Dutch gov’t released as open source a research prototype of its Privacy Enhanced Filter (PEF) software for pseudonymizing (large-scale?) traffic captures

The Dutch government — specifically the National Cyber Security Centre in joint work with the Netherlands Forensics Institute — today released its Privacy Enhanced Filter (PEF) research prototype as open source software (under Apache License 2.0). PEF is written in Java and pseudonymizes network traffic captures, thereby limiting the privacy invasion made by traffic analysis (e.g. signature-based or anomaly-based intrusion detection at a nation(-ish)-wide scale). PEF is open to scrutiny by the public, and importantly, ideas and code are welcomed — let me emphasize this last sentence of the press release cited below in full:

This allows other organizations and developers to view and use the source code at no cost. They can also improve PEF or add additional functionality.

The software that is released is a (research prototype) CLI tool that takes a PCAP or PCAPNG file as input, pseudonymizes IP addresses of internet packets containing DNS data (says the README.md), and writes its output as a PCAP file. It is unclear (to me) whether a non-CLI sibling exists (either now, or soon).

This is the full press release from the National Cyber Security Centre:

Privacy Enhanced Filter (PEF) made available as opensource software

News | 25-04-2017

Effective detection and prevention of digital threats and risks are often in conflict with privacy regulations. The Privacy Enhanced Filter (PEF) can remove privacy sensitive information as much as possible from network traffic in such a way that detection and prevention remain possible. This is analogous to the operation of Google Street View, in which persons, license plates, etc. are anonymized, but the road, environment, and obstacles can still be seen. This allows detection measures to work without compromising privacy.

In close collaboration with the Netherlands Forensic Institute and with the NCTV Safety Through Innovation Program, the NCSC has implemented this application. PEF was then made available as open source software [1]. This allows other organizations and developers to view and use the source code at no cost. They can also improve PEF or add additional functionality.

[1] https://github.com/NCSC-NL/PEF/

Contents of the README.md (note: in the box below, beware overflows due to long lines):

# Privacy Enhanced Filtering

A research prototype application demonstrating network traffic pseudonymization
using a model-driven engineering approach.

It uses declarative definitions to parse the following data structures:

- Link Layer:        Ethernet 2 Frame
- Internet Layer:    IPv4, ICMPv4, _IPv6 partially_
- Transport Layer:   UDP, TCP
- Application Layer: DNS formatted application data (DNS, MDNS, LLMNR, NBNS)

These are used to find network packets containing valid DNS requests and responses.

Supplied is a Java implementation of a format preserving encryption algorithm
that is used to pseudonymize IP addresses of internet packets containing DNS data.

## Limitations

Here is a list of known limitations of this PEF implementation:

- IPv6 parsing is not fully supported.
  (extension headers are not fully supported and only UDP/TCP/IPv4(IP in IP) are parsed further)
- TCP reassembly in order to recognize DNS payload over TCP is not supported yet. for example,
  large DNS transfers can be segmented over multiple packets)
- Only the protocols stated at the top are supported
- If for some reason packet data is not fully parsed, the packet is left untouched
- At least 8 bits have to be pseudonymized, or none
Limitations of the command line tool:
- Works only on PCAP and PCAPNG files

## Requirements:

- Java Runtime Environment 7
- Maven
- The test suite uses [jNetPcap](http://jnetpcap.com/), which requires a native PCAP library, such 
  as `libpcap-dev` on Ubuntu or `WinPcap` on Windows.

## Usage

A command line tool is built around this implementation. This tool can can be used to pseudonymize 
DNS packets in PCAP/PCAPNG files.

Build the application:

$ mvn clean package

Show the command line tool usage:

$ java -jar target/pef-0.0.1-SNAPSHOT-jar-with-dependencies.jar -h


An example run could be:

$ java -jar target/pef-0.0.1-SNAPSHOT-jar-with-dependencies.jar -i inputfile.pcap -o anonymized.pcap -4 0123456789ABCDEF0123456789ABCDEF /10 -6 0123456789ABCDEF0123456789ABCDEF /55 -c ipv4,icmp,udp -m 4



