Attacke auf Google Wie Hacker mit verseuchten PDFs spionieren

Google beschwert sich über Hacker-Angriffe aus China - und schweigt zu den Details. Experten zufolge liegt der Verdacht nahe, dass die Attacken mit Hilfe infizierter PDF-Dateien geführt wurden: Einmal geöffnet, laden sie Schad- und Schnüffelprogramme herunter. SPIEGEL ONLINE geht auf Spurensuche.
Von Frank Patalong
Attacke auf Google: Wie Hacker mit verseuchten PDFs spionieren

Attacke auf Google: Wie Hacker mit verseuchten PDFs spionieren

Foto: JASON LEE/ REUTERS

Es war eine Attacke mit Ankündigung: Der Angriff auf Googles Server, der das Unternehmen nun einen Rückzug aus China erwägen lässt, geschah wahrscheinlich unter Ausnutzung einer seit Mitte Dezember öffentlichen Sicherheitslücke. Experten wussten sogar seit August, dass Gefahr droht - wegen Sicherheitslücken in einer fast allgegenwärtigen Software, die seit Jahren als Angriffspunkt gegen Unternehmen genutzt wird: im PDF-Programm von Adobe.

Im Dezember warnten Experten von McAffee und Secunia, dass 2010 nicht mehr Microsoft von den gefährlichsten Computer-Sicherheitsattacken betroffen sein wird, sondern eben Adobe, das in dieser Hinsicht kaum jemand auf dem Radar hatte. Als Haupteinfallstor für Schadsoftware im neuen Jahr nannte McAffee die so gut wie allgegenwärtigen Programme Flash und Adobe Reader (PDFs).

Zu dieser Einschätzung kamen die Experten offenbar wegen eines sogenannten Zero-Day-Exploit, der im Dezember öffentlich wurde und die Experten regelrecht schockierte. Durch das einfache Öffnen eines PDF-Dokuments wurde Schadsoftware eingeschleust, die prinzipiell alles konnte - von Spionage über das Kapern von Servern bis zur Zerstörung von Daten. Je nachdem, welcher schädliche Programmcode aus dem Internet nachgeladen wurde. Im konkreten Fall war das PoisonIvy, ein Werkzeug zur Fernsteuerung von Rechnern.

Ein Zero-Day-Exploit ist die Ausnutzung einer Sicherheitslücke, von der man bis zum Auftreten des Exploits nichts ahnte. Sie gelten als die gefährlichsten aller IT-Sicherheitsprobleme - denn bei Zero-Day-Exploits fehlt den Herstellern der übliche Vorlauf. In der Regel wissen IT-Sicherheitsunternehmen und Softwareentwickler meist schon Wochen vor dem Auftauchen erster Schadprogramme, dass etwas im Argen liegt, und beginnen mit der Produktion von Flicken und Gegenmitteln. Deshalb reagieren die Unternehmen auf auftretende Sicherheitsprobleme meist so scheinbar schnell; in Wahrheit aber braucht es oft Wochen, manchmal Monate, um die Gegenmittel zu entwickeln.

Adobe selbst machte das Problem mit den PDFs am 15. Dezember öffentlich  und warnte vor dem eigenen Produkt. Das Unternehmen wies auf Berichte hin, denen zufolge die Sicherheitslücke schon "in freier Wildbahn" ausgenutzt würde. Gut möglich, dass der Zeitpunkt dieser Veröffentlichung nicht hausintern entschieden wurde - denn am gleichen Tag kam es auch zur Veröffentlichung des Exploit-Codes in einem bekannten Security-Forum.

Das Exploit: Ein "Business-Virus", Privat-PC sind kaum betroffen

Ab diesem Zeitpunkt kursierte quasi eine Bauanleitung, die von jedermann zur Programmierung eigener Angriffssoftware genutzt werden konnte. Die Uhr tickte unüberhörbar. Adobe versprach eilig die Veröffentlichung eines Flickens für den 12. Januar. Bis dahin solle man Javascript deaktivieren, das automatische Öffnen von PDF-Dokumenten per Webbrowser unterbinden und - der Tipp für Fortgeschrittene eines Sicherheitsunternehmens - die PDFShell-Extension durch Umbenennung der Datei Acrord32info.exe außer Funktion setzen.

Eine nutzerfreundliche, auch für Laien nachvollziehbare Lösung klingt anders. Spätestens seit Mitte Dezember klaffte und klafft also eine virulente Lücke in den meisten PC-Systemen, die PDF-Software nutzen.

Nur knapp zehn Prozent aller Virenscanner sind bisher in der Lage, die Schadsoftware in PDFs überhaupt zu erkennen, heißt es. Immerhin: Inzwischen gibt es einen Flicken , der mit neuer Reader-Software und im Update-Verfahren ausgeliefert wird.

