Microsoft und CrowdStrike haben damit begonnen, ihre jeweiligen Bezeichnungen für böswillige Cybergruppierungen untereinander abzugleichen. Erklärtes Ziel ist ein vollständiger Abgleich zwischen den Klassifikationen beider Firmen, an der sich weitere Akteure aus der IT-Sicherheitsbranche beteiligen werden. Das teilten der US-Konzern und die IT-Sicherheitsfirma jetzt mit und stellten parallel dazu das erste Ergebnis ihrer Initiative ins Netz. Daraus geht etwa hervor, dass jene Cybergruppierung, die bei CrowdStrike "Fancy Bear" heißt, von Microsoft "Forest Blizzard" genannt wird und welche weiteren Namen sie bekommen hat. Die verschiedenen Namen lassen sich auch automatisiert abrufen.
"Fancy Bear" = "Strontium" = "APT28" = "Forest Blizzard"
Begründet wird die Kooperation mit der Verzögerung, die durch die unterschiedlichen Namen beim Kampf gegen Cyberangriffe entstehen könne. Bei der Abwehr solcher Attacken könnten Sekunden für den Unterschied zwischen Erfolg und Misserfolg ausschlaggebend sein. Die unterschiedlichen und oft inkonsistenten Taxonomien für böswillige Cyberakteure sei ein wichtiger Grund für solch eine Verzögerung. Deshalb arbeite man jetzt daran, die Namen abzugleichen. Eine erste Version dieser Namensliste haben beide Firmen öffentlich gemacht, die IT-Sicherheitsfirmen Mandiant (von Google) und Palo Alto Networks wollen sich demnach daran beteiligen. Auf einer eigenen Seite erklärt Microsoft, wie die Namen abgerufen werden können.
Die Benennung von Cybercrime-Gruppierungen, auch Advanced Persistent Threat (APT) genannt, und staatlich gesteuerten Angreifern auf IT-Infrastruktur sorgt seit Jahren für Verwirrung. Unterschiedliche Firmen aus der Branche haben unterschiedliche Vorgehensweisen. Auch wenn die jeweils einer Logik unterliegen, haben die dabei herauskommenden Bezeichnungen nichts mit denen zu tun, die andere vergeben. So erklärt Microsoft ausführlich, wie Akteure aus bestimmten Staaten einen Namensteil bekommen, der eigentlich ein Wetterphänomen bezeichnet. Cyberakteure aus China erhalten dabei immer einen Doppelnamen inklusive "Typhoon", aus Russland solche mit "Blizzard", für den Iran ist "Sandstorm" reserviert – für Deutschland übrigens "Gale" ("Starkwind").
CrowdStrike setzt dagegen auf Tiernamen, chinesische Akteure heißen da "Panda", solche aus Russland "Bear". Hin und wieder erlangen einige dieser Namen Bekanntheit über die Branche hinaus, das gilt etwa für "Fancy Bear". Der Gruppe werden eine ganze Reihe von hochkarätigen Angriffen zugeschrieben. Bisweilen ist die Namensgebung aber auch albern, so wurde einer Gruppierung der Name "Golden Chickens" zugewiesen und der von ihr eingesetzten Backdoor der Name "More_eggs". Im Rahmen der jetzt vorgestellten Initiative von Microsoft und CrowdStrike wird sich an dem zugrunde liegenden System der Benennung nichts ändern, lediglich der Abgleich zwischen den Namen soll standardisiert werden.
(mho)
English (US) ·