Massenangriff Hacker kapern Hunderte pakistanischer Websites
Mit einem großangelegten Hackangriff wurden am Wochenende 284 pakistanische Websites lahmgelegt . Unter den Opfern waren so prominente Seiten wie Google, Paypal, Ebay oder Blogspot. Anstelle der richtigen Web-Adressen wurden Surfer von einem Pinguinbild und einer etwas rätselhaften türkischsprachigen Hacker-Nachricht begrüßt: "Kankalarm hep yanmda arkada içinde Yanmda olmayan m var çekimlik her nefeste" war auf den manipulierten Seiten zu lesen. Wörtlich auf Deutsch: "Meine Kumpels sind immer bei mir. Als ob ich keinen als Freund bei mir hätte für jeden Atemzug." Ob es sich dabei um eine schlechte Übersetzung ins Türkische handelt oder um einen absichtlich rätselhaften Satz, ist unklar.
Als Verantwortliche trat die Hackergruppe Eboz auf. Der Hacker-Datenbank Zone-H.org zufolge eine seit drei Jahren moderat aktive Gruppe, die wenig wählerisch bei der Auswahl ihrer Ziele scheint: Mal verändert sie eine dänische Pornoseite, dann ersetzt sie eine türkische Autovermietung oder eine deutsche Filmpiraten-Website mit eigenen Botschaften . Eine Anfrage von SPIEGEL ONLINE hat Eboz bislang noch nicht beantwortet.
Das breite Spektrum an Angriffen weist jedenfalls darauf hin, dass die Gruppe ihre Ziele nicht aus politischen oder weltanschaulichen Motiven wählt, sondern aufgrund ihrer Verwundbarkeit. Die Hacker haben offenbar Kenntnis von einer Sicherheitslücke und gehen per Suchmaschine auf die Suche nach dafür anfälligen Websites. So ungezielt gehen Sponti-Hacker oder Hacker-Scherzbolde vor, nicht Kriminelle.
Die Opfer waren gewarnt
Dass Eboz nun auf einen Schlag 284 Websites ausschalten konnte, erscheint demnach eher wie ein Zufallstreffer. Das pakistanische Tech-Blog Pro Pakistani will Hintergrundinformationen von den verantwortlichen Hackern selbst erhalten haben. Demnach haben die fünf Eboz-Hacker Khanisgr8, Net_Spy, Xpired, Sho0ter und N3t.Crack3r eine Sicherheitslücke beim pakistanischen Domain-Registrar Pknic ausgenutzt und Aufrufe dieser Seiten auf ihre eigene Website umgeleitet.
Wer also zum Beispiel google.com.pk aufrief, wurde durch einen manipulierten Datenbankeintrag bei Pknic auf den Webserver der Hacker weitergeleitet - wo zuletzt die kryptische Botschaft gelagert war. Pknic verwaltet die sogenannte Top-Level-Domain .pk (in Deutschland verwaltet die zentrale Registrierungsstelle Denic die Top-Level-Domain .de). Angeblich seien alle betroffenen Firmen-Domains außerdem von MarkMonitor, einem Web-Dienstleister verwaltet worden. Die Eboz-Hacker könnten demnach auch das Kundenkonto von MarkMonitor bei Pknic geknackt und so Veränderungen im Domain-Register vorgenommen haben.
Zum Beweis ihrer Täterschaft haben die Hacker das Pro-Pakistani-Blog mit Details zu den Sicherheitslücken versorgt, deren Authentizität dem Blog zufolge von Experten bestätigt worden sei. Demnach sei Pknic schon lange verwundbar für solche Angriffe. Bereits am 9. November hätten die Hacker den Domain-Registrar über die Sicherheitslücken informiert. Das Unternehmen habe sie aber nicht ernst genommen, weswegen ihnen nur der öffentliche Hack blieb. Auf eine Anfrage von SPIEGEL ONLINE hat Pknic bis zum Montagmittag nicht geantwortet.