Doch wird es wohl noch Wochen dauern, bis er so breit verteilt ist, dass das Sicherheitsproblem wirklich eingedämmt ist. Die vor allem gegen Unternehmen gerichteten Attacken laufen seit Wochen, und sie werden noch weiterlaufen.

Ist dies das Problem, von dem auch Google betroffen ist?

Vieles spricht nun dafür, dass eine solche Attacke auch Google getroffen hat. Der Konzern will sich dazu nicht äußern - aber der Zeitpunkt des Angriffs korreliert mit den berichteten Exploit-Attacken gegen US-Unternehmen im Dezember.

Google erfuhr von dem Sicherheitsproblem angeblich erst an jenem Tag, an dem Adobe den Exploit öffentlich machte. Öffentlich darüber zu reden begann man bei Google wenige Stunden, nachdem Adobe einen Sicherheitsflicken zur Verfügung gestellt hatte. Es fällt schwer, hier an Zufall zu glauben. Zumal Adobe an diesem Mittwoch parallel zu Google eine große Hack-Attacke bekannt machte. Am 2. Januar habe es einen "massiven Angriff" auf Adobe und "andere Unternehmen" gegeben, teilte das Unternehmen mit. In Googles Blog-Post  dagegen ist nur von einer "gezielten Attacke" nicht näher spezifizierter Art die Rede.

Außerdem wurden Phishing-Versuche gegen Google-Mail-Konten angeführt - was allerdings ein ganz anderes Thema ist. Eine gezielte Attacke auf Server durch Zusendung verseuchter PDFs legt den Verdacht von Wirtschaftsspionage nahe und ist damit etwas anderes als der Versuch, E-Mail-Konten von Dissidenten per Phishing zu knacken. Letzteres nennt Google jetzt als Hauptgrund dafür, die Kooperation mit Chinas Zensurbehörden zu beenden. Googles Maildienst selbst gibt es in dem Land gar nicht. Es geht also möglicherweise in beiden Fällen nicht um Angriffe innerhalb Chinas, sondern angeblich aus China.

China und die Cyber-Spionage: Der Hack ist leidiger Alltag

Derlei Angriffe sind seit langem und vielfach dokumentiert - in "Tracking Ghostnet"  vom März 2009 oder der Northrop-Studie für die US-China Economic and Security Review Commission vom Oktober 2009 ("Capability of the People's Republic of China to Conduct Cyber Warfare and Computer Network Exploitation") . Interessant sind darin Bezüge zu chinesischen Spionageattacken gegen US-Unternehmen mit Hilfe eines PDF-Exploits, das mit dem aktuellen Exploit eng verwandt scheint. Verrät das eine Handschrift? Konstruiert wurde dieses Exploit laut Northrop-Report mit Hilfe einer Software namens FreePic2Pdf. Die aber gebe es nur "auf Chinesisch", steht in dem Bericht.

Das Problem von PDF-Exploit-Attacken gegen US-Firmen ist also seit längerem bekannt und dokumentiert. Als Urheber dieser Attacken werden nicht näher spezifizierte Personen "aus dem Umfeld chinesischer Hackerforen" genannt. Diese kommunizierten mit den von ihnen gekaperten Systemen in einem 24 Stunden umspannenden Drei-Schichten-System, behaupten die Autoren des Reports.

Northrop beschreibt den geregelten Arbeitstag von Hackern in einem Mehrschicht-Betrieb. Der implizite Vorwurf, der sich daraus ableiten lässt: Eine derart ausgeklügelte Operation deute auf Hacking aus Staatshand hin.

Mag sein, dass Google nun eine neue Angriffswelle zum Anlass nahm, um klare Verhältnisse zu schaffen - eine Art demonstratives "Uns reicht's". Dazu kommt, dass der Konzern der Kooperation mit Chinas Zensurbehörden eine Absage erteilt, die immer mit Unwohlsein und öffentlicher Kritik verbunden war.

Das Unternehmen will sich zu all dem nicht explizit äußern und verweist auf die Erklärungen von Justiziar David Drummond . Außerdem seien die Analysen der Attacken ja noch nicht abgeschlossen.

Die Experten des IT-Sicherheitsunternehmens iDefense  glauben, dass im aktuellen Fall die Attacke seit Anfang Dezember läuft. Erste Berichte darüber gab es schon ab Mitte Dezember und in der ersten Januarwoche.

So funktioniert der PDF-Exploit

Das Sicherheitsproblem mit dem PDF-Exploit an sich ist aber weit älter. Die aktuelle Lücke wurde vom IT-Securityunternehmen iDefense am 6. August entdeckt. Nach Analyse meldete die Firma das Problem Mitte September an Adobe und lieferte der Softwarefirma gleich noch einen Beweis (Proof of Concept) mit. Adobe bestätigte das Problem am Folgetag - ab da hielten alle Beteiligten Funkstille. Hinter den Kulissen begann die Arbeit an Gegenmaßnahmen, immer in der Hoffnung, damit fertig zu werden, bevor ein erstes Exploit auftauchen würde. Adobe verfehlte das Ziel dann nur um wenige Wochen.

Wirklich neu war das entdeckte Problem nicht. Eine erste Version der Adobe-Sicherheitslücke, bei der ein PDF-Dokument zum Transportvehikel für Schadsoftware wird, wurde im Jahr 2005 dokumentiert. Das Prinzip der Sicherheitslücke wurde sogar schon 2004 in einer Studienarbeit als potentielles Risiko beschrieben.

Der schädliche Code wird bei der Methode in Datenpäckchen segmentiert und darum für Virenschutzprogramme unsichtbar in den Daten eines ins Dokument eingebundenen JPX-Bildes verborgen. Werden diese Bilddaten dekomprimiert und decodiert, fügt der Adobe Reader (oder ein Web-Browser mit entsprechendem Plug-in) nicht nur die Daten des Bildes zusammen, sondern auch die Schadsoftware. Diese ist klein, im aktuellen Fall handelt es sich um zahlreiche Päckchen von nur 38 Bytes Größe.

Erst infizieren, dann Spähsoftware nachladen

Die primäre Aufgabe des Codes: Kommunikation. Die Software soll einen Trojaner nachladen, ein Spähprogramm, das dann die eigentliche Arbeit erledigt. Mit einem "Ping" meldet es sich bei einem Server und signalisiert so, dass die Verseuchung eines Rechners gelungen ist. Sie setzt eine "Leuchtboje", einen Beacon.

Die Experten bei iDefense sehen Hinweise darauf, dass die Dezember-Attacke nur einen eng verwandten Angriff aus dem Sommer 2009 fortführt. Denn schon im Juli 2009 gab es demnach einen sehr ähnlichen Exploit, bei dem der Datenverkehr der Schadsoftware über einen Server in den USA lief und zu anderen Servern, möglicherweise in Taiwan.

So sei das auch diesmal, sagen die IT-Sicherheitsexperten. Denn der Server, mit dem die aktuelle Schadsoftware kommuniziere, sei im gleichen IP-Adressbündel verortet wie beim letzten Exploit.

Dass der Server in den USA steht, bedeutet erst mal gar nichts - außer dass der Nachweis der Urheberschaft der Attacke nicht ganz einfach ausfallen dürfte. Zumal in beiden Fällen Software genutzt wird, um durch Veränderung der IP-Adresse den wahren Standort des kontrollierenden Rechners zu verschleiern.

Nicht die Ursache, sondern "nur" ein Anlass?

Vor diesem Hintergrund erscheint Googles Schritt, Chinas Zensur nicht mehr mitzumachen, als Resultat eines längeren Entscheidungsprozesses - in dem die aktuelle Attacke wohl nur den Anlass lieferte. Denn die Hackerattacke und die seit Jahren dokumentierten Versuche in China, Mail- und andere Kommunikation  potentieller Oppositioneller zu überwachen, haben wohl nichts miteinander zu tun.

Das behauptet Googles Justiziar Drummond auch gar nicht in seinem Blog-Eintrag, in dem er die neue Position des Unternehmens gegenüber China erklärt. Er nennt nur beide Probleme in einem Text.

Die Schadsoftware-Attacke habe "im Dezember" stattgefunden, schreibt er. Bei den Mail-Überwachungsversuchen gibt er dagegen keine Zeit an.

1295 gezielte Schnüffelattacken aus vergangenen Jahren hat der Ghostnet-Report  dokumentiert. Das Problem ist also virulent und von Dauer - und um solche Dauerprobleme zu lösen, braucht es offenbar manchmal einen sichtbaren Konflikt. Wenn Google aus den Erfahrungen von Mail-Attacken und Wirtschaftsspionage den Schluss gezogen haben sollte, dass man auf dem chinesischen Markt nicht mit den Behörden kooperieren sollte, ist das ein bemerkenswerter Schritt.

Eine detaillierte Anfrage von SPIEGEL ONLINE zu den Einzelheiten des Hacks hat Google bisher nicht beantwortet.

Mehr lesen über

Computersicherheit Menschenrechte in China Opposition in China Volksrepublik China Hacker Google Medienzensur
Die Wiedergabe wurde unterbrochen.
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren
Mehrfachnutzung erkannt
Bitte beachten Sie: Die zeitgleiche Nutzung von SPIEGEL+-Inhalten ist auf ein Gerät beschränkt. Wir behalten uns vor, die Mehrfachnutzung zukünftig technisch zu unterbinden.
Sie möchten SPIEGEL+ auf mehreren Geräten zeitgleich nutzen? Zu unseren Angeboten