Attacke auf Google Wie Hacker mit verseuchten PDFs spionieren

Google beschwert sich über Hacker-Angriffe aus China - und schweigt zu den Details. Experten zufolge liegt der Verdacht nahe, dass die Attacken mit Hilfe infizierter PDF-Dateien geführt wurden: Einmal geöffnet, laden sie Schad- und Schnüffelprogramme herunter. SPIEGEL ONLINE geht auf Spurensuche.

Von


Es war eine Attacke mit Ankündigung: Der Angriff auf Googles Server, der das Unternehmen nun einen Rückzug aus China erwägen lässt, geschah wahrscheinlich unter Ausnutzung einer seit Mitte Dezember öffentlichen Sicherheitslücke. Experten wussten sogar seit August, dass Gefahr droht - wegen Sicherheitslücken in einer fast allgegenwärtigen Software, die seit Jahren als Angriffspunkt gegen Unternehmen genutzt wird: im PDF-Programm von Adobe.

Im Dezember warnten Experten von McAffee und Secunia, dass 2010 nicht mehr Microsoft von den gefährlichsten Computer-Sicherheitsattacken betroffen sein wird, sondern eben Adobe, das in dieser Hinsicht kaum jemand auf dem Radar hatte. Als Haupteinfallstor für Schadsoftware im neuen Jahr nannte McAffee die so gut wie allgegenwärtigen Programme Flash und Adobe Reader (PDFs).

Zu dieser Einschätzung kamen die Experten offenbar wegen eines sogenannten Zero-Day-Exploit, der im Dezember öffentlich wurde und die Experten regelrecht schockierte. Durch das einfache Öffnen eines PDF-Dokuments wurde Schadsoftware eingeschleust, die prinzipiell alles konnte - von Spionage über das Kapern von Servern bis zur Zerstörung von Daten. Je nachdem, welcher schädliche Programmcode aus dem Internet nachgeladen wurde. Im konkreten Fall war das PoisonIvy, ein Werkzeug zur Fernsteuerung von Rechnern.

Ein Zero-Day-Exploit ist die Ausnutzung einer Sicherheitslücke, von der man bis zum Auftreten des Exploits nichts ahnte. Sie gelten als die gefährlichsten aller IT-Sicherheitsprobleme - denn bei Zero-Day-Exploits fehlt den Herstellern der übliche Vorlauf. In der Regel wissen IT-Sicherheitsunternehmen und Softwareentwickler meist schon Wochen vor dem Auftauchen erster Schadprogramme, dass etwas im Argen liegt, und beginnen mit der Produktion von Flicken und Gegenmitteln. Deshalb reagieren die Unternehmen auf auftretende Sicherheitsprobleme meist so scheinbar schnell; in Wahrheit aber braucht es oft Wochen, manchmal Monate, um die Gegenmittel zu entwickeln.

Adobe selbst machte das Problem mit den PDFs am 15. Dezember öffentlich und warnte vor dem eigenen Produkt. Das Unternehmen wies auf Berichte hin, denen zufolge die Sicherheitslücke schon "in freier Wildbahn" ausgenutzt würde. Gut möglich, dass der Zeitpunkt dieser Veröffentlichung nicht hausintern entschieden wurde - denn am gleichen Tag kam es auch zur Veröffentlichung des Exploit-Codes in einem bekannten Security-Forum.

Das Exploit: Ein "Business-Virus", Privat-PC sind kaum betroffen

Ab diesem Zeitpunkt kursierte quasi eine Bauanleitung, die von jedermann zur Programmierung eigener Angriffssoftware genutzt werden konnte. Die Uhr tickte unüberhörbar. Adobe versprach eilig die Veröffentlichung eines Flickens für den 12. Januar. Bis dahin solle man Javascript deaktivieren, das automatische Öffnen von PDF-Dokumenten per Webbrowser unterbinden und - der Tipp für Fortgeschrittene eines Sicherheitsunternehmens - die PDFShell-Extension durch Umbenennung der Datei Acrord32info.exe außer Funktion setzen.

Eine nutzerfreundliche, auch für Laien nachvollziehbare Lösung klingt anders. Spätestens seit Mitte Dezember klaffte und klafft also eine virulente Lücke in den meisten PC-Systemen, die PDF-Software nutzen.

Nur knapp zehn Prozent aller Virenscanner sind bisher in der Lage, die Schadsoftware in PDFs überhaupt zu erkennen, heißt es. Immerhin: Inzwischen gibt es einen Flicken, der mit neuer Reader-Software und im Update-Verfahren ausgeliefert wird.

