05.08.2011 
Nach nur fünf Beiträgen hat die 2010 die Serie Tatort Internet abgebrochen. Das war schade, weil die Autoren spannende Einblicke in das Innenleben und die Funktionen von Malware vermittelten. Das gilt auch für ihren Stil: Etwas hemdsärmelig, aber kompetent und gut lesbar.

Vor zwei Monaten hat die Zeitschrift die Serie wieder aufleben lassen (Ausgabe 15/2011) und die Perspektive der Autoren auf die Netzsicherheit als solche gerichtet. Der erste der drei in gedruckter Form erschienenen Aufsätze ist jetzt auch im Netz verfügbar:

Jasper Bongertz, S02E01: Nach uns die SYN-Flut, Heise Security 03.08.2011

Bongertz beschreibt einen noch recht harmlosen DoS-Angriff gegen den Webserver eines Unternehmens, auf dem das Forum zu einem Online-Rollenspiel betrieben wird. Zu guter Letzt wendet er ein paar Social Engineering-Erwägungen an und identifiziert den Angreifer als einen jungen Bengel aus Großbritannien, der aus dem Forum geworfen worden war.

Die Geschichte ist wieder einmal gut geworden und nett zu lesen.
 

06.08.2011 
 hat im März 2011 den Zugang zu den Logfiles eines schon 2009 entdeckten Command and Control Servers (C & C) erlangt, den hungrige Datendiebe bereits seit 2006 als Sprungbrett zu den Datenbanken von insgesamt 72 weltweit verteilten Unternehmen und Organisationen nutzen. Ihre Methode ist einfach und fast schon klassisch zu nennen: Die Angreifen senden an die Mitarbeiter ausgesuchter Unternehmen ("Spear-Phishing") E-Mails mit Anhängen, die eine Download-Routine enthalten. Damit wird die Malware geladen, die eine Hintertür (Backdoor) für den C & C öffnet und den Angreifern den Zugang gibt (1).

Den schon lange dauernden Angriff nennt McAfee "Operation Schattige Ratte", was sich aus dem englischen Sprachgebrauch ableitet, Programme zum Fernzugriff auf fremde Systeme (3) als Ratten (Rats) zu bezeichnen. Betroffen sind 72 Organisationen, darunter ... die ... Regierungen Indiens, Kanadas, Taiwans, Südkoreas, Vietnams und der USA, <das> IOC, <die> Vereinten Nationen, ... ASEAN oder <die> Antidoping-Behörde sowie ... Hightech-Unternehmen und Rüstungsfirmen, Thinktanks und Medien (4). Die Menge der ausgespähten Daten wird in Petabytes geschätzt, also in einer Größenordnung, in der Sony weltweit über Speicherplatz für Videos verfügt (5).

Die Qualität der ausgespähten Daten ist unbekannt, was angesichts der schieren Menge auch unbedeutend ist: Alles, was an Interna und Geheimnisse greifbar ist.

Ungewöhnlich ist:

Die Operation dauert schon seit 5 Jahren an und ist kein lockerer Hack, der mal eben zum Spaß durchgeführt wird.

Bei der Auswahl der Opfer konzentrieren sich die Angreifer auf Nordamerika (53), Europa ist kaum betroffen (6), etwas stärker der Ferne Osten (8, S. 5). Die Dauern der Angriffe sind teilweise kurz und in anderen Fällen reichen sie über Jahre hinweg (S. 9 bis 13). Die Ziele als solches lassen kein spezifisches Muster und keinen Schwerpunkt erkennen (S. 7 und 8). Das unterscheidet sie von den Angriffen unter "Aurora" vom Anfang 2010 (6).

Die Angreifer scheinen an den Informationen als solche interessiert sein. Es sind keine Erpressungsversuche bekannt geworden. Das spricht für Industrie- und andere Spionage.