- `java -jar target/pef-0.0.1-SNAPSHOT-jar-with-dependencies.jar` - execute the command line tool, pseudonymizes IP addresses of packets with DNS formatted application data
- `inputfile.pcap` - the input file to process (PCAP or PCAPNG)
- `anonymized.pcap` - the output file to write the results to
- `-4 0123456789ABCDEF0123456789ABCDEF /10` - pseudonymize IPv4 source and destination addresses, using format preserving encryption with the given key, but leave first ten bits untouched
- `-6 0123456789ABCDEF0123456789ABCDEF /55` - same as above, but for IPv6
- `-c ipv4,icmp,udp` - recalculate the IPv4 header, ICMP and UDP checksum (another possibility is `-c all`)
- `-m 4` - run across four threads

The pseudonymization parameter specifies the key to use and how much of the original message to transform. The key should be a 32 character hexadecimal string, 
representing 16 bytes, i.e. a 128-bit key. The part of the message to transform is determined by the mask. This value determines how many of the most significant
bits to keep. For example: IP address with /8 mask will pseudonymize to 255.x.x.x, where x are the encrypted values.

## License

Copyright 2015, 2016, 2017 National Cyber Security Centre and Netherlands Forensic Institute

Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at


Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
See the License for the specific language governing permissions and
limitations under the License.


U.K.: Bulk Powers for MI5, MI6 and GCHQ — Executive Summary of the Independent Bulk Powers Review

News from the U.K.: the outcome of the Independent Bulk Powers Review is now available: here (.pdf, August 2016; mirror). Media reports about the review are available for instance at FT and The Guardian. The review was carried out by David Anderson QC and elaborates on the four bulk powers laid down for MI5, MI6 and GCHQ in the Draft Investigatory Powers Bill (November 2015). That bill is now up for debate in the lower house. In Q1/2016, following the advice of a Joint Committee, the U.K. government provided (further) justification for the new bulk powers proposed in the draft bill; the justification is available here (.pdf, Q1/2016; mirror).

The four bulk powers included in the draft bill are bulk interception, bulk acquisition, bulk equipment interference (“equipment interference” = Computer Network Exploitation / CNE) and bulk personal datasets. TL;DR: the review concludes that there is a proven operational case for bulk interception, bulk acquisition and bulk personal datasets, and a “distinct (though not yet proven)” operational case for bulk equipment interference. No conclusions are made about proportionality or desirability of the powers; that is left as a matter for the U.K. parliament to decide. For my own purposes — related to understanding the draft Dutch bill of which the Dutch government will soon submit the final draft to the Dutch lower house and that also includes new and expanded powers for the Dutch intelligence services AIVD and MIVD related to bulk interception, bulk acquisition and bulk personal datasets (but not bulk equipment interference, at least not in the initial draft of the bill) — I quote the executive summary from the British Independent Bulk Powers Review below.


  • This Report evaluates the operational case for four of the powers in the Investigatory Powers Bill currently before Parliament: bulk interception, bulk acquisition, bulk equipment interference and bulk personal datasets. These powers can be used only by MI5, MI6 and GCHQ.
  • It provides a full introduction to each of the powers (chapter 2) and notes the generally favourable conclusions of those security-cleared persons who have in the past commented on their utility (chapter 3).
  • The security-cleared Review team comprised technical, investigatory and legal experts. We consulted widely. Each member of the Review team authorises me to say that they are in agreement with the conclusions of this Report and with my recommendation (1.28-1.55).
  • The Review applied itself in particular (chapter 4) to:
    • some 60 detailed case studies provided by MI5, MI6 and GCHQ, together with associated intelligence reports,
    • internal documents from each of the Agencies, in which the utility of the powers was discussed, and
    • the questioning of some 85 intelligence officials, including on whether other methods could have achieved the same results.
  • The Report concludes that there is a proven operational case for three of the bulk powers, and that there is a distinct (though not yet proven) operational case for bulk equipment interference (9.12-9.15).
  • As the case studies show, the bulk powers are used across the range of Agency activity, from cyber-defence, counter-espionage and counter- terrorism to child sexual abuse and organised crime (Annexes 8-11).
  • The bulk powers play an important part in identifying, understanding and averting threats in Great Britain, Northern Ireland and further afield. Where alternative methods exist, they are often less effective, more dangerous, more resource-intensive, more intrusive or slower (chapters 5-8).
  • The Review was not asked to reach conclusions as to the proportionality or desirability of the bulk powers. As the terms of reference for the Review made clear, these are matters for Parliament (1.10-1.14).
  • The Report makes a single recommendation: that a Technical Advisory Panel of independent academics and industry experts be appointed by the Investigatory Powers Commission to advise on the impact of changing technology, and on how MI5, MI6 and GCHQ could reduce the privacy footprint of their activities (9.16-9.31).
  • Though it found that the bulk powers have a clear operational purpose, the Report accepts that technological changes will provoke new questions. Adoption of its Recommendation will enable such questions to be asked, and answered, on a properly informed basis (9.32).

