Cyber-Attacken Das letzte Gefecht der Zombie-Armee

Zombie-Rechner attackieren seit Tagen Regierungs-Web-Seiten der USA und Südkoreas. Die Schuldzuweisungen sind eindeutig, die Fakten nicht: Es ist unklar, woher die Angriffe kommen, wer sie koordiniert. Experten warnen: Freitagabend könnte die Zombie-Armee ihren letzten Befehl ausführen.

Von


Mit einer Flut fingierter Anfragen überlaste Angreifer seit Tagen Server, auf denen Regierungsseiten der USA und Südkoreas liegen. Das Resultat: Web-Seiten wie whitehouse.gov und pentagon.afis.osd.mil sind manchmal nur schlecht erreichbar. Die Kombination legte zunächst nahe, woher die Angriffe initiiert worden sind: Nordkorea stecke wohl hinter den Attacken.

Proteste in Seoul: Konservative Aktivisten gingen auf die Straße, um gegen den kommunistischen Norden zu protestieren, der angeblich hinter Cyber-Attacken auf Regierungsseiten steckt
AP

Proteste in Seoul: Konservative Aktivisten gingen auf die Straße, um gegen den kommunistischen Norden zu protestieren, der angeblich hinter Cyber-Attacken auf Regierungsseiten steckt

Diese Annahme des US-Verteidigungsministeriums war aber wohl bestenfalls geraten, und das nicht mal gut. Aber der südkoreanische Geheimdienst stimmte sofort in den Chor ein, informierte Abgeordnete darüber, dass das kommunistische Nordkorea hinter den Attacken stecken könnte.

Ganz sicher war man sich schon da nicht. Allerdings wurden professionelle Regierungshacker hinter der Aktion vermutet. "Die Angriffe scheinen auf der Ebene einer Gruppe oder eines Staates sorgfältig geplant und ausgeführt worden zu sein", hieß es in einer Erklärung des staatlichen Geheimdienstes (NIS).

Am Freitagmorgen jedoch rudert die Koreanische Kommunikationskommission (KCC) zurück. Die Angriffe würden von Deutschland, Österreich, Georgien, den USA und vor allem Südkorea selbst aus ausgeführt. Der ursprüngliche Verdächtige, Nordkorea, taucht in der Liste gar nicht mehr auf. Ein Sprecher des US-Außenministeriums stellte auf einer Pressekonferenz am Donnerstag klar, man wisse nicht, wer für die Angriffe verantwortlich ist. Zudem sei die Wucht der Attacke nicht sonderlich stark.

Zu viele Anfragen

Was steckt also wirklich hinter dem angeblich so professionell und gut geplanten Cyber-Angriff? Die Wahrheit ist: Das weiß niemand ganz genau. Klar ist nur: Die Angriffe werden von einem Botnet ausgeführt, also von Computern, auf die eine Schadsoftware eingeschleust wurde, die deren Fernsteuerung ermöglicht. Diese Computer bombardieren die geplagten Websites auf Befehl mit einer Vielzahl gleichzeitiger Anfragen, um die Server aus dem Tritt zu bringen, zu überlasten.

Neu ist diese Technik nicht, wird als Distributed Denial of Service Attacke (DDoS) bezeichnet und jeden Tag ausgeführt. Mal sind es augenscheinlich Versuche von Firmen, störende Mitbewerber aus dem Geschäft zu drängen, manchmal einfach ein Muskelspiel, um zu demonstrieren, dass man es kann. So wurden etwa Anfang 2005 die Web-Seiten des Heise-Verlags für mehrere Tage per DDoS lahmgelegt.

Bis zu hunderttausend beteiligte PC

Oft jedoch sind die Angriffe politisch motiviert. So etwa als 2007 etliche estnische Unternehmens- und Regierungsserver durch DDoS-Angriffe lahmgelegt wurden. Damals wurde schnell Russland als Urheber der Attacken vermutet. Regierungskreise behaupteten gar, die Cyber-Angriffe zu "konkreten Personen und konkreten Computern russischer Regierungsorgane" zurückverfolgen zu können. Im Gespräch mit SPIEGEL ONLINE erklärte der Leiter des estnischen "Computer Emergency Response Team" (CERT), Hillar Aarelaid, dann aber, man habe "keine Beweise, dass die Angriffe von einem einzigen konkreten Urheber ausgehen". Viel eher sei es wahrscheinlich, dass es sich bei den Angreifern um Privatpersonen handele, die politisch motiviert agierten.

Mehr zum Thema
Ähnlich äußert sich nun auch James Lewis vom amerikanischen Center for Strategic and International Studies. Die Angriffe seien "nervig und ein bisschen peinlich, aber eigentlich keine große Sache", erklärt Lewis gegenüber der Nachrichtenagentur Associated Press (AP). Ohnehin gebe es für die US-Regierung kaum Möglichkeiten, auf einen solchen Angriff zu reagieren. Und das vor allem, weil es unwahrscheinlich ist, dass man jemals herausfinden wird, wer tatsächlich hinter den Angriffen steckt.

