Profi-Hacker spionieren weltweit im großen Stil Regierungen und Industrie aus

Im Rahmen einer professionell durchgeführten Angriffsserie wurden seit 2006 insgesamt 72 Behörden und Organisationen in 14 Ländern gehackt und ausspioniert, berichtet McAfee. 49 der 72 Angriffsziele befinden sich in den USA – darunter Regierungsbehörden, Rüstungsunternehmen, ein wissenschaftliches Institut und die Büros eines Medienunternehmens am Sitz der Vereinten Nationen in New York sowie in Hongkong. Dabei soll es sich nach Presseberichten um die Nachrichtenagentur Associated Press (AP) handeln.

In Deutschland hat es eine nicht näher bezeichnete Buchhaltungsfirma erwischt. Ausgespäht wurden auch die Vereinten Nationen in Genf und das Internationale Olympische Komitee (IOC). Als Ursprungsland wird China vermutet, wie die Washington Post unter Berufung auf einen Experten des Zentrums für Strategische und Internationale Studien (CSIS) berichtet

Die Angriffsserie, der McAfee den Namen "Operation Shady RAT" verpasst hat, flog auf, als der Antivirenhersteller einen der Einbrüche bei einem Kunden analysierte und dabei den Command&Control-Server (C&C-Server) aufspürte. Danach gelang es den Antivirenexperten, auf die Logfiles des Servers zuzugreifen, in denen fein säuberlich die Angriffe auf die Netzwerke dokumentiert sind.

Die Kriminellen haben gezielt Mails mit speziell präparierten Dateianhängen an ausgewählte Personenkreise innerhalb der Behörden und Organisation geschickt. Bei diesem sogenannten Spear-Phishing sind die Mails oft sauber formuliert und formatiert, sodass sie das potentielle Opfer kaum von einer legitimen Nachricht unterscheiden kann. Öffnet der Empfänger den Mailanhang, lädt der Exploit weiteren Schadcode aus dem Netz nach.

Anschließend nimmt der infizierte Rechner Befehle von einem Command&Control-Server (C&C-Server) entgegen. Laut McAfee wurden in diesem Fall normale Webseiten als Kommunikationskanal genutzt. Die Befehle wurden als verschlüsselte HTML-Kommentare in den Seiten untergebracht, die McAfees Heuristik als Generic Downloader.x und Generic BackDoor.t identifiziert. Nach der Infektion dauerte es laut dem Bericht meist nicht lange, bis sich einer der Kriminellen mit dem infizierten System verbunden und dort gezielt geheime Informationen abgegriffen hat.

Den Einbrechern gelang es stets, sich über einen längeren Zeitraum Zugriff auf die Netze ihrer Opfer zu verschaffen. Die Kriminellen konnten in der Regel mindestens einen Monat auf die infizierten Rechner zugreifen; beim Olympischen Komitee Asiens konnten sich die Cyber-Spione sogar 28 Monate umsehen. Das erfolgreichste Jahr war für die Kriminellen 2009, als sie in die Systeme von 38 Opfern eindringen konnten. Im Folgejahr gelang dies nur noch 17 Mal, dieses Jahr gab es bereits 9 erfolgreiche Angriffe. McAfee begründet diesen Rückgang mit den Fortschritten bei der Virenerkennung und nimmt an, dass die Kriminellen bereits mit einer neuen Masche auf einen neuen Server umgezogen sind. (mit Material von dpa) / (rei)