McAfee vermutet die Angriffe aus Russland oder China stammend. Tatsächlich sind beide Länder nicht von ihnen betroffen, wohl aber Südkorea und Taiwan (jeweils 3), Indonesien, Singapore und Hong Kong (je 1). Das lässt eher eine chinesische Handschrift vermuten (7).

Die verwendete Angriffstechnik ist technisch betrachtet solides Handwerk. Ihr fehlt aber das handwerkliche Niveau jüngster Angriffe, mit dem zum Beispiel beim Night Dragon vorgegangen wurde (8).

McAfee hat die betroffenen Unternehmen und Organisationen unterrichtet und vermutet, dass nahezu jedes Unternehmen schon das Opfer eines ähnlichen Angriffes war oder bald werden wird. Das ist nicht neu (9) und die Gefahren der Datenspionage sind schon vielmals beschworen worden.

Nicht deshalb hat der Bericht eine besondere Bedeutung, sondern weil er die Kontinuität und Professionalität der Spione belegt. Sie haben 2006 in einer Zeit begonnen, als die Botnetze und Schurkenprovider gerade erst bekannt geworden waren (10), also kurz nach den mehr kindischen Sasser-Würmern (11) und bevor die Injektions-Techniken und das Spear-Phishing öffentlich diskutiert wurden. Seinerzeit sind die Spione auf der Höhe der Zeit gewesen. Das ist schon beachtlich.

Dass McAfee auch aus Marketing-Gründen seinen Erfolg feiert, ist verständlich. Das ändert nichts an dem Wert des Berichts, der von großer zeitgeschichtlicher Bedeutung ist, weil er auf Fakten, also der Auswertung von Logfiles beruht.

(1) Dmitri Alperovitch, Revealed: Operation Shady RAT, McAfee 05.08.2011, S. 3

(2) Ebenda, S. 4

(3) Remote Access Service - RAS

(4) Florian Rötzer, Bislang größte Cyberhack-Serie entdeckt, Telepolis 03.08.2011

(5) IT in Zahlen, 08.04.2011

(6) Aurora, 13.02.2011

(7) So auch Rötzer (4).

(8) Night Dragon, 13.02.2011

(9) Sicherheitsstudien. Versorgungsunternehmen und Java, 22.04.2011

(10) kommerzielles Internet und organisierte Cybercrime, 03.11.2010

(11) ebenda
 

06.08.2011 
Zwei weitere Studien von McAfee sind ebenfalls nur in englischer Sprache verfügbar. Dessen ungeachtet lohnen sie einen Blick:

Zehn Tage Regen
Am 04.03.2011 startete ein in Südkorea beheimatetes Botnetz einen massiven DDoS-Angriff gegen Regierungsseiten und die Auftritte der in Korea stationierten US-Streitkräfte (US Forces Korea - USFK), der 10 Tage lang andauerte. Genau darauf war die eingesetzte Malware spezialisiert: Ein zeitlich beschränkter, aber groß angelegter Angriff.

Eine Auseinandersetzung mit den technischen Einzelheiten hat McAfee bereits im Juni veröffentlicht (1).

Im Zusammenhang mit gestohlenen virtuellen Gütern eines Onlinespiele-Dienstes vermutet die südkoreanische Polizei Hinterleute aus dem Norden des geteilten Landes: Nordkoreanische Hacker seien nicht nur dabei, in militärische Netzwerke in Südkorea und den USA einzudringen; etwa 10.000 von ihnen überwiesen ihrem Heimatregime monatlich umgerechnet 3,5 Millionen Euro. Hacking sei mittlerweile eine wichtige Devisenquelle für Nordkorea (2).

