Der heimliche, unheimliche Erfolg der "zwielichtigen Ratte"

3. August 2011, 12:16
  • security
  • mcafee
image

McAfee enthüllt Details der Operation "Shady Rat": In nur einer einzigen Cyberspionageaktion wurden in den letzten fünf Jahren mindestens 72 Regierungsbehörden, Organisationen und Grossunternehmen ausspioniert.

McAfee enthüllt Details der Operation "Shady Rat": In nur einer einzigen Cyberspionageaktion wurden in den letzten fünf Jahren mindestens 72 Regierungsbehörden, Organisationen und Grossunternehmen ausspioniert.
Wie gross ist das Ausmass der internationalen, professionellen Cyberspionage wirklich? Nicht nur Laien, sondern auch IT-Journalisten fällt es schwer, zwischen Sensationshascherei und Abwiegelungsversuchen zu einer Einschätzung zu gelangen.
Dmitri Alperovitch, Chef des Teams, das bei McAfee die weltweite Bedrohungslage abschätzen soll, hat als Mitarbeiter eines Security-Anbieters sicher das Interesse, die Gefahr möglichst gross darzustellen. Alperovitch sagt beispielsweise, dass es unter den 2000 grössten Unternehmen weltweit nur zwei Kategorien gebe: Die, die schon wissen, dass sie ausspioniert wurden, und die, die das nicht nicht rausgefunden haben. Besonders die Gefahr, welche ‘Advanced Persistent Threats (APTs)’ - mit professionellen, fortschrittlichen technologischen Mitteln sowie hoher krimineller Energie und Ausdauer ausgeführte Angriffe - darstellen, wird laut Alperovitch generell stark unterschätzt.
Dafür hat er aber auch gute Argumente, wie uns scheint: Einerseits, so Alperovitch, würden nur wenige erfolgreiche Spionageangriffe an die Öffentlichkeit dringen, weil sich Opfer von tatsächlichen APTs nur ungern zu erkennen geben, wenn sie dies nicht müssen. Und andererseits werde der Begriff selbst aufgeweicht weil Opfer und Security-Anbieter oft auch ganz simple Angriffe als hochraffiniert darstellen.
Shady RAT
Die Spionageaktion, mit der Alperovitch in einem aktuellen, ausführlichen Blogeintrag seine Einschätzung untermauert, ist auf jeden Fall eindrücklich. Die von einem einzelnen Hacker oder vielleicht einer Hackergruppe ausgeführte Aktion, von McAfee intern "Shady RAT" genannt, dauert seit mindestens 2006 an. Der Name "RAT" steht dabei als Abkürzung fü "Remote Access Tool." Dem McAfee-Team gelang es, Zugriff auf einen dafür benutzten Command & Control-Server zu erlangen.
Aus den gefundenen Logfiles konnte McAfee 72 Opfer, die erfolgreich kompromittiert wurden, eindeutig identifizieren. Darunter befinden sich einige US-Behörden, die Regierungen von Taiwan, Vietnam und Indien, eine Vielzahl von Unternehmen, sowie diverse internationale Organisationen, Think Tanks, olympische Kommitees und sogar die internationale Anti-Doping-Agentur WADA. Unter den betroffenen Unternehmen stellen Rüstungskozerne eine Hauptgruppe dar, betroffen waren aber unter anderem auch Unternehmen aus den Bereichen Landwirtschaft, Medien, Buchhaltung und mehrere Elektronik- und IT-Firmen, darunter auch zwei Security-Anbieter. Zwei der Betroffenen sind in der Schweiz stationiert: Die UNO-Niederlassung in Genf und das Internationale Olympische Kommittee in Lausanne. Niemand wurde über die ganzen fünf Jahre hinweg ausspioniert, die Dauer lag aber zwischen einem und 28 Monaten. Die meisten Opfer dürften die Infektion inzwischen aber längst erkannt und beseitigt haben.
Angesichts der grossen Unterschiedlichkeit der ausspionierten Ziele stellt sich die Frage nach dem Motiv des oder der Angreifer. Die Präsenz der olympischen Kommitees und der Think Tanks unter den Opfern deute, meint Alperovitch, darauf hin, dass ein Staat dahinter stehen könnte. Solche Organisationen zu hacken, bringe ebensowenig unmittelbaren finanziellen Profit wie beipielsweise die Spionage bei der UNO oder der ASEAN (Union der Südostasiatischen Nationen).
Spearphishing und "Live"-Zugriff
Die Angreifer verwendeten laut Alperovitch eine Standardmethode: Gezielt auf einzelne Personen gerichtete E-Mails, die einen präparierten Anhang mit einem Exploit einer Sicherheitslücke enthielten. Wenn dieser geöffnet wurde, wurde eine Spionagesoftware installiert. Diese wiederum nahm Verbindung zu einem "Command & Control"-Webserver auf und führte Steuerbefehle aus, die im Code einer dort gelagerten Webseite verborgen waren. Über diese Hintertür nahmen dann auch rasch die Hacker selbst "live" Zugriff auf infizierte Maschinen, um sich im Netzwerk weiter umzusehen.
Die ersten gefundenen Aktivitäten datiert McAfee auf 2006. Die Aktivitäten von Shady Rat nahmen bis 2009 zu und liessen zuletzt 2010 und 2011 deutlich nach, wahrscheinlich, weill inzwischen immer mehr technologische Gegenmassnahmen gegen die spezifische verwendete Malware verbreitet sind. Dies bedeute aber, so Alperovitch, nicht, dass Shady Rat beendet wurde. Der oder die Angreifer hätten sich wohl eher angepasst und seien auf neue Tools und eine neue Steuer-Infratstruktur umgestiegen, was ihre Aktivitäten aus den Logs, auf die McAfee Zugriff hatte, verschwinden liess. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023
image

IT-Fachkräftemangel: Wie Wachstum dennoch gelingt

Der Fachkräftemangel ist akuter denn je, besonders in der IT und Cyber Security. Gleichzeitig steigt die Nachfrage nach entsprechenden Services kontinuierlich. Wie gelingt der Spagat zwischen Wachstum und dem «War of Talents»? Rita Kaspar, Head of HR bei InfoGuard AG, gibt Auskunft.

image

Luzerner können Wille zur Organspende in App hinterlegen

Patientinnen und Patienten des Luzerner Kantonsspitals können ihre Entscheidung zur Organspende neu in der Patienten-App ablegen.

publiziert am 26.1.2023