Doch wird es wohl noch Wochen dauern, bis er so breit verteilt ist, dass das Sicherheitsproblem wirklich eingedämmt ist. Die vor allem gegen Unternehmen gerichteten Attacken laufen seit Wochen, und sie werden noch weiterlaufen.

Ist dies das Problem, von dem auch Google betroffen ist?

Vieles spricht nun dafür, dass eine solche Attacke auch Google getroffen hat. Der Konzern will sich dazu nicht äußern - aber der Zeitpunkt des Angriffs korreliert mit den berichteten Exploit-Attacken gegen US-Unternehmen im Dezember.

Google erfuhr von dem Sicherheitsproblem angeblich erst an jenem Tag, an dem Adobe den Exploit öffentlich machte. Öffentlich darüber zu reden begann man bei Google wenige Stunden, nachdem Adobe einen Sicherheitsflicken zur Verfügung gestellt hatte. Es fällt schwer, hier an Zufall zu glauben. Zumal Adobe an diesem Mittwoch parallel zu Google eine große Hack-Attacke bekannt machte. Am 2. Januar habe es einen "massiven Angriff" auf Adobe und "andere Unternehmen" gegeben, teilte das Unternehmen mit. In Googles Blog-Post dagegen ist nur von einer "gezielten Attacke" nicht näher spezifizierter Art die Rede.

Außerdem wurden Phishing-Versuche gegen Google-Mail-Konten angeführt - was allerdings ein ganz anderes Thema ist. Eine gezielte Attacke auf Server durch Zusendung verseuchter PDFs legt den Verdacht von Wirtschaftsspionage nahe und ist damit etwas anderes als der Versuch, E-Mail-Konten von Dissidenten per Phishing zu knacken. Letzteres nennt Google jetzt als Hauptgrund dafür, die Kooperation mit Chinas Zensurbehörden zu beenden. Googles Maildienst selbst gibt es in dem Land gar nicht. Es geht also möglicherweise in beiden Fällen nicht um Angriffe innerhalb Chinas, sondern angeblich aus China.

China und die Cyber-Spionage: Der Hack ist leidiger Alltag

Derlei Angriffe sind seit langem und vielfach dokumentiert - in "Tracking Ghostnet" vom März 2009 oder der Northrop-Studie für die US-China Economic and Security Review Commission vom Oktober 2009 ("Capability of the People's Republic of China to Conduct Cyber Warfare and Computer Network Exploitation"). Interessant sind darin Bezüge zu chinesischen Spionageattacken gegen US-Unternehmen mit Hilfe eines PDF-Exploits, das mit dem aktuellen Exploit eng verwandt scheint. Verrät das eine Handschrift? Konstruiert wurde dieses Exploit laut Northrop-Report mit Hilfe einer Software namens FreePic2Pdf. Die aber gebe es nur "auf Chinesisch", steht in dem Bericht.

Das Problem von PDF-Exploit-Attacken gegen US-Firmen ist also seit längerem bekannt und dokumentiert. Als Urheber dieser Attacken werden nicht näher spezifizierte Personen "aus dem Umfeld chinesischer Hackerforen" genannt. Diese kommunizierten mit den von ihnen gekaperten Systemen in einem 24 Stunden umspannenden Drei-Schichten-System, behaupten die Autoren des Reports.

Northrop beschreibt den geregelten Arbeitstag von Hackern in einem Mehrschicht-Betrieb. Der implizite Vorwurf, der sich daraus ableiten lässt: Eine derart ausgeklügelte Operation deute auf Hacking aus Staatshand hin.

Mag sein, dass Google nun eine neue Angriffswelle zum Anlass nahm, um klare Verhältnisse zu schaffen - eine Art demonstratives "Uns reicht's". Dazu kommt, dass der Konzern der Kooperation mit Chinas Zensurbehörden eine Absage erteilt, die immer mit Unwohlsein und öffentlicher Kritik verbunden war.

Das Unternehmen will sich zu all dem nicht explizit äußern und verweist auf die Erklärungen von Justiziar David Drummond. Außerdem seien die Analysen der Attacken ja noch nicht abgeschlossen.

Die Experten des IT-Sicherheitsunternehmens iDefense glauben, dass im aktuellen Fall die Attacke seit Anfang Dezember läuft. Erste Berichte darüber gab es schon ab Mitte Dezember und in der ersten Januarwoche.

