Das US Cyber Command (US Cyber Command)
kündigte eine ungewöhnliche Initiative an. Es verspricht, regelmäßig Beispiele von "freigegebener Malware" in die VirusTotal-Datenbank hochzuladen.
Es ist leicht zu erraten, dass es sich um Cyberwaffen handelt, die von ausländischen Geheimdiensten im laufenden Betrieb eingesetzt werden (Cyber-Geheimdienste sind in allen Ländern mit entwickelten Geheimdiensten tätig, auch in Russland). Mit anderen Worten, der US-Geheimdienst wird die Werkzeuge des Feindes öffentlich zur Schau stellen. Nach dem Erscheinen von VirusTotal in öffentlichen Datenbanken fallen diese Tools in alle Antiviren-Datenbanken und werden im Wesentlichen unwirksam.
„Dies ähnelt einem Beispiel einer neuen US-Strategie, die darauf abzielt, ausländische staatliche Akteure aktiv zu verfolgen. Durch die Veröffentlichung von Malware zwingen die USA sie, ständig neue Sicherheitslücken zu finden und auszunutzen “,
kommentierte der berühmte Sicherheitsspezialist und Kryptograf Bruce Schneier.
Das US Cyber Command wird so öffentlich wie möglich handeln und die Öffentlichkeit umfassend über die Malware der Gegner informieren. Ein neues
USCYBERCOM Malware Alert- Twitter-Konto wurde speziell für Nachrichten zu neuen Malware-Beispielen eröffnet, die an die VirusTotal-Datenbank gesendet wurden.
Bisher wurden zwei Muster dorthin geschickt.
Natürlich deklassieren spezielle Dienste die Werkzeuge des Feindes erst dann, wenn er nicht mehr an der Wahrung seiner Geheimhaltung interessiert ist, dh nachdem geeignete Maßnahmen zur Spionageabwehr ergriffen und Informationen über ausländische Akteure, ihre Ziele, Arbeitsmethoden usw. gesammelt wurden. Danach werden fremde Tools freigegeben und in die VirusTotal-Datenbank eingefügt.
Die ersten Bilder solcher Programme wurden von der Cyber National Mission Force (CNMF) veröffentlicht, die dem US Cyber Command unterstellt ist. Es ist interessant, dass die Eröffnung eines Twitter-Kontos und die Veröffentlichung von Mustern nicht mit der üblichen Ankündigung einer neuen Initiative für staatliche Institutionen einherging,
der Veröffentlichung ThreatPost, die sich auf Informationssicherheit spezialisiert hat. Dies geschah ohne Vorwarnung.
"In Anerkennung des Werts der Zusammenarbeit mit dem öffentlichen Sektor hat die CNMF Anstrengungen unternommen, um freigegebene Malware-Beispiele auszutauschen, von denen wir glauben, dass sie den größten Einfluss auf die Verbesserung der globalen Cybersicherheit haben werden", heißt es in einer kurzen
Erklärung der CNMF.
Die ersten beiden freigegebenen Beispiele sind die
Dateien rpcnetp.dll und
rpcnetp.exe . Diese Tropfer werden auch für die Hintertür der
Computrace- Hacker-Gruppe
APT28 / Fancy Bear verwendet , die mit der Ausführung von Aufträgen für die Russische Föderation verbunden ist.
„Das spezifische Beispielpaar Computrace / LoJack / Lojax ist eine trojanisierte Version der legalen LoJack-Software eines Unternehmens, das früher Computrace (jetzt Absolute) hieß. Die Trojaner-Version der legitimen LoJack-Software heißt LoJax oder DoubleAgent “, sagte ein Sprecher des US-Geheimdienstes.
Die Veröffentlichung solcher Proben ist ein mutiger Schritt für das Verteidigungsministerium, das seine Cyberaktivität und sein Wissen lange Zeit geheim gehalten hat,
kommentierte ein unabhängiger Experte, Direktor für Cybersicherheit bei Carbon Black: „Dies ist ein großer Fortschritt für die Cybersicherheitsgemeinschaft. Es ermöglicht der Cybersecurity-Community, Bedrohungen in Echtzeit zu mobilisieren und darauf zu reagieren, und hilft so der Regierung, die Sicherheit des amerikanischen Cyberspace zu schützen und zu gewährleisten. “
John Hultqvist, Direktor für Geheimdienstanalyse bei FireEye, stellte fest, dass Malware „im luftleeren Raum“ entdeckt wurde, ohne bestimmte feindliche Geheimdienst- oder Spionageabwehroperationen zu erwähnen: „Zweifellos werden diese Enthüllungen weiterhin eine Strategie haben, da die Offenlegung immer Konsequenzen hat für Geheimdienstoperationen, aber ihre Einfachheit kann einfachere und schnellere Aktionen ermöglichen, mit denen die Regierung in der Vergangenheit zu kämpfen hatte “, sagte Hultqvist. Obwohl in Wirklichkeit der Mangel an Kontext die Wirksamkeit von Schutzmaßnahmen verringern kann, ist es zum Aufbau einer zuverlässigen Verteidigung notwendig, klar zu verstehen, wie und wofür der Feind diese Werkzeuge eingesetzt hat.