Recommended reading:


[Dutch] Enkele snippets uit de gelekte Wiv20xx MvT aan RvS

Hierbij enkele zinsneden uit de via de Volkskrant gelekte Wiv20xx MvT die de regering aan de RvS heeft gestuurd (zie hier enkele quick references naar losse onderdelen van de alles-in-één .pdf die de Volkskrant publiceerde). De MvT is ten opzichte van de consultatieversie 123 pagina’s gegroeid; het wetsvoorstel met 8 pagina’s.

Over hacking via geautomatiseerde werken van derden (MvT, p.106-107):

“[…] In de praktijk verschaffen de diensten zich al in het overgrote deel van de gevallen toegang tot het geautomatiseerd werk van een target via het geautomatiseerd werk van een derde. Het internet is een ecosysteem van providers, tussenleveranciers en dienstverleners die ervoor zorgen dat informatie beschikbaar is via het internet. Een internetverbinding loopt via een ingewikkelde infrastructuur van routers, netwerkverbindingen, servers, e.d. Om toegang te krijgen tot het geautomatiseerd werk van het target moet gebruik kunnen worden gemaakt van die infrastructuur. Belangrijk is te beseffen dat binnendringen via een geautomatiseerd werk van een derde een ultimum remedium is. De diensten zullen altijd eerst proberen rechtstreeks binnen te dringen in het geautomatiseerde werk van het target zelf. Indien dit niet mogelijk is kunnen alternatieven worden uitgewerkt, waaronder binnendringen via (een) geautomatiseerd werk van (een) derde(n). […]

[…] Tevens moet eventueel aangebrachte malware in het geautomatiseerd werk van de derde indien mogelijk worden verwijderd. Een daartoe strekkende inspanningsverplichting, die zich ook uitstrekt het geautomatiseerde werk van het target, is in artikel 44, zevende lid, van het wetsvoorstel vastgelegd. Er is gekozen voor een inspanningsverplichting, omdat in bepaalde gevallen het verwijderen van de malware disproportioneel nadeel zal opleveren voor de derde of voor zwaarwegende operationele belangen van de diensten.

Over toegang tot kabelnetwerken (NB: ‘OTT-diensten’ staat voor ‘Over The Top-diensten’, denk daarbij aan Skype en WhatsApp):

“De eerste reden waarom deze toegang van belang is voor de informatiepositie van de diensten is dat door technologische ontwikkelingen de opbrengst van gerichte interceptie afneemt. Targets wijken uit naar open en anonieme opstijgpunten van het internet (zoals wifi-netwerken in hotels, restaurants en andere openbare ruimtes) waardoor een gerichte tap bij de traditionele aanbieders van telecommunicatiediensten in Nederland steeds minder effectief is. Targets passen bewust hun gedragingen aan om onder de radar te blijven, bijvoorbeeld door gebruik te maken van chatfuncties in games en van berichten- en videodiensten van social media. Het gaat hier onder meer om OTT-diensten. OTT-diensten verzorgen een dienst over het internet en ze hebben veelal communicatie- en (social) mediatoepassingen. Daarnaast zijn zij doorgaans goedkoper dan de traditionele methoden. Diverse OTT-diensten passeren de traditionele aanbieders van (mobiele) telefonie door bijvoorbeeld (video)bellen en chatten via het internet mogelijk te maken. Wereldwijd kunnen consumenten (en daarmee dus ook targets van de diensten) OTT-diensten benaderen door middel van alle denkbare digitale apparatuur zoals PC’s, laptops, spelcomputers, smartphones (Android, iOS en Windows Phone telefoons), muziekspelers, smart TV’s en tablets.”

Het blijft onduidelijk of de diensten alleen LEESTOEGANG kunnen vorderen of ook SCHRIJFTOEGANG. Dat is een cruciaal punt. Het hebben van schrijftoegang kan goud waard zijn voor het uitvoeren van Man-in-the-Middle-aanvallen ter ondersteuning van het uitoefenen van de hackbevoegdheid. Hierover is duidelijkheid nodig! Daartoe hadden Joris van Hoboken en ik trouwens al opgeroepen in onze reactie op de internetconsultatie. Als iemand hierover meer weet, let me know.