Stealth-Techniken bei Stuxnet und Zeus
Mit den ausgefeilten Tarntechniken bei Stuxnet und Zeus beschäftigt sich eine weitere Studie bei McAfee (3). Ihre Stealth-Techniken ermöglichen es der Malware an die gefährdeten Endpunkte in der Industrie, den Behörden oder anderen Organisation zu gelangen und zu kompromittieren. Wenn sich die Malware Stamm innerhalb eines Systems einnistet hat, haben die Angreifer einen vollen Zugriff auf die Datenbestände, Computer-Ressourcen und ihren weiteren Verbindungen. Von ihnen aus kann sich der Angreifer über das interne Netzwerk auf die Suche nach weiteren Schwachstellen und Daten machen.

Möglich machen das Rootkits, die die Malware und ihre Aktivitäten vor Virenscannern und Überwachungsprogrammen (Intrusion Detection) verstecken.

Bei Stuxnet kamen drei Tarnvorrichtungen und mehrere Sicherheitslücken zum Einsatz, die vorher noch nie beobachtet worden waren, darunter ein Kernel-Modus-Rootkit, das auf veränderten Treibern beruht und dem Betriebssystem legitimen Code vorgaukelt. Zuletzt manipulierte Stuxnet die Industrieanlagensteuerungen von Siemens und signalisierte den Steuerungssystemen, dass alles in Ordnung sei.

Stuxnet hat die kerntechnischen Anreicherungsanlagen im Iran angegriffen, das ist inzwischen ziemlich sicher. Andere Steuerungen für Industrieanlagen sind frei im Internet zugänglich und haben nichts, was sie gegen Angriffe schützt (4). Wie blauäugig und dumm kann man eigentlich sein?

Auf der gleichen, tiefen, Kernel-Ebene wie bei Stuxnet ist auch Zeus aktiv. Die Autoren nennen die Malware ganz schlicht: The godfather of botnets. Die käufliche Malware eignet sich zu allem, was der Cybercrime-Markt wünscht: Spam, Datenklau und DDoS. Ein bißchen schwärmen die Autoren schon.

(1) McAfee, Ten Days of Rain. Expert analysis of distributed denial-of-service attacks targeting South Korea, White Paper 28.06.2011

(2) Südkorea sieht zunehmende Bedrohung durch nordkoreanische Hacker, Heise online 04.08.2011

(3) Dave Marcus, Thom Sawicki, The New Reality of Stealth Crimeware, McAfee 13.06.2011

(4) Industrieanlagen-Steuerungen ungeschützt im Netz, Heise online 03.08.2011
 

06.08.2011 
Nur die wenigsten Internetnutzer weltweit schätzen die Gefahren durch Malware (Computerschädlinge) und Cyberkriminelle richtig ein und wissen, wie sie ihre persönlichen Daten bzw. ihren Computer effektiv schützen.

Das ist das ernüchternde Ergebnis einer Studie von G Data (1), die mit einigen Vorurteilen aufräumt: Auch die Generation, die mit Computern aufgewachsen ist, ist nicht besser informiert als die anderen und deutliche Unterschiede sind weder beim Geschlecht noch bei der Nationalität erkennbar. Abschließend heißt es dort:

Trotz der intensiven Nutzung des Computers und des Internets ist das Wissen der meisten Anwender über die wirklichen Gefahren durch Computerschädlinge und deren technologische, sowie anwenderbasierte Abwehr weiterhin gering. Die weltweit agierenden und zum Teil gut organisierten Cyberkriminellen setzen bei einer Vielzahl ihrer Angriffskonzepte auf den Faktor Mensch. Eine kontinuierliche Aufklärung und Information der Internetnutzer scheint daher weiterhin dringend geboten und ist ein nicht zu unterschätzender Baustein für mehr Sicherheit im Internet und im Kampf gegen Online-Kriminalität. Der Einsatz moderner Sicherheitslösungen, die umfassende und aufeinander abgestimmte Schutztechnologien bieten, ist dabei obligatorisch.

Ein bißchen Werbung muss natürlich sein.

(1) Security Studie 2011. Wie schätzen Nutzer die Gefahren im Internet ein? G Data 20.06.2011