Nicht einmal darüber, wie groß die seit dem amerikanischen Nationalfeiertag am 4. Juli rollende Angriffswelle ist, gibt es verlässliche Zahlen. So berichtet AP, es handele sich um eine Armada von hunderttausend ferngelenkten PC, welche die Angriffe ausführten. Andere Quellen hingegen sprechen von lediglich 30.000 beteiligten Computern.

Angriffs-Software aus der Mottenkiste

Vergleichsweise gut abgesichert ist dagegen die Erkenntnis, dass die Angreifer nicht das Rad neu erfunden haben, sondern auf erprobte, jahrealte Schadsoftware zurückgriffen. Die Mehrheit der beteiligten PC soll mit dem MyDoom-Wurm infiziert worden sein, einem Computerschädling, der schon seit fünf Jahren seine Runden durch das Internet dreht, seinen Opfern meist über fingierte E-Mails zugespielt wird und an verschiedenen DDoS-Angriffen beteiligt war.

Das nun ausgerechnet ein solcher altbekannter Schädling zum Einsatz kommt, spricht nicht gerade dafür, dass hinter der Attacke hochspezialisierte Regierungshacker stehen. Der Virenspezialist Dean Turner von Symantec vermutet vielmehr, dass der Angriff hastig und ohne besonderes Vorwissen vorbereitet und ausgeführt worden sei. Ansonsten hätten sich die Angreifer vermutlich mehr Mühe damit gegeben, ihre Software vor einer Entdeckung durch Schutzprogramme zu verbergen. Profis hätten sich da wohl mehr Mühe gegeben.

Signal zur Selbstzerstörung

Um deswegen Entwarnung zu geben, ist es aber wohl noch zu früh. Denn auch darüber, wie geschickt die Angreifer vorgehen, gibt es ausgesprochen unterschiedliche Meinungen. Für Hongsun Kim, Chef der südkoreanische Ahnlab, einem Anbieter von Internet-Sicherheitslösungen, sind die Angriffe " die schlimmste Cyberattacke", die er in seiner 15-jährigen Karriere erlebt hat. Und wenngleich durch die Attacken bisher noch kein substantieller Schaden entstanden ist, könnten zumindest die Besitzer der in das Botnet integrierten Rechner am Freitag noch eine böse Überraschung erleben.

Schad- und Spähsoftware
Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer-Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E-Mail-Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer sogenannten Backdoor , einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.
Virus
Computerviren befallen vorhandene Dateien auf den Computern ihrer Opfer. Die Wirtsdateien funktionieren – zumindest eine Zeit lang - weiterhin wie zuvor. Denn Viren sollen nicht entdeckt werden. Sie verbreiten sich nicht selbständig, sondern sind darauf angewiesen, dass Computernutzer infizierte Dateien weitergeben, sie per E-Mail verschicken, auf USB-Sticks kopieren oder in Tauschbörsen einstellen. Von den anderen Schad- und Spähprogrammen unterscheidet sich ein Virus allein durch die Verbreitungsmethode. Welche Schäden er anrichtet, hängt allein vom Willen seiner Schöpfer ab.
Rootkit
Das kleine Kompositum führt die Worte "Wurzel" und "Bausatz" zusammen: "Root" ist bei Unix-Systemen der Benutzer mit den Administratorenrechten, der auch in die Tiefen des Systems eingreifen darf. Ein "Kit" ist eine Zusammenstellung von Werkzeugen. Ein Rootkit ist folglich ein Satz von Programmen, die mit vollem Zugriff auf das System eines Computers ausgestattet sind. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass diese beispielsweise von Virenscannern noch wahrgenommen werden können. Entweder das Rootkit enthält Software, die beispielsweise Sicherheitsscanner deaktiviert, oder es baut eine sogenannte Shell auf, die als eine Art Mini-Betriebssystem im Betriebssystem alle verdächtigen Vorgänge vor dem Rechner verbirgt. Das Gros der im Umlauf befindlichen Rootkits wird genutzt, um Trojaner , Viren und andere zusätzliche Schadsoftware über das Internet nachzuladen. Rootkits gehören zu den am schwersten aufspürbaren Kompromittierungen eines Rechners.
Wurm
Computerwürmer sind in der Praxis die getunte, tiefergelegte Variante der Viren und Trojaner. Im strengen Sinn wird mit dem Begriff nur ein Programm beschrieben, das für seine eigene Verbreitung sorgt - und der Programme, die es transportiert. Würmer enthalten als Kern ein Schadprogramm , das beispielsweise durch Initiierung eines eigenen E-Mail-Programms für die Weiterverbreitung von einem befallenen Rechner aus sorgt. Ihr Hauptverbreitungsweg sind folglich die kommunikativen Wege des Webs: E-Mails, Chats, AIMs , P2P-Börsen und andere. In der Praxis werden sie oft als Vehikel für die Verbreitung verschiedener anderer Schadprogramme genutzt.
Drive-by
Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Web-Seite. Die Methode liegt seit einigen Jahren sehr im Trend: Unter Ausnutzung aktueller Sicherheitslücken in Browsern und unter Einsatz von Scripten nimmt ein auf einer Web-Seite hinterlegter Schadcode Einfluss auf einen Rechner. So werden zum Beispiel Viren verbreitet, Schnüffelprogramme installiert, Browseranfragen zu Web-Seiten umgelenkt, die dafür bezahlen und anderes. Drive-bys sind besonders perfide, weil sie vom PC-Nutzer keine Aktivität (wie das Öffnen einer E-Mail) verlangen, sondern nur Unvorsichtigkeit. Opfer sind zumeist Nutzer, die ihre Software nicht durch regelmäßige Updates aktuell halten - also potenziell so gut wie jeder.
Botnetz
Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mit Hilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Web-Seiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PC und können sie via Web steuern. Solche Botnets zu vermieten, kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Web-Seiten in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen. (mehr bei SPIEGEL ONLINE)
Fakeware, Ransomware
Das Wort setzt sich aus "Fake", also "Fälschung", und "Ware", der Kurzform für Software zusammen: Es geht also um "falsche Software" . Gemeint sind Programme, die vorgeben, eine bestimmte Leistung zu erbringen, in Wahrheit aber etwas ganz anderes tun. Häufigste Form: angebliche IT-Sicherheitsprogramme oder Virenscanner. In ihrer harmlosesten Variante sind sie nutzlos, aber nervig: Sie warnen ständig vor irgendwelchen nicht existenten Viren und versuchen, den PC-Nutzer zu einem Kauf zu bewegen. Als Adware-Programme belästigen sie den Nutzer mit Werbung.

