Spionage-Coup: Hacker spähten Rüstungskonzerne monatelang aus

Sicherheitsexperten sprechen von einer Aktion "echter Profis": Unbekannten ist es gelungen, geheime Daten von Rüstungsfirmen aus Japan, Israel, Indien und den USA auszuspähen - monatelang. Erst jetzt wurde der Angriff aufgedeckt. Die Schadsoftware hatten Mitarbeiter unabsichtlich eingeschleust.

Hackerangriff (Symbolbild): "Eine gezielte Attacke gegen Rüstungsfirmen"

Foto: DPA

Insgesamt 32 Rechner mehrerer Rüstungsunternehmen hatten unbekannte Hacker monatelang unter ihre Kontrolle gebracht, hatten quasi unbeschränkten Zugriff auf Server. Die Späh-Attacke machten Sicherheitsexperten von Trend Micro jetzt publik. Die Forscher konnten acht Opfer identifizieren und von den Angriffen in Kenntnis setzen. Trend Micro bezeichnet die Attacke als einen " gezielten Hackerangriff auf japanische und US-amerikanische Rüstungsunternehmen ".

Zugang zu den Netzwerken ihrer Opfer erlangten die Hacker über E-Mails mit einem verseuchten PDF-Anhang, die sie an Mitarbeiter der jeweiligen Unternehmen verschickten. Öffneten die Empfänger die PDF-Anhänge, nutzen diese eine Schwachstelle in bestimmten Versionen von Adobe Flash und Reader und platzierten eine Schadsoftware auf dem Computer. Diese öffnete eine sogenannte Backdoor, eine Hintertür im Betriebssystem, über die sie unbemerkt Verbindung zu einem sogenannten Command & Control-Server, einem entfernt stehenden Steuerungsrechner, aufnehmen.

Über diese Verbindung sollen die befallenen Rechner detaillierte Informationen über Netzwerknamen, Dateien und Verzeichnisse an die Angreifer übermittelt haben. Einige Rechner hätten zudem modifizierte Steuerungsdateien heruntergeladen, mit denen sie um spezifische Funktionalitäten erweitert wurden, berichten die Virenforscher.

Der Trojaner kam nach

Derart vorbereitet konnten die Hacker in die befallenen Systeme eindringen und weitere Schadsoftware herunterladen. Unter anderem sollen sie auf diesem Weg Hilfsprogramme zum Knacken von Passwörtern auf die Rechner geladen und installiert haben. Auf diese Weise konnten die Hacker auch die Benutzerauthentifizierung mit besonders starken Passwörtern wirkungslos machen. Schließlich wurden sogenannte Remote Access Trojaner (RAT) auf die Systeme geladen. Mit deren Hilfe konnten die Angreifer die gekaperten Computer in Echtzeit kontrollieren.

Laut Trend Micro sind die Computerspione bereits seit Juli 2011 in den befallenen Systemen aktiv gewesen. Während dieses Zeitraums sollen sie auch Zugriff auf geheime Daten gehabt haben. Aufgrund des mehrstufigen Angriffs, inklusive des Einschleusens verschiedener Arten von Schadsoftware, konnten Befehle an die Systeme gesendet werden, die bei Verbindungsaufnahme des gekaperten Computers mit dem Steuerungsserver ausgeführt wurden.

Veränderte Bedrohungslage

Auffällig sei bei der vergleichsweise kleinen Anzahl von Opfern die Fokussierung auf Rüstungsunternehmen, heißt es in einer Mitteilung des Unternehmens. Wie zielgerichtet die Angreifer vorgegangen sind, zeige sich daran, dass bestimmte Malware-Komponenten speziell auf das jeweils attackierte Unternehmen ausgerichtet worden sind.

Der Angriff sei zudem "ein perfektes Beispiel dafür, wie sich die Bedrohungslage in den letzten zwei Jahren verändert hat", erklärt Trend Micro. Früher hätten Hacker eher nach dem Gießkannenprinzip agiert und versucht, möglichst viele Systeme zu übernehmen. Jetzt reiche es dagegen aus, wenige Rechner zu infizieren, um einen "großen Coup zu landen". "Wichtig ist dabei vor allem, möglichst lange unbemerkt zu bleiben", betont Udo Schneider von Trend Micro. "Die Gangster sind in diesem Fall besonders gewieft vorgegangen, da waren echte Profis am Werk."

Mögliche Ziele in Japan

Alle betroffenen Unternehmen sind über den Angriff informiert worden, bevor die Sicherheitsforscher ihre Erkenntnisse publik machten. Angaben, um welche Firmen es sich gehandelt hat, veröffentlichte Trend Micro allerdings nicht. Anzunehmen ist allerdings, dass unter anderem die japanischen Firmen Mitsubishi Heavy Industries (MHI) und IHI zu den Betroffenen gehören.

Nachdem Hacker-Angriffe auf diese beiden Militärzulieferer am Montag bekannt geworden waren, hat das japanische Verteidigungsministerium die Unternehmen aufgefordert, sofortige Untersuchungen über die Vorfälle und Schäden einzuleiten. Das Ministerium wies darauf hin, die Firmen seien mit der Vergabe von Aufträgen zur Lieferung von Rüstungsgütern im Wert von mehreren Milliarden Dollar verpflichtet worden, die Behörden sofort nach dem Bekanntwerden möglicher Sicherheitslecks zu informieren.