Over de ontsleutelplichten is een lichtpunt(je) te melden (MvT, p.158):

Voor de goede orde wordt opgemerkt dat uit de medewerkingsplicht geen bevoegdheid van de diensten kan worden afgeleid tot het (doen) inbouwen van achterdeuren in systemen om aldus toegang tot de ontsleutelde gegevens te krijgen. Ook is er geen enkele verplichting voor bijvoorbeeld aanbieders van communicatiediensten om de encryptie die in hun systemen is toegepast te verzwakken.

Dat is consistent met het kabinetsstandpunt encryptie dd januari 2016. Afwezigheid van een bevoegdheid tot het (doen) inbouwen van achterdeurtjes of het verzwakken van crypto betekent natuurlijk niet dat dit niet op vrijwillige basis kan plaatsvinden — zie de casus met de PX-1000 pocket telex anno jaren ’80, waarbij op verzoek van de NSA een telex met sterke crypto van de markt is gehaald en een variant met backdoor’d crypto op de markt is gebracht; maar dat terzijde.

Over de kosten van kabelgebonden interceptie (MvT, p.284):

“Met de uitvoering van kabelgebonden interceptie onder artikel 47 van dit wetsvoorstel zijn ook aan de zijde van de diensten kosten gemoeid. Het gaat om versterking van de personele capaciteit en aanpassing van informatiesystemen bij de diensten. Bij de ontwikkeling van technische systemen is transparantie en controleerbaarheid, onder andere met het oog op toezicht door de CTIVD, een uitgangspunt. De onderstaande bedragen (in miljoen €) berusten op technisch onderzoek en ervaringsgegevens en zijn inclusief de voorgaand geschetste vergoedingen die samenhangen met de toepassing van onderzoeksopdrachtgerichte interceptie en de overige bevoegdheden bij aanbieders van een communicatiedienst.



Met betrekking tot onderscheid tussen domestic-domestic communicatie en domestic-foreign en foreign-foreign communicatie: dat onderscheid wordt, in tegenstelling tot in Duitsland, VK en Frankrijk, ook in de gelekte versie van de Wiv20xx en MvT nog niet gemaakt. De argumenten vóór en tegen zulk onderscheid zal ik hier niet herhalen, maar ik ben niet overtuigd door de argumenten zoals die in de gelekte MvT worden genoemd. Ik hoop (en verwacht) dat de TIB en CTIVD bij ongerichte search/selectie van domestic-domestic internet- en telefonieverkeer streng(er) toetsen aan noodzaak/subsidiariteit/proportionaliteit, voorzover het niet slechts gaat om digitale aanvallen (indicators of compromise, anomaly-based & signature-based detectie). (Geen idee, trouwens, in hoeverre met het geïntroduceerde bindende ex ante toezicht door de TIB wordt voldaan aan de gerelateerde aanbevelingen in het IViR-rapport Ten standards for oversight and transparency of national intelligence services, dat ook is ingestuurd als reactie op de consultatie.)

Tot slot een iets minder belangrijke opmerking m.b.t. de volgende alinea in de paragraaf “De dreiging die we niet kennen” (MvT, p.17):

“Van bovenaf gezien lijkt het kabellandschap op onze watervoorziening. Deze vergelijking doortrekkend voor de dreiging die via de kabel tot ons komt, leidt tot de conclusie dat we nu geen waterzuiveringssysteem hebben. We kunnen een filter plaatsen op de wateraansluiting van een enkel huis, namelijk het bedrijf dat meldt dat zijn IT is aangevallen. Maar een systeem waarbij de kwaliteit van het water daar waar nodig kan worden onderzocht bij het binnenkomen van ons land, is er niet.”

