Riesige Cyber-Attacke: Wie Netzspione ihre Opfer austricksen (Spiegel Online, 3.8.2011)
Riesige Cyber-Attacke
Wie Netzspione ihre Opfer austricksen
Spitzenbeamte, Ministerien, ganze Staatenbündnisse: Jahrelang sollen Hacker mittels Schnüffelprogrammen interne Dokumente von Regierungen und Firmen gestohlen haben. Sicherheitsdienste verdächtigen China – doch die Machthaber in Peking sehen sich selbst als Opfer.
Spiegel Online, 3.8.2011
{jumi [*3]}
Einer der bislang größten bekannt gewordenen Spähangriffe soll es sein, urteilen Sicherheitsforscher des US-Unternehmens McAfee: Unbekannte sollen von Regierungs- und Firmenrechnern in riesigem Ausmaß Daten gesaugt haben. Das Vorgehen der Angreifer war allerdings nicht besonders ausgefallen. Von “Standard-Angriffen” schreibt McAfee-Analyst Dmitri Alperovitch, die Unbekannten hätten die Spear-Phishing-Methode gewählt – perfekt auf eine Person zugeschnittene E-Mails, die die Zielperson dazu bringen sollen, einen Anhang oder eine Website zu öffnen, über die dann Schad-Software in das Rechnernetz eindringt.
Diese Art der Angriffe und die gewählten Ziele können Hinweise geben, welche Interessen hinter der Spähkampagne stecken.
Bekannt ist, dass westliche Regierungsstellen seit 2006 immer wieder das Ziel koordinierter Spear-Phishing-Attacken sind. Ende 2010 berichtete zum Beispiel das deutsche Innenministerium, man habe zwischen Januar und September 2010 rund 1600 “elektronische Angriffe mit nachrichtendienstlichem Hintergrund” auf deutsche Bundesbehörden beobachtet. Nach Erkenntnissen des Bundesamts für Verfassungsschutz seien “deutlich über die Hälfte der identifizierungsfähigen elektronischen Angriffe mit unterschiedlicher Nachweisintensität auf staatliche Stellen in der Volksrepublik China zurückzuführen”.
China: “unverantwortliche Kommentare bestimmter Personen”
Ein Sprecher des chinesischen Außenministeriums reagierte Anfang Juli bei einer Pressekonferenz auf diese Vorwürfe. Die Justiz in China verfolge Hacker, chinesische Gesetze würden Internetnutzern jede Aktivität verbieten, die die Cyber-Sicherheit gefährden könne. Man wolle bei diesem Problem auf internationaler Ebene handeln: “Wir sind unzufrieden über die unverantwortlichen Kommentare bestimmter Personen, die Hackerangriffe mit der chinesischen Regierung in Verbindung bringen.”
Die Masche, mit der deutsche Behördenrechner damals infiziert werden sollten, ähnelt dem Vorgehen, das die McAfee-Forscher nun beschreiben – auch wenn diesmal keine deutschen Regierungsstellen betroffen sind. Eine der an deutsche Beamte adressierten Schnüffelnachrichten landete zum Beispiel mit dem Betreff “Expo Shanghai 2010” in ausgewählten Postfächern bei Bundesbehörden. Die angehängten Dokumente enthielten Späh-Software, saugten interne Daten ab und übertrugen sie mehrmals nach Fernost, berichtete der SPIEGEL damals.
In SPIEGEL ONLINE vorliegenden US-Botschaftsdepeschen beschreiben Mitarbeiter der “Cyber Threat Analysis Division” vergleichbare Angriffe aus dem Jahr 2009 auf Mitarbeiter des US-Außenministeriums. Die Betroffenen erhielten E-Mails mit Betreffzeilen wie “China and Climate Change” (“China und der Klimawandel”). Der Absender der Nachricht war gefälscht – auf den ersten Blick kam sie von einem bekannten Wirtschaftskolumnisten des US-Magazins “National Journal”. Jeder der Staatsbediensteten erhielt eine eigene, auf seine Funktion zugeschnittene Nachricht. Alle E-Mails empfahlen ein angehängtes PDF-Dokument zur Lektüre, es sollte Hintergründe zum Klimagipfel enthalten.
“Regierungsvertreter im Visier chinesischer Akteure”
Tatsächlich transportierte das Dokument aber einen Schnüffel-Code – über eine Sicherheitslücke hätten Angreifer beliebige Codes auf den infizierten Rechnern nachladen können. Der Angriff im Sommer 2009 schlug nur deshalb fehl, weil das US-Außenministerium diese eine Sicherheitslücke bereits auf allen Rechnern gestopft hatte.