So funktioniert der PDF-Exploit

Das Sicherheitsproblem mit dem PDF-Exploit an sich ist aber weit älter. Die aktuelle Lücke wurde vom IT-Securityunternehmen iDefense am 6. August entdeckt. Nach Analyse meldete die Firma das Problem Mitte September an Adobe und lieferte der Softwarefirma gleich noch einen Beweis (Proof of Concept) mit. Adobe bestätigte das Problem am Folgetag - ab da hielten alle Beteiligten Funkstille. Hinter den Kulissen begann die Arbeit an Gegenmaßnahmen, immer in der Hoffnung, damit fertig zu werden, bevor ein erstes Exploit auftauchen würde. Adobe verfehlte das Ziel dann nur um wenige Wochen.

Wirklich neu war das entdeckte Problem nicht. Eine erste Version der Adobe-Sicherheitslücke, bei der ein PDF-Dokument zum Transportvehikel für Schadsoftware wird, wurde im Jahr 2005 dokumentiert. Das Prinzip der Sicherheitslücke wurde sogar schon 2004 in einer Studienarbeit als potentielles Risiko beschrieben.

Der schädliche Code wird bei der Methode in Datenpäckchen segmentiert und darum für Virenschutzprogramme unsichtbar in den Daten eines ins Dokument eingebundenen JPX-Bildes verborgen. Werden diese Bilddaten dekomprimiert und decodiert, fügt der Adobe Reader (oder ein Web-Browser mit entsprechendem Plug-in) nicht nur die Daten des Bildes zusammen, sondern auch die Schadsoftware. Diese ist klein, im aktuellen Fall handelt es sich um zahlreiche Päckchen von nur 38 Bytes Größe.

Erst infizieren, dann Spähsoftware nachladen

Die primäre Aufgabe des Codes: Kommunikation. Die Software soll einen Trojaner nachladen, ein Spähprogramm, das dann die eigentliche Arbeit erledigt. Mit einem "Ping" meldet es sich bei einem Server und signalisiert so, dass die Verseuchung eines Rechners gelungen ist. Sie setzt eine "Leuchtboje", einen Beacon.

Die Experten bei iDefense sehen Hinweise darauf, dass die Dezember-Attacke nur einen eng verwandten Angriff aus dem Sommer 2009 fortführt. Denn schon im Juli 2009 gab es demnach einen sehr ähnlichen Exploit, bei dem der Datenverkehr der Schadsoftware über einen Server in den USA lief und zu anderen Servern, möglicherweise in Taiwan.

So sei das auch diesmal, sagen die IT-Sicherheitsexperten. Denn der Server, mit dem die aktuelle Schadsoftware kommuniziere, sei im gleichen IP-Adressbündel verortet wie beim letzten Exploit.

Dass der Server in den USA steht, bedeutet erst mal gar nichts - außer dass der Nachweis der Urheberschaft der Attacke nicht ganz einfach ausfallen dürfte. Zumal in beiden Fällen Software genutzt wird, um durch Veränderung der IP-Adresse den wahren Standort des kontrollierenden Rechners zu verschleiern.

Nicht die Ursache, sondern "nur" ein Anlass?

Vor diesem Hintergrund erscheint Googles Schritt, Chinas Zensur nicht mehr mitzumachen, als Resultat eines längeren Entscheidungsprozesses - in dem die aktuelle Attacke wohl nur den Anlass lieferte. Denn die Hackerattacke und die seit Jahren dokumentierten Versuche in China, Mail- und andere Kommunikation potentieller Oppositioneller zu überwachen, haben wohl nichts miteinander zu tun.

Das behauptet Googles Justiziar Drummond auch gar nicht in seinem Blog-Eintrag, in dem er die neue Position des Unternehmens gegenüber China erklärt. Er nennt nur beide Probleme in einem Text.

Die Schadsoftware-Attacke habe "im Dezember" stattgefunden, schreibt er. Bei den Mail-Überwachungsversuchen gibt er dagegen keine Zeit an.

1295 gezielte Schnüffelattacken aus vergangenen Jahren hat der Ghostnet-Report dokumentiert. Das Problem ist also virulent und von Dauer - und um solche Dauerprobleme zu lösen, braucht es offenbar manchmal einen sichtbaren Konflikt. Wenn Google aus den Erfahrungen von Mail-Attacken und Wirtschaftsspionage den Schluss gezogen haben sollte, dass man auf dem chinesischen Markt nicht mit den Behörden kooperieren sollte, ist das ein bemerkenswerter Schritt.

Eine detaillierte Anfrage von SPIEGEL ONLINE zu den Einzelheiten des Hacks hat Google bisher nicht beantwortet.