De analogie met waterzuivering is niet helemaal jofel, omdat bij waterzuivering voor iedereen duidelijk is wat “zuivering” inhoudt en het bijna per definitie gaat over het gezondheidsbelang van individuele burgers. Bij onderzoek aan internetverkeer i.h.k.v. de IVD-taakstellingen ligt dat anders (modulo aanvallen op ICS-systemen voor waterzuivering natuurlijk). Verderop in de MvT worden overigens alsnog enkele voorbeelden van “(nagenoeg) ongekende dreigingen” genoemd (MvT, p.124):

  • “Hierbij kan het onder meer gaan om nog niet onderkende terroristische cellen. Het is van belang om te weten of er vertakkingen zijn naar Nederland vanuit cellen in Frankrijk, België of Syrië/Irak.
  • Het kan ook cyberdreigingen betreffen, zoals digitale spionage en de heimelijke beïnvloeding van ICT-systemen als onderdeel van hybride oorlogvoering (door bijvoorbeeld Rusland of Iran).
  • Het kan gaan om de voorbereiding en ondersteuning van Nederlandse militaire operaties in een onbekende omgeving (zoals enige jaren geleden Uruzgan en thans Mali e.o., door IS ingenomen gebieden en in het kader van anti-piraterij).
    Ook wordt onderzoek gedaan naar de capaciteiten en intenties ten aanzien van specifieke landen en regio’s op het gebied van massavernietigingswapens. Een dreiging kan bestaan uit de export van dual-use goederen naar een risicoland.”


[Dutch] Schematische weergave onderzoeksopdrachtgerichte interceptie + twee tabellen uit gelekt Wiv20xx-wetsvoorstel aan RvS

Hierbij voor quick reference de onderdelen uit het via de Volkskrant gelekte Wiv20xx-wetsvoorstel aan de RvS (.pdf; mirror). Die versie van het wetsvoorstel bevat wijzigingen ten opzichte van het Wiv20xx-wetsvoorstel zoals dat op 2 juli 2015 in consultatie is gebracht. De nieuwe versie ligt op dit moment bij de RvS voor advies; daarna stuurt de regering een definitief wetsvoorstel naar de Tweede Kamer. Lees dit Volkskrant-artikel van Huib Modderkolk (Twitter: @huibmodderkolk) voor enkele observaties van de gelekte versie.

Hier zijn aparte .pdf’s op basis van de alles-in-één .pdf die de Volkskrant publiceerde:

Dan een “herstelde” versie, als .png, van de schematische weergave van “onderzoeksopdrachtgerichte interceptie” (in oorspronkelijk Wiv20xx-wetsvoorstel: “doelgerichte interceptie”; in Wiv2002: “ongerichte interceptie”), die in Bijlage 4 van de MvT verticaal en over twee pagina’s verspreid staat. Klik op het plaatje voor volledig formaat (3872 x 1479 pixels).

Bijlage 4 Schematische weergave onderzoeksopdrachtgerichte interceptie

Dan een .png van het overzicht van bijzondere bevoegdheden en waarborgen (bijlage 3), klik voor volledig formaat:

Bijlage 3 Overzicht bijzondere bevoegdheden en waarborgen

Dan een .png van het overzicht van wetgeving van enkele andere landen (bijlage 5), klik voor volledig formaat (N.B.: merk op dat de wetgevingsjuristen hierin ook aandacht besteden aan het onderscheid tussen binnenlandse en buitenlandse communicatie — iets dat Duitsland/VK/Frankrijk wel doen, en het Wiv20xx-wetsvoorstel vooralsnog niet — dit overigens in tegenstelling tot de Wiv2002, waarin sigint search ex Art.26 Wiv2002 niet is toegestaan op binnenlandse (ether)communicatie):

Bijlage 5 Schematisch overzicht wetgeving van enkele andere landen




Bundesamt für Verfassungsschutz (BfV) warns about intelligence-driven digital espionage from Russia against German targets

In BfV-Newsletter Nr. 1/2016, the German domestic intelligence service Bundesamt für Verfassungsschutz (BfV) warns about intelligence-driven digital espionage from Russia against German targets, and in that, refers to Germany’s geo-strategic position in the center of Europe, its influence in the EU, membership in NATO, and economic power stemming from R&D carried out by public and private entities:

Nachrichtendienstlich gesteuerte Elektronische Angriffe aus Russland

Deutschland steht im Fokus fremder Nachrichtendienste. Die geostrategische Lage im Zentrum Europas, der Einfluss in der EU, die Mitgliedschaft in der NATO, die große Wirtschaftskraft mit vielen innovativen Unternehmen und die weltweite Anerkennung deutscher Wissenschafts- und Forschungsleistungen öffentlicher und privater Stellen rücken die Bundesrepublik ins Zentrum nachrichtendienstlicher Aufklärungsbestrebungen. Um Regierungsstellen, Unternehmen oder Forschungseinrichtungen auszuforschen, werden von einer Vielzahl fremder Nachrichtendienste Cyber-Angriffe eingesetzt.