Mehrere Staaten schreiben diese Art von Angriffen chinesischen Akteuren zu. Eine dem SPIEGEL vorliegende US-Botschaftsdepesche vom November 2008 berichtet von einer Sicherheitskonferenz auf dem US-Stützpunkt Ramstein, an der Vertreter deutscher, französischer, kanadischer, britischer, niederländischer und amerikanischer Sicherheitsbehörden teilnahmen. Fazit: “Alle beteiligten Staaten sehen Regierungsvertreter im Visier chinesischer Akteure.” Auch Vertreter des Bundesamts für Verfassungsschutz haben bei den Gesprächen in Ramstein laut US-Botschaftsdepeschen von Spear-Fishing-Angriffen berichtet, die denen auf US-Vertreter sehr ähneln. Zwischen Oktober 2006 und Oktober 2007 habe man mehr als 500 unterschiedliche Spähangriffe mit Spear-Phishing-Mails beobachtet.
Datensauger zapfen das Asean-Generalsekretariat an
Die McAfee-Forscher schreiben, dass die Log-Daten der von ihnen ausgewerteten Spähoperation bis ins Jahr 2006 zurückreichen. Unter den ersten durch das Netzwerk ausgespähten Stellen war laut McAfee das Generalsekretariat des Verbandes südostasiatischer Nationen (Asean). Die Datensaugerei bei der Asean soll einen Monat vor dem Gipfeltreffen der Organisation in Shanghai begonnen haben.
Daraus lässt sich nicht schließen, wer der Auftraggeber der Angriffe war. Aber das Ziel der Operation schränkt zumindest den Kreis potentieller Interessenten ein: Asean-Interna sind für gewöhnliche Cyber-Kriminelle nicht weiter von Interesse – mit diesen Details kann man nicht so einfach Geld verdienen wie mit entwendeten Kreditkartendaten. Sollten Kriminelle hinter dem Asean-Hack stecken, wären sie wohl nur aktiv geworden, wenn es einen zahlenden Abnehmer für die Informationen gab – und wer soll das sein, wenn nicht staatliche Akteure mit politischen Interessen in der Region? Die chinesische Botschaft hat eine Anfrage zu dem McAfee-Bericht bis zur Veröffentlichung dieses Artikels nicht beantwortet.
In den vergangenen Jahren sind einige andere, ähnlich organisierte Spähangriffe mit vermutlich politischem Hintergrund bekannt geworden:
- Im Juni berichtete die “New York Times“, Hacker hätten ein Rechnernetz des Internationalen Währungsfonds IWF attackiert, in dem hochvertrauliche Daten über die Finanzsituation verschiedener Länder gespeichert waren. Laut einem Bericht von “Bloomberg News” handelten die Hacker im Auftrag einer bestimmten Regierung. Ein Sprecher des chinesischen Außenministeriums kommentierte den Fall: “Es ist haltlos und durch Hintergedanken motiviert, China oder gar die chinesische Regierung mit solchen gewöhnlichen Fällen in Verbindung zu bringen.”
- Im März bestätigte das französische Finanzministerium Spähangriffe auf 150 Regierungsrechner. Das Schnüffelprogramm habe erfolgreich Dokumente abgegriffen, Ziel des Angriffs seien Rechner mit Informationen zum französischen G-20-Vorsitz gewesen, erklärte ein Informant der Nachrichtenagentur Reuters. Frankreich hatte im November 2010 den Vorsitz der 20 führenden Industrie- und Schwellenländer übernommen (G20).
- Im März berichtete der australische “Daily Telegpraph”, dass mehrere Rechner von Regierungsmitgliedern (darunter der Außenminister) im Netzwerk des Parlaments von Späh-Software befallen waren. Mehrere Regierungsquellen bestätigten dem “Telegraph”, dass Ermittler neben freiberuflich arbeitenden Hackern auch chinesische Nachrichtendienste als Urheber der Angriffe verdächtigten.
- Im Januar entdeckte das kanadische Finanzministerium Spähprogramme auf Behördenrechnern von Spitzenbeamten. Die Schad-Software war über Spear-Phishing-E-Mails in das System gekommen, die Angriffe wurden laut Informationen des kanadischen Rundfunks CBC zu Servern in China zurückverfolgt. Ein Sprecher des chinesischen Außenministeriums wies im Februar Vorwürfe zurück, sein Land sei bei den Spähangriffen in Kanada involviert: “Die Anschuldigungen, dass China Hacker unterstürzt, sind reine Lügenmärchen, die mit Hintergedanken gestreut werden.” China selbst sei ein Opfer von Hackerangriffen und verfolge solche Taten.
Konkrete Angriffe auf chinesische Organisationen und Regierungsstellen benannte der Regierungssprecher aber nicht. Von den von McAfee genannten Zielen des Spähnetzwerks ist keines in China ansässig.
- Auf Twitter teilen
- Auf Facebook teilen
- Auf LinkedIn teilen
- Auf Pinterest teilen
- Per E-Mail teilen
- Link kopieren