Forum - Diskussion über diesen Artikel
insgesamt 37 Beiträge
Alle Kommentare öffnen
Seite 1
expat62 13.01.2010
1. Demokratien hacken auch
Und, wo ist das Problem? Die Bundesregierung und andere "Demokratien" machen das doch auch und mit der gleichen Motivation -- um Gegner rechtzeitig zu detektieren bevor das System Schaden nimmt. Ultimativ hat die ganze Panik um den Terrorismus doch nur ein Ziel: Das diese unpopulaeren Gesetze zum Auspionieren des Volks eben von diesem abgesegnetet werden. Die Rezession hat erst begonnen und Unruhen sind schon vorprogrammiert. Die regierenden Eliten muessen jetzt mit Praeventivmassnahmen anfangen.In Zukunft wird sich dann der Spiess umdrehen und Menschenrechtsverletzungen in Europa werden dann von China angeprangert.
southeast 13.01.2010
2. Foxit
Der Adobe Acrobat Reader (das Ziegelsteinseiltänzerleseprogramm) hat viele Schwachstellen, da es viel zu viele Funktionen beinhaltet die die meisten user gar nicht brauchen. Unter Windows ist der Foxit reader eine gute und schlanke Alternative. Auch nicht 100% sicher, aber deutlich sicherer. 100% Sicherheit im Netz gibt es nicht. http://www.foxitsoftware.com/pdf/reader/reader-interstitial.html http://www.heise.de/suche/?sort=d;rm=search;q=foxit%20reader;channel=security
Klau3, 13.01.2010
3. Adobe und die Sicherheit der PCs
Jetzt recht sich die Abhängigkeit zu einer einzelnen Firma. Flash (ist auf ca. 90% der PC installiert) hat das Internet ein Stück weit revolutioniert und PDFs sind eine wirklich tolle Sache. Doch leider hängt der Fortschritt und die Sicherheit Vieler an eben jener einen Firma. Mittlerweile kann man viele Flash-Anwendungen durch HTML 5 ersetzen (macht man aber nicht, da der Internet Explorer den Code nicht wiedergeben kann/Microsoft es nicht will, dass er es kann). Eine kleine Verbesserung ist jedoch zu erwarten, da in den nächsten Jahren der Internet Explorer 6 stark an Bedeutung verlieren dürfte. Vielleicht gibt Google dem Ganzen auch einen kleinen Ruck indem es bei YouTube Videos auch als ogg-Video anbietet - wer weiß. Eins ist klar: Wir müssen weg von der Abhängigkeit einzelner Firmen, hin zu Web-Standards.
Selvbygger 13.01.2010
4. Hacker united
Zitat von expat62Und, wo ist das Problem? Die Bundesregierung und andere "Demokratien" machen das doch auch und mit der gleichen Motivation -- um Gegner rechtzeitig zu detektieren bevor das System Schaden nimmt. Ultimativ hat die ganze Panik um den Terrorismus doch nur ein Ziel: Das diese unpopulaeren Gesetze zum Auspionieren des Volks eben von diesem abgesegnetet werden. Die Rezession hat erst begonnen und Unruhen sind schon vorprogrammiert. Die regierenden Eliten muessen jetzt mit Praeventivmassnahmen anfangen.In Zukunft wird sich dann der Spiess umdrehen und Menschenrechtsverletzungen in Europa werden dann von China angeprangert.
Galaxia, 13.01.2010
5. System Upgrade
Zitat von expat62Und, wo ist das Problem? Die Bundesregierung und andere "Demokratien" machen das doch auch und mit der gleichen Motivation -- um Gegner rechtzeitig zu detektieren bevor das System Schaden nimmt. Ultimativ hat die ganze Panik um den Terrorismus doch nur ein Ziel: Das diese unpopulaeren Gesetze zum Auspionieren des Volks eben von diesem abgesegnetet werden. Die Rezession hat erst begonnen und Unruhen sind schon vorprogrammiert. Die regierenden Eliten muessen jetzt mit Praeventivmassnahmen anfangen.In Zukunft wird sich dann der Spiess umdrehen und Menschenrechtsverletzungen in Europa werden dann von China angeprangert.
Der Rezession sind Präventivmassnahmen aber völlig egal. Was die Zukunft betrifft, werden Erneuerbare Energien anstatt fossile Energieträger Verwendung finden und die Wirtschaft antreiben. Eine Frage wie schnell man sich anpasst - umstellt auf den neuen Konjunkturmotor. Eher geht es darum, bestehende Systeme zu updaten und nicht darum, neue Funktionen auf Basis eines wackligen Gerüstes zu konstruieren. Wo das hin führt sieht man ja an dem Zugangserschwerungs Gesetz, da hat man hoffentlich eingesehen, daß es nur Kosten verursacht.
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.