Russische nachrichtendienstliche Elektronische Angriffe gegen deutsche Ziele sind meist Teil mehrjähriger, international ausgerichteter Cyberspionage-Operationen im Rahmen einer umfassenden strategischen Informationsgewinnung. Deren Angriffskampagnen zeichnen sich durch eine hohe technische Qualifikation aus, verdeutlichen starke finanzielle Ressourcen und lassen in Art und globalem Umfang der Operationen außergewöhnliche Operativ- und Auswertefähigkeiten erkennen. Elektronische Angriffe der russischen Dienste bedrohen in erheblichem Maße die Informationssicherheit deutscher Stellen in Regierung und Verwaltung, Wirtschaft, Wissenschaft und Forschung.

Einige dieser Operationen lassen sich über eine Zeitspanne von sieben bis zehn Jahren zurückverfolgen. Viele dieser Angriffskampagnen weisen untereinander technische Gemeinsamkeiten wie zum Beispiel Schadsoftwarefamilien und Infrastruktur auf – dies sind wichtige Indizien für dieselbe Urheberschaft. Es ist davon auszugehen, dass sowohl der russische Inlandsnachrichtendienst FSB als auch der militärische Auslandsnachrichtendienst GRU Cyberoperationen ausführen.

Ziele der Angriffe russischer Dienste sind vor allem die Stärkung der äußeren und inneren Sicherheit, die Sicherung strategischen Einflusses sowie die Förderung russischer Militär- und Energieexporte und russischer Spitzentechnologie. Die beobachteten Kampagnen sind in aller Regel auf Informationsbeschaffung, also Spionage, gerichtet. Im Einzelfall zeigten russische Nachrichtendienste aber auch die Bereitschaft zu Sabotage und Datenveränderung, wie beispielsweise die Löschung einer Datenbank bei einem deutschen Opfer gezeigt hat.

Ähnlich der Aufklärung mit traditionellen Spionagemethoden liegt bei der Informationsgewinnung mittels Elektronischer Angriffe der Fokus der russischen Dienste auf allen Politikfeldern, die russische Interessen berühren können. Angriffe auf staatliche Stellen betreffen insbesondere Energiepolitik und -sicherheit, außenpolitische Fragen wie Abstimmungsprozesse in der Europäischen Union (EU), die Zentralasien- und die Nahost-Politik sowie die Militär- und Rüstungspolitik, die Verteilung von EU-Geldern sowie humanitäre Fragen.

Die NATO-Erweiterungspolitik und die Ausrichtung der EU auf das transatlantische Bündnis mit den USA werden von der russischen Führung als Gefährdung der nationalen Sicherheit angesehen.

Die russische Wirtschaft und auch der Staatshaushalt sind in hohem Maße von der Entwicklung der Einnahmen aus dem durch Preisverfall gekennzeichneten Öl- und Gasgeschäft abhängig. Staatsunternehmen sind in strategischen Bereichen wie dem Energie- und Rohstoffsektor, im Flugzeugbau und teilweise im Bereich der Informations- und Kommunikationstechnik dominierend. Angriffe auf ausländische Unternehmen und Forschungseinrichtungen dienen der Abschöpfung von Know-how und Förderung der eigenen Wirtschaft und Forschung.

Russische Angriffskampagnen richten sich unter anderem gegen supranationale Organisationen, Regierungsstellen, Streitkräfte, Politiker und Parlamente, deutsche und internationale Wirtschaftsunternehmen sowie Wissenschafts- und Forschungseinrichtungen. Sie zielen auf die Ausforschung von Spitzentechnologien. Dabei sind Schwerpunkte in den Bereichen Energie-, Militär-, Röntgen- und Nukleartechnik sowie Luft- und Raumfahrt zu beobachten. Zudem stehen Regierungskritiker, Journalisten und NGOs sowie internationale Großbanken und Fernsehanstalten im Fokus russischer Angreifer.

