24C3: Gezielte Trojaner-Attacken im Informationskrieg

Der belgische Sicherheitsberater Maarten Van Horenbeeck hat auf dem 24. Chaos Communication Congress (24C3) in Berlin am gestrigen Donnerstag die Spuren einiger geschickter Trojaner-Attacken nach eigenen Angaben in Richtung China zurückverfolgt. Zugleich brachte er sie in Zusammenhang mit Taktiken der informationellen Kriegsführung, bei denen es um das Erreichen von Kontrolle über den Gegner gehe. "Das Sammeln von Informationen steht im Vordergrund, um damit Entscheidungsprozesse zu beeinflussen", erklärte der Experte am gestrigen Donnerstagabend der versammelten Hackergemeinde in seinem Vortrag über gut versteckte Schadsoftware. Diese Ziele könnten durchaus im Zusammenhang mit den vor allem in den USA und in China entwickelten Theorien des Infowar und psychologischer Operationen gesehen werden.

Hierzulande sorgten angeblich aus China stammende Trojaner im Vorfeld eines Besuchs von Bundeskanzlerin Angela Merkel (CDU) in Peking Ende August für Aufsehen, da sie sogar Wege auf Rechner ins Kanzleramt und andere Bundesbehörden gefunden haben sollen. Laut Van Horenbeeck startete die immer wieder mit China in Verbindung gebrachte Trojaner-Invasion 2005 mit einem unauffällig per E-Mail dahergekommenen Bildschirmschoner-Objekt mit dem Namen dot.scr, das eine ausführbare Datei erhielt. Diese führe eine Suche im Domainnamensystem (DNS) nach der Webadresse faluninfo.3322.org aus, öffne eine Verbindung über Port 80 und öffne einen Administrator-Fernzugriff auf eine Hintertür.

Anders als gängige Trojaner hat sich der offenbar gegen die von Peking unterdrückte Glaubensgemeinschaft Falun Gong gerichtete Schädling dem Berater zufolge vergleichsweise unauffällig verhalten. Er habe dazu die Technik des "Domain Parking" verwendet, bei der die meiste Zeit keine leicht feststellbare Datenabfrage bei externen Servern erfolge. Vielmehr werde diese nur jeweils kurzzeitig durchgeführt, während ansonsten auf den lokalen Rechner ohne Verbindung nach draußen verwiesen werde. Aufzudecken sei die Trojanerattacke auf einem einmal infizierten vernetzten PC daher am ehesten noch durch das Skript DNSWatch, das alle zehn Minuten eine DNS-Abfrage durchführe, oder über Server an großen Universitäten, die sogenannte passive DNS-Kopien automatisch erstellen und sämtliche DNS-Kontakte aufzeichnen. Dabei habe sich herausgestellt, dass der Trojaner mehrfach innerhalb einiger Tage immer wieder an- und abgestellt worden sei. Aufgrund dieser "Zurückhaltung" hätten ein Jahr nach Entdeckung des unerwünschten Eindringlings nur wenige Virenscanner auf diesen reagiert.

2006 folgte gemäß Van Horenbeeