Es hört sich ein wenig nach Naturdoku an: Zwei Mitarbeiter des Sicherheitsspezialisten Gosecure haben vor drei Jahren einen Honeypot – also ein künstlich geschaffenes Ziel für Hacker – gebaut und mit dem Internet verbunden. Dann haben sie gewartet und die Aktivitäten zahlreicher Angreifer auf ihrem Ködersystem aufgezeichnet. Total wurden laut dem darüber veröffentlichten Bericht 190 Millionen Events, 100 Stunden Videomaterial und zahlreiche Dateien gesammelt. Die Einsichten präsentierten die beiden Gosecure-Mitarbeiter, von denen der eine Engineer und der andere Kriminologe ist, auch
in einem Briefing im Rahmen der Hacker-Konferenz Black Hat USA. Die Angriffe auf den Honeypot, der aus mehreren angreifbaren Windows Servern bestand, fanden via Remote Desktop Protocol (RDP) statt. Mit einem eigenen Tool namens PyRDP wurden die Aktivitäten aufgezeichnet.
Im Anschluss kategorisierten die Spezialisten die Hacker, die sie auf ihren Systemen beobachteten, in fünf Klassen, offensichtlich inspiriert von Fantasy-Rollenspielen. Der "Ranger" hat dabei lediglich eine Späher-Funktion und erkundet die Systeme, das Netzwerk und lässt kleine Scripts und Programme laufen. Es wird vermutet, dass es hier nur um eine Evaluierung geht, um später zurückzukehren. Der "Dieb" versucht derweil, den illegalen Zugriff schnellstmöglich zu Geld zu machen – beispielsweise durch das Installieren von Krypto-Mining-Programmen. "Barbaren" hingegen versuchen, mit dem gekaperten System weitere Systeme zu kompromittieren, oft mit Brute-Force-Techniken.
Derweil sind Zauberer wohl die spannendste Spezies unter den Angreifern: Sie nutzen kompromittierte Systeme, um darüber zu weiteren Zielen zu springen. Damit verwischen sie ihre Spuren – laut den Forschern ist dies eine gute operative Sicherheitsstrategie. "Die Möglichkeit, die Aktionen dieser Angreifer zu überwachen und zu sehen, ist von grösster Bedeutung für die Sammlung von Bedrohungsdaten", so die Autoren.
Zu guter Letzt wurden auch sogenannte "Barden" beobachtet. Hierbei handelt es sich um Angreifer ohne sichtbare Hacker-Fähigkeiten. Es wird vermutet, dass die Barden ihre RDP-Zugänge in der Regel von talentierteren Hackern kaufen. Genutzt werden sie für eher banale Angelegenheiten – etwa, um in ihrem Land verbotene Pornografie herunterzuladen.
Im zugehörigen Bericht von Gosecure sind für einige der "Hacker-Klassen" kurze Videos verlinkt, in denen deren Aktivität gezeigt wird.
(win)