Neben Langzeitoperationen werden auch ereignisorientierte oder anlassabhängige Angriffe festgestellt, die für ein russisches staatliches Aufklärungsinteresse sprechen, so zum Beispiel die Cyberangriffe auf das niederländische Ermittlerteam im zeitlichen Kontext mit der Veröffentlichung des Abschlussberichts im Herbst 2015 zu den Ursachen des Absturzes des Malaysia-Airlines-Fluges MH17 am 17. Juli 2014 über der Ostukraine.

Die russischen Angreifer demonstrieren ihr technisches Know-how unter anderem anhand einer großen Bandbreite schwer zu detektierender Angriffsvektoren. Sie umfasst E-Mails mit Schadanhang oder Links zu Webseiten mit Schadcode, USB-Sticks, Phishing-Seiten, Watering Holes oder infizierte legitime Webseiten.

Spear-Phishing-Angriffe zeichnen sich durch gutes Social Engineering der auf das Opfer zugeschnittenen E-Mails aus. Es handelt sich dabei regelmäßig um gut recherchierte, glaubwürdige E-Mails mit für das Opfer relevanten Inhalten (teilweise Insiderwissen) und ihm vermeintlich bekannten Absendern. Darüber hinaus zeichnen sich die Angreifer durch eine große Sprachkompetenz aus. So wurden verseuchte E-Mails bereits in unterschiedlichen europäischen Sprachen festgestellt.

Eine in den letzten Monaten häufiger beobachtete Methode zur Erlangung privater Zugangsdaten zu Opfersystemen mittels Spear-Phishing-Angriffen beschreibt zum Beispiel das IT-Sicherheitsunternehmen Trend Micro in einem entsprechenden Report:

Dazu registriert der Angreifer Domains, die sich nur durch kleine Änderungen in der Schreibung von legitimen Webseiten unterscheiden (sog. Typosquatting). Dann versendet er eine E-Mail mit Link an ausgewählte Opfer, in diesem Beispiel an Mitarbeiter der amerikanischen Sicherheitsfirma Academi (ehemals Blackwater). Wird der Link angeklickt, erscheint im Vorschau-Fenster von MS-Outlook in einem neuen Reiter eine legitime Nachrichtenseite – in diesem Fall eine Seite, die über Afghanistan berichtet und mithin den Interessen des Empfängerkreises entsprechen dürfte. Im Hintergrund sorgt jedoch in der Zwischenzeit ein veränderter Java-Script-Befehl dafür, dass die auf dem nun verdeckten Reiter befindliche Seite gegen die neu erstellte Outlook-Seite des Angreifers ausgetauscht wird. Wechselt das Opfer nun von der Vorschau der Nachrichtenseite zurück zu seinem Outlook-Programm, sieht es nur noch die manipulierte Angreiferseite (mit nachgebauter Anmeldemaske), die vortäuscht, die Session sei abgelaufen und ihn auffordert, seine Zugangsdaten erneut einzugeben. Diese Eingabe ermöglicht dem Angreifer dann, mit diesen Daten das Opfer auszuspähen und sich möglicherweise weitere Zugänge zu verschaffen.

Dieser Spear-Phishing-Angriff zeigt die Raffinesse, mit der der Angreifer hier vorgeht. Das Opfer hat in der Regel keine Chance, diesen Angriff als solchen zu erkennen, da kaum jemand auf die genaue Schreibweise einer URL achten wird. Zudem verdeutlicht dieser Vorfall die Zielrichtung mancher nachrichtendienstlich gesteuerter Angriffswellen. So erfolgten die Angriffe gegen Academi im Frühjahr 2014 zeitgleich mit dem Vorwurf des russischen Außenministeriums, das Unternehmen entsende 400 Söldner in die Ukraine.

Bei der Analyse staatlich gesteuerter Elektronischer Angriffe aus Russland zeigt sich deutlich die hohe informationstechnische Qualität dieser Angriffsoperationen – zum Beispiel durch Ausnutzung noch unbekannter Sicherheitslücken. Sichtbar wird auch die Finanzstärke der Täter; zudem lassen Art und globaler Umfang der Operationen immense Operativ- und Auswertekapazitäten erkennen. Die festgestellten Angriffe erfolgen meist sehr zielgerichtet und passgenau: Die jeweiligen Opfer werden gezielt ausgewählt und angegriffen („target list“).

Die Erfolgswahrscheinlichkeit und damit das Schadpotenzial russischer Angriffe sind aufgrund des erkennbar hohen Ressourcenansatzes, der herausgehobenen technischen Fähigkeiten und des guten Social Engineerings groß.