Ermittler wurden auf eine digitale Jagd quer über Kontinente und Zeitzonen geschickt. Dieses Ereignis markierte die Geburt einer neuen Kriegsführung, die die Welt noch nicht gesehen hatte. Ein harmloser PC, betrieben von einem Bürger, oder ein zufällig vergessener Server in einem Rechenzentrum waren nun die Frontlinie.

Moonlight Maze, wie diese Gruppe anschließend genannt wurde, durchbrach nicht nur die Sicherheitsregeln; es schrieb sie um und inspirierte viele ähnliche Akteure in seinem Gefolge. Es war die erste wahre und dokumentierte Instanz einer Advanced Persistent Threat (APT), die das Aufkommen von Geisterkriegen im digitalen Bereich verkündete.

Das Aufholspiel

Die Verteidiger waren damals Monate, wenn nicht Jahre im Rückstand. Viel hat sich nicht geändert. Auch wenn der evolutionäre Druck auf Verteidiger und Angreifer heute mehr oder weniger gleich ist, haben die Vielfalt der Bedrohungsakteure, die leichte Verfügbarkeit von Werkzeugen und die zunehmende Zahl der Ziele alle zur Entstehung einer neuen Generation von APT-Gruppen beigetragen, die geduldiger und ausdauernder sind als je zuvor.

Seit den 90er Jahren haben APT-Gruppen fast ausschließlich auf staatliche Finanzierungen für ihre Operationen gesetzt. Großzügige Gehaltspakete für Mitarbeiter, nicht markierte und nicht verbuchte Budgets und weniger Verantwortlichkeit für ihre Handlungen waren allesamt Kennzeichen von APT-Aktionen. Aber als die Pandemie zu Beginn des Jahrzehnts ausbrach, änderte sich etwas. Auf der einen Seite wurden Budgets und Operationen verkleinert, und auf der anderen Seite mussten einige Staaten den Schwerpunkt auf den Aufbau und die Aufrechterhaltung militärischer Hardware in Konfliktgebieten legen. Auch jene Staaten, die nicht direkt betroffen waren, mussten mehr in die Aufrechterhaltung einer Abschreckungshaltung investieren, um gegnerische Staaten von Ideen abzuhalten. Als die Finanzierung langsamer wurde, begannen APT-Gruppen, anderswo nach finanzieller Unterstützung zu suchen und hier begannen viele staatliche Geheimdienste, das nordkoreanische APT-Finanzierungsmodell zu studieren, um alternative Finanzierungsideen und -ansätze zu erhalten.  

Was ist das nordkoreanische APT-Finanzierungsmodell?

Nordkoreanische APT-Gruppen wie Lazarus sind nicht auf staatliche Agenturen für Finanzierung oder Rekrutierung angewiesen. Stattdessen sind sie ein Einnahmezentrum, sprich eine einnahmenorientierte Einheit der nordkoreanischen Regierung. Jede APT-Gruppe in Nordkorea erhält neben den regulären Zielen für Hacking auch ein Einnahmeziel. Gruppen wie Lazarus sind Experten dafür, große Mengen Kryptowährung weltweit zu bewegen. Lazarus ist eine bekannte Entität im Bitcoin-Wallet-Hacking mit umfangreichem Wissen und Erfahrung auf diesem Gebiet.

Dieses hybride Operationsmodell hat sich für Nordkorea als äußerst effektiv und lohnend erwiesen und führte zu einer stetigen jährlichen Erweiterung der Mandate ihrer APT-Gruppen. In ähnlicher Weise haben prominente chinesische Bedrohungsakteure, vor allem APT 41, dieses Spielbuch ebenfalls übernommen, indem sie häufig staatlich gelenkte Missionen mit finanziell motivierten Operationen kombinieren, um bei Gelegenheit Einnahmen zu generieren.

Da die Häufigkeit globaler Konflikte weiter zunimmt, haben Geheimdienste ein zunehmendes strategisches Interesse daran, APT-Gruppen zu erlauben und sogar zu ermutigen, sich durch illegale Cyberaktivitäten selbst zu finanzieren. Dieses 'Offset'-Modell ermöglicht es den Staaten, fortschrittliche offensive Fähigkeiten aufrechtzuerhalten, während der direkte finanzielle Druck gemindert und die plausible Leugnung bewahrt wird. Ein solcher Ansatz reduziert auch den finanziellen Druck auf die Agenturen und die APT-Gruppen.

In den letzten zwei Tagen, seit die iranischen APTs, insbesondere MuddyWater, die aktiven Operationen wieder aufgenommen haben, haben wir gesehen, dass sie Finanzinstitute in den USA angreifen. Dies könnte als Versuch betrachtet werden, wirtschaftlichen Schaden zuzufügen oder könnte ein Versuch sein, Geld in die Kassen von MuddyWater und seinen Betreuern zu leiten. MuddyWater könnte in den kommenden Tagen seine Angriffe auf verschiedene globale Ziele ausweiten, und einige dieser Angriffe könnten finanziell motiviert sein.

Die Einnahmeerzeugung könnte in die Kernoperation Mandate von APT-Gruppen in den kommenden Tagen integriert werden. Warum haben Geheimdienstagenturen also bisher die Einnahmeerzeugung nicht als Kernziel operationalisiert?  Hier sind einige Gründe:

· Der weit verbreitete Einsatz dieses Modells könnte dazu führen, dass Mitarbeiter von APT-Gruppen die gestohlenen Gelder auf ihre eigenen Konten umleiten

· Mehr funktionale Autonomie könnte die Gruppen dazu veranlassen, Entscheidungen in Frage zu stellen

· Sich voll auf die Einnahmeerzeugung zu konzentrieren, könnte die Aufmerksamkeit von den Kernoperationen ablenken

Dies könnte ein weiterer evolutionärer Weg für APT-Gruppen sein. Ein gemischter Weg, der einige Kampagnen umfasst, die sich auf monetäre Gewinne konzentrieren, und einige, die auf Datenexfiltration ausgerichtet sind, wird der Weg in die Zukunft sein. Die Hinzufügung einer finanziellen Schicht zu den operativen Motivationen von APT-Akteuren wird die Bedrohungslandschaft verkomplizieren und könnte sogar die TTPs beeinflussen. Das ist ein Thema für einen anderen Blogbeitrag. Bleiben Sie dran.

Weiterführende Literatur und OT-Sicherheits-Checklisten und KPI-Tracker

Sprechen Sie mit einem OT-Sicherheitsexperten von Shieldworkz.

Buchen Sie eine kostenlose, unverbindliche Demo.

Zusätzliche Ressourcen

NERC CIP-015-1 Compliance-Checkliste und KPI-Tracker
Insider-Bedrohungs-Schutz-Checkliste
Leitfaden für defensive Haltung für Unternehmen im Nahen Osten