Google hat die Aktivitäten einer mächtigen Hackergruppe aufgespürt, die ab Februar 2020 ganze 11 Zeroday-Schwachstellen ausgenutzt hat, um Geräte zu kompromittieren. Nun stellte sich heraus, dass es sich dabei um Mitarbeiter westlicher Staaten gehandelt hat, die offensive Operationen durchgeführt haben. Dies hat das 'MIT Technology Review' publik gemacht, nachdem es mit einem Geheimdienst-Mitarbeiter gesprochen hat.

Googles Project Zero Team, zuständig für das Auffinden von Sicherheitslücken, und die Threat Analysis Group, die gegen Hacker vorgeht, haben die grossangelegte Kampagne entdeckt. Kompromittiert wurden neben Safari-Browsern auf iPhones auch Google-Produkte wie der Chrome-Browser auf Android- und Windows-Geräten. Die Forscher haben die Angriffe gestoppt und ihre Befunde in Blogbeiträgen dargelegt.

Es handelt sich um sogenannte Watering-Hole-Attacken, bei denen infizierte Websites genutzt werden, um Besuchern Malware unterzujubeln. Der Umfang, die Raffinesse und die Geschwindigkeit haben die Aufmerksamkeit von Googles Security-Experten auf sich gezogen. Die 11 Zeroday-Lücken wurden in weniger als einem Jahr ausgenutzt.

Was in den Blog-Beiträgen aber nicht auftaucht, ist die Urheberschaft der Attacken oder auf welche Ziele sie abzielten. Auch von den eingesetzten Domains oder technischen Informationen der Malware fehlt jede Spur. Dies veranlasste Security-Experten zur Kritik an der Veröffentlichung, es handle sich quasi um eine Black Box.

Die Forschungsergebnisse sollen die Sicherheit für alle erhöhen, aber es gehöre nicht zur Arbeit, die Attacken zuzuordnen, wehrte sich Google. Das mag für das Project Zero Team stimmen, für die Threat Analysis Group trifft dies aber nicht zu. So wurde erst Ende Januar 2021 eine aufsehenerregende Kampagne einer staatlich unterstützten Gruppe in Nordkorea angelastet.

Aktionen in denen Security-Firmen Exploits von befreundeten Regierungen abschiessen gebe es regelmässig, schreibt das 'MIT Technology Review', sie würden aber kaum öffentlich gemacht. Wenn es sich etwa um Aktionen der Five Eyes – USA, Grossbritannien, Kanada, Australien und Neuseeland – handle, von denen einige Geheimdienst-Veteranen bei Google in der Security arbeiteten.

Anders war es in diesem Falle, was auf Meinungsdifferenzen bei Google zurückzuführen sei: Während einige Security-Leute der Meinung seien, dass Anti-Terror-Aktionen nicht an die Öffentlichkeit gehörten, seien andere überzeugt, dass dies helfe Nutzer zu schützen und das Internet sicherer zu machen. Ihre Argumentation ist einleuchtend: Zeroday-Lücken können früher oder später auch von bösartigen Akteuren genutzt werden. Schwachstellen sollen demnach immer behoben und publiziert werden.

Das ist aber ein heisses Politikum wie etwa der Fall von Kaspersky aus dem Jahr 2018 zeigte: Das Security-Unternehmen deckte damals eine von den USA geführte Cyber-Operation zur Terrorismusbekämpfung gegen Islamisten im Nahen Osten auf – ohne die Urheber zu nennen. Amerikanische Beamte argumentierten dennoch, dass die Operation untauglich gemacht und US-Soldaten in Gefahr gebracht worden seien. Kaspersky wurde aus den Systemen von US-Behörden verbannt und wehrt sich bis heute gegen Vorwürfe, mit dem Kremel verbandelt zu sein.

Bei Google sind ähnliche Sanktionen nicht zu erwarten, aber der Vorfall zeigt den Widerspruch des Unternehmens: Einerseits ist man den eigenen Kunden verpflichtet, andererseits aber auch der Regierung des Heimatlandes. Wenn aber auffliegen sollte, dass Google Lücken in den eigenen Produkten nicht schliesst und dies verschweigt, wäre das auch für die Reputation schädlich.

In den Blogposts von Google finden sich neben einigen Details auch die CVE-Nummern der Lücken.