SPIEGEL ONLINE

SPIEGEL ONLINE

21. Februar 2013, 16:24 Uhr

Hackerattacke

Angriff auf Apple lief über iPhone-Forum

Wer sind die Hacker, und wie haben sie das geschafft? Unbekannte schleusten Schnüffelprogramme auf Rechner von Apple- und Facebook-Mitarbeitern. US-Ermittler vermuten Cyber-Kriminelle hinter dem Angriff. Die Täter haben ein beliebtes Forum für iPhone-Entwickler als Trojaner genutzt.

Erst Facebook, dann Apple: Bei zwei der ganz großen US-Konzerne tauchten in den vergangenen sieben Tagen Schadprogramme auf. Langsam wird klarer, wie der Angriff erfolgte und woher er kam. Experten vermuten Täter aus Osteuropa, meldet die US-Nachrichtenagentur Bloomberg. Nicht namentlich genannte Ermittler geben an, sie würden hinter den Angriffen eine kriminelle Cyber-Gang aus Russland oder Osteuropa vermuten.

Zumindest einer der Server, von denen die Angriffe ausgingen, habe in der Ukraine geortet werden können. Weitere Beweise sollen auf einen kriminellen Hintergrund hindeuten. Die Ermittler schließen aus, dass hinter den Angriffen staatliche Akteure (zum Beispiel aus China) standen. Ziel der Täter sei es wohl gewesen, Firmengeheimnisse zu erbeuten.

Angriff auf alle

Die Methode, der sich die Kriminellen dabei bedienten, ist eine seit Jahren gängige. Sie haben auf einer populären Website Schadsoftware eingeschleust. Betroffen war iPhone Dev SDK, ein Forum für iPhone-Entwickler. Wenn Nutzer diese Seite aufriefen, wurden ihre Rechner infiziert. Allerdings nicht in allen Fällen. Der Schädling übernahm den Computer nur, wenn eine bestimmte Version von Oracles Java-Software installiert war, die eine Sicherheitslücke enthielt. Experten nennen so eine Infektion einen Drive-by-Angriff - man muss nichts anklicken, sondern nur die präparierte Website aufrufen.

Die Zahl der Betroffenen dürfte sich in Grenzen gehalten haben, weil die Java-Lücke nicht auf jedem Computer anzutreffen ist. In einer Stellungnahme wies Apple darauf hin, dass Mac-Computer ohne Java ausgeliefert werden. Werde die Software vom Anwender nachinstalliert, würde das System sie nach 35 Tagen Inaktivität automatisch deinstallieren. Dass Apple nicht viel von Java hält, wird jedenfalls deutlich klar.

Umso erstaunlicher ist, dass dann doch einige Apple-Mitarbeiter ihre Dienst-Laptops mit dem Schädling infizierten. Doch auch das stelle kein ernstes Problem dar, wiegelt der Konzern ab. Die betroffenen Notebooks seien vom Firmennetz isoliert worden, es gebe keinen Hinweise auf einen erfolgreichen Datendiebstahl.

Der unschuldige Helfer erfuhr es zuletzt

Der erfolgreiche Angriff trifft wohl das iPhone-Entwickler-Forum am härtesten. Die Webseite Business Insider beispielsweise betitelte einen Artikel zu den Vorgängen mit der Überschrift: "Sie werden nicht glauben, dass diese harmlos aussehende Seite geholfen hat, Apple und Facebook zu hacken".

Betreiber John Herman äußerte sich umgehend zu den Vorwürfen und erklärte, er sei erst am 20. Februar darüber informiert worden, dass seine Seite für den Angriff missbraucht worden sei. Demnach sei ein Adminstratoren-Account bei dem Dienstleister, der seine Seite hostet, von den Angreifern kompromittiert worden. Mit den Zugangsdaten dieses Accounts hätten die Angreifer den Schadcode in seine Seite einbauen können.

Am 30. Januar hätten die Hacker ihre Aktivitäten auf seiner Seite eingestellt. Trotzdem weist Herman seine Nutzer jetzt mit einem großen Hinweis über seiner Seite auf den Angriff und die Sicherheitslücke hin und hat zur Sicherheit die Passworte aller Nutzer zurückgesetzt.

Unklar ist allerdings noch, weshalb Herman erst so spät und nur aus der Presse davon erfuhr, dass seine Seite zum Vehikel für einen Trojaner geworden war. Schließlich hatte Facebook den Angriff schon eine Woche zuvor gemeldet.

mak

URL:

Mehr auf SPIEGEL ONLINE:

Mehr im Internet


© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH