Technologie-Partner
Gold-Sponsor:
Montag, 30.03.2009
Cyber-Spionage in der wirklichen Welt

Wie - angeblich - chinesische Geheimdienste die PCs der tibetischen Exilregierung manipulierten. Oder sind die Bösen doch woanders?
 
Vergangenes Wochenende wurden gleich zwei verschiedene, sehr ausführliche Berichte (Links unten) über ein Netzwerk von "gekaperten" Computern veröffentlicht. Interessant an der Sache ist die politische Dimension. Die meisten der 1'295 gekaperten Computer, die Security-Spezialisten vom Munk Centre for International Studies der Uni Toronto fanden, befanden sich bei Regierungsstellen, insbesonders bei der tibetischen Exilregierung. Infizierte und damit fernsteuerbare Computer wurden auch bei verschiedenen Botschaften Indiens, Pakistans, der USA, Südkoreas, Thailands und anderer Länder gefunden. Ausserdem fand man komprominierte Maschinen bei der ASEAN (Verband südostasiatischer Nationen), bei der asiatischen Entwicklungsbank, beim Treuhänder Deloitte & Touche in New York und bei der Internationalen Schiffahrtskammer in London.
 
Im 53-seitigen Papier "Tracking GhostNet", das gestern vom 'Information Warfare Monitor' veröffentlicht wurde, wird beschrieben, wie kanadische Security-Spezialisten das Spionage-Netzwerk untersuchten und Spuren zu den "Meistern" der gekaperten PCs, die sehr oft auch äusserst vertrauliche Informationen enthielten, fanden. Zwar sind einige, auch wesentlich grössere Netzwerke von gekaperten Computern (so genannte Botnets) bekannt. Die Kanadier bekamen aber sehr freien Zugang zu den gehackten Computern der tibetischen Exilregierung und anderer exiltibetischer Institutionen und konnten die Funktionsweise von "GhostNet" damit sehr genau untersuchen.
 
So sie einen Angriff beobachten und analysieren, der während der olympischen Spiele stattfand. Die Security-Spezialisten stellten fest, dass bei dem Angriff ein "entführter" Computer in den Privatbüros des Dalai Lama als "Mittelstation" benützt wurde. Danach gewannen die Security-Spezialisten Zugang zum Kontroll-Interface auf diesem Computer und konnten damit die durch den Angriff infizierten PCs identifizieren.
 
Angriffe über gefälschte, glaubwürdige E-Mails
Die Angreifer gingen, um einen gewünschten PC unter ihre Kontrolle zu bringen, mit raffinierten Methoden vor. So sandten sie am 25. Juli ein verseuchtes E-Mail mit dem Absender der exil-tibetischen Regierung an verschiedene pro-tibetische Organisationen. Das E-Mail enthielt ein manipuliertes Word-File, das Sicherheitslücken in diesem Microsoft-Programm ausnützte.
 
Wurde ein schlecht geschützter PC infiziert, holte er weitere, bösartige Software-Stücke vom "Control Server", die ihn zum willenlosen Sklaven von bestimmten "Command Servern" machten.
 
Die Security-Spezialisten, die Zugang zu den Computern im Privatbüro des Dalai Lama hatten, beobachteten, wie verschiedene Dokumente aus einem dieser Computer gefischt und an einen entfernten Server gesandt wurden. Sie selbst hatten aus Geheimhaltungsgründen keinen Einblick in diese Dokumente, doch es handelte es sich um Unterlagen im Zusammenhang mit den unlängst abgebrochenen Verhandlungen zwischen der tibetischen Exilregierung und China.
 
Die bösen Rotchinesen - oder doch jemand anders?
Es gelang den Leuten von der Uni Toronto auch, sich bewusst eine Infektion auf einem speziell präparierten und genau beobachteten Computer, einem so genannten "Honey Pot" einzufangen. Dieser Computer lud dann einen Trojaner herunter. Danach war es dann möglich, die Internet-Adressen der "Command Server", von dem aus der infizierte Computer manipuliert wurde, ausfindig zu machen. Später gelang es sogar, die web-basierte Administrations-Interfaces der Angreifer zu finden und herauszufinden, was man mit den gekaperten Computern alles anstellen konnte.
 
Die Spur der Angreifer führte nach China und zwar in die südchinesische Provinz Hainan. Einer der Server, von dem die infizierten PCs bösartige Software abholten, gehörte sogar der chinesichen Regierung.
 
Ein zweiter Bericht (Link unten), der ebenfalls dieses Wochenende gemeinsam durch die Universitäten von Illinois und Cambridge veröffentlicht wurde, schliesst aus den Untersuchungen, dass die Angriffe durch chinesische Regierungs- oder Geheimdienstkreise ausgeführt wurden.
 
Das 'Munk Center for International Studies' der Uni Toronto und der kanadische ThinkTank 'The SecDev Group' sind da wesentlich vorsichtiger. Zwar seien auffallend viele der mit Sicherheit infizierten Computer an Orten stationiert, die mit chinesischen Interessen zu tun haben. Und die Spuren der "Command Server" führten auf die Insel Hainan, wo sich Abhöreinrichtungen der chinesischen Geheimdienste befinden. Einer der "Command Server" befand sich allerdings in den USA.
 
Da die Kanadier aber nur zu einigen wenigen der vielen infizierten Computer physisch Zugang hatte, habe man nicht schlüssig feststellen können, hinter welchen Daten genau die Angreifer her waren. Zudem könnten sich die echten Angreifer hinter Servern in Hainan verstecken, die sie zu einem früheren Zeitpunkt kompromitiert hätten. Oder dann, so die Kanadier, könnte "GhostNet" durchaus ein kommerzielles Botnet sein, auf das sie durch Zufall gestossen seien. (Christoph Hugenschmidt)
 
Der ausführlichere Bericht "Tracking GhostNet": Investigating a Cyber Espionage Network" kann hier kostenlos heruntergeladen werden. (Anmeldung mit E-Mail-Adressse obligatorisch).
 
Der "Technical Report No. 746" des Computer-Labors der Universität Cambrige ist wesentlich kürzer und "politischer". "The snooping dragon: social-malware surveillance of the Tibetan movement" ist ebenfalls im Internet frei zugänglich. (Klick öffnet PDF)
 
Beide Berichte sind äusserst spannend und recht verständlich geschrieben. Sie eignen sich durchaus als Wochenend-Lektüre.
Kommentar schreiben
 
Newsletter abonnieren
E-Mail-Adresse
HOT Stories
Neu auf altText
Kolumnen
Features