Die perfideste Form aber ist Ransomware : Sie kidnappt den Rechner regelrecht, macht ihn zur Geisel. Sie behindert oder verhindert das normale Arbeiten, lädt Viren aus dem Netz und stellt Forderungen auf eine "Reinigungsgebühr" oder Freigabegebühr, die nichts anderes ist als ein Lösegeld: Erst, wenn man zahlt, kann man mit dem Rechner wieder arbeiten. War 2006/2007 häufig, ist seitdem aber zurückgegangen.
Zero-Day-Exploits
Ein Zero-Day-Exploit nutzt eine Software-Sicherheitslücke bereits an dem Tag aus, an dem das Risiko überhaupt bemerkt wird. Normalerweise liefern sich Hersteller von Schutzsoftware und die Autoren von Schadprogrammen ein Kopf-an-Kopf-Rennen beim Stopfen, Abdichten und Ausnutzen bekanntgewordener Lücken.
Risiko Nummer eins: Nutzer
Das größte Sicherheitsrisiko in der Welt der Computer sitzt vor dem Rechner. Nicht nur mangelnde Disziplin bei nötigen Software-Updates machen den Nutzer gefährlich: Er hat auch eine große Vorliebe für kostenlose Musik aus obskuren Quellen, lustige Datei-Anhänge in E-Mails und eine große Kommunikationsfreude im ach so informellen Plauderraum des Webs. Die meisten Schäden in der IT dürften von Nutzer-Fingern auf Maustasten verursacht werden.
DDoS-Attacken
Sogenannte distribuierte Denial-of-Service-Attacken (DDoS) sind Angriffe, bei denen einzelne Server oder Netzwerke mit einer Flut von Anfragen anderer Rechner so lange überlastet werden, bis sie nicht mehr erreichbar sind. Üblicherweise werden für solche verteilten Attacken heutzutage sogenannte Botnetze verwendet, zusammengeschaltete Rechner, oft Tausende oder gar Zehntausende, die von einem Hacker oder einer Organisation ferngesteuert werden.

Übereinstimmenden Angaben der KCC und Ahnlab zufolge werden nämlich am heutigen Freitag die Zombie-Rechner selbst zum Ziel eines weiteren, möglicherweise des letzten Angriffs. Über die eingeschleuste Schadsoftware seien die Rechner quasi zur Selbstzerstörung programmiert worden.

Um 17 Uhr Mitteleuropäischer Sommerzeit soll es soweit sein, der finale Botnet-Befehl ausgeführt werden. Wie das aussehen könnte, beschreibt Ahnlab-Mitarbeiter Lee Byung-Cheol: "Die betroffenen Computer werden (das Betriebssystem - d. Red.) nicht mehr starten können und die auf der Festplatte gespeicherten Daten werden gelöscht."

Hat ein bisschen was von James-Bond-Romantik, könnte aber auch einem praktischen Zweck dienen, denn damit wären auch alle Hinweise auf die Täter vernichtet.

Mit Material von AP/Reuters



© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.