Cyber-Attacke "Shady Rat" Die Methoden der Mega-Hacker
Angriffsziel Informationsgesellschaft: Nicht auf Geld, auf Wissen waren die Eindringlinge aus
Foto: CorbisDmitri Alperovitch ist sich sicher: Unbeteiligte gibt es nicht. Aus der Sicht des Sicherheitsexperten kann man die 2000 bedeutendsten Firmen der Welt in zwei Kategorien einteilen: "Jene, die wissen, dass Hacker in ihre Netze eingedrungen sind und jene, die das noch nicht wissen."
Alperovitch beschreibt in einem Bericht, wie Firmen, aber auch Behörden und öffentliche Organisationen Opfer eines großangelegten Cyber-Angriffs geworden sind. Alperovitch hat die Angriffswelle "Operation Shady Rat" getauft. Das Kürzel Rat steht für Remote Access Tool - Fernzugriffssoftware. Genau darum geht es: Über Jahre haben Unbekannte in fremden Netzwerken unbemerkt solche Fernzugriffssoftware platziert, gigantische Mengen geheimer Daten abgegriffen, bevor man ihnen auf die Schliche kam.
Alperovitch widerspricht dem Eindruck, der nun aufgedeckte Mega-Hack sei der Höhepunkt einer gerade besonders großen Zahl solcher Angriffe. Derartige Einbruchsversuche dauern seit "mindestens einer halben Dekade" an, schreibt der Sicherheitsexperte des US-Unternehmens McAfee.
Dass McAfee die Erkenntnisse nun veröffentlicht, begründet Alperovitch damit, man wolle das öffentliche Bewusstsein über solche Bedrohungen stärken. Zufall wird es jedenfalls nicht sein, dass McAfee den Bericht ausgerechnet an dem Tag veröffentlicht, an dem in den USA die alljährliche Black-Hat-Konferenz beginnt, auf der Sicherheitsexperten aus aller Welt ihre neuesten Erkenntnisse über Hacker-Methoden und Sicherheitslücken austauschen.
Opfer, Methoden, Interessen - die wichtigsten Erkenntnisse der Sicherheitsexperten über das Spähnetzwerk im Überblick:
Wie ist McAfee an die Informationen über die Hacker gekommen?
Die Hacker-Jäger haben sich Zugriff auf einen sogenannten Command-&-Control-Server (Kommando- und Steuerungsserver) der Netzwerk-Späher verschafft. Solche Server sind ein Zwischenglied zwischen den eigentlichen Angreifern und ihren Opfern. Sie nehmen Befehle entgegen und leiten diese an die Kontrollprogramme auf den befallenen Opfer-Rechnern weiter. Umgekehrt können sie erbeutete Daten aus den betroffenen Netzwerken an die Hintermänner weiterleiten.
Auf dem Kontrollserver haben die McAfee-Techniker sogenannte Log-Dateien gefunden, in denen Aktivitäten des Steuerrechners seit 2006 protokolliert waren. Unklar ist, weshalb es derart ausführliche Aufzeichnungen gibt. Ihre Existenz muss als einer der wenigen handwerklichen Fehler der Angreifer gewertet werden. Denn durch Analyse dieser Aufzeichnungen konnten die Experten Rückschlüsse darauf ziehen, wen die Angreifer attackiert haben und wie lange sie die betroffenen Netzwerke ausspähten.
Allerdings gibt es Lücken in den Analysen des Sicherheitsunternehmens McAfee. Telweise sind die Aufzeichnungen nicht detailliert genug, um alle Ziele der Hacker identifizieren zu können.
Wie haben sich die Eindringlinge Zugang zu den Computern verschafft?
Den Analysen der Sicherheitsexperten zufolge nutzten die Angreifer traditionelle Phishing-Methoden: Sie schickten fingierte E-Mails an Mitarbeiter der Zielobjekte, die über die nötigen Zugriffsrechte für das jeweilige Computernetzwerk verfügten. Sobald die Opfer diese Mails öffneten oder auf einen darin enthaltenen Link klickten, lud der Trojaner weitere Schadsoftware. Diese nistete sich versteckt im Netzwerk ein und stellte dann Kontakt zum Kommando- und Steuerungsserver her.
Die Schadsoftware fungierte als Brückenkopf für die weitere Verbreitung von Schadprogrammen im Netzwerk. Nach und nach verschafften sich die Eindringlinge Zugang zu immer mehr Rechnern. Sie erlangten weitergehende Zugangsrechte, so dass sie befallene Computer steuern, gezielt nach Informationen suchen und diese kopieren konnten.
Wie lange waren die Eindringlinge aktiv, und wie viele Ziele hatten sie?
Mindestens seit Mitte 2006, denn in diesem Jahr beginnen die Aufzeichnungen in den Log-Dateien, die McAfee sich verschaffen konnte. Die Experten räumen aber ein, dass die Angreifer schon vor diesem Datum aktiv gewesen sein könnten - vielleicht gibt es einfach keine Log-Dateien aus dieser Zeit.
McAfee hat insgesamt 72 Firmen, Behörden und Organisationen identifiziert, die von den Eindringlingen bespitzelt wurden. 49 der betroffenen Netzwerke befinden sich in den USA. Es gibt aber auch eine Häufung von Fällen in Asien und westlichen Staaten wie Dänemark und der Schweiz.
Sind auch deutsche Firmen betroffen?
Laut McAfee gehörte ein Unternehmen aus Deutschland zu den Zielen der Angreifer. Um welche Firma es sich dabei gehandelt hat, will McAfee nicht preisgeben, verrät nur, dass es sich um ein Wirtschaftsprüfungsunternehmen gehandelt habe. Die Angreifer haben sich demnach im September 2009 Zugang zu deren Rechnern verschafft und diese zehn Monate lang ausgespäht, bevor das Datenleck entdeckt und geschlossen werden konnte.
Wonach haben die Eindringlinge gesucht?
Sowohl die Zahl als auch die Art der Angriffsziele war im Laufe der Jahre drastischen Veränderungen unterworfen. Zu Beginn der Aufzeichnungen wurden nur acht Opfer ausgehorcht. Darunter Bauunternehmen, Handelsorganisationen, eine südkoreanische Behörde und ein US-Immobilienunternehmen.
Im Jahr 2007 waren laut den Log-Dateien 29 Ziele von der Schnüffelsoftware befallen. Darunter waren erstmals auch vier US-Rüstungskonzerne, außerdem Technologiefirmen, verschiedene US-Behörden und eine auf Computersicherheit spezialisierte Gesellschaft.
In diesem Jahr wurden auch die Olympischen Komitees zweier Staaten erstmals zum Ziel der Angriffe, ein Trend, der sich fortsetzte. Zu den Angriffszielen zählten in der Folge auch die Vereinten Nationen, das Internationale Olympische Komitee und die Welt-Anti-Doping-Agentur Wada. Diese Häufung der Spionageangriffe im Umfeld der Olympischen Sommerspiele 2008 in Peking bringt James A. Lewis vom Center for Strategic and International Studies in der "Washington Post" zu dem Schluss: "Der wahrscheinlichste Urheber der Angriffe ist China."
Wie lange hatten die Eindringlinge Zugriff auf die betroffenen Systeme?
Die Verweildauer der Angreifer innerhalb der betroffenen Netzwerke, beziehungsweise die Zeit bis zu ihrer Entdeckung, variiert stark. Während das Internationale Olympische Komitee nur einen Monat lang ausgehorcht wurde, haben die Hacker verschiedene US-Behörden, Think-Tanks, Kommunikationsfirmen und die Vereinten Nationen bis zu zwei Jahre lang beobachtet, in Einzelfällen soll die Spähsoftware noch länger aktiv gewesen sein. Spitzenreiter ist das Olympische Komitee eines nicht genannten asiatischen Staats, dessen Computer 28 Monate lang belauscht wurden.
Ist die Bedrohung jetzt vorüber?
Wohl kaum. Für die offensichtlich gut organisierten Angreifer ist es sicher kein Problem, neue Kommandoserver einzurichten. Sicher ist nur, dass die von McAfee zum Großteil nicht namentlich bezeichneten Opfer der Angriffe die Lauscher vorerst los sind.
Welcher Schaden durch die Hightech-Bespitzelung entstanden ist, ist ebenso unklar wie die Frage, was die Diebe mit den ungeheuren Datenmengen eigentlich anfangen. Es soll sich um mehrere Millionen Gigabyte kopierter Daten handeln.
McAfee-Experte Dmitri Alperovitch fürchtet, dass schon die Nutzung kleiner Teile der abgeschöpften Informationen ausreichen würde, um eine massive wirtschaftliche Bedrohung darzustellen. Sei es, um Produkte gegenüber der Konkurrenz zu verbessern oder um Einfluss auf Verhandlungen in den Bereichen Wirtschaft und Politik zu nehmen - munitioniert mit erbeuteten Geheiminformationen.
Ein Grund zur Entwarnung ist der jetzige Erfolg jedenfalls nicht. Die Dunkelziffer dürfte recht hoch sein: Viele Ziele der Angreifer sind anhand der Log-Dateien nicht identifizierbar. Außerdem dürfte eine Organisation oder Gruppe, die über Jahre unbemerkt derartige Datenmengen im Geheimen abschöpfen kann, kein Problem damit haben, sich schnell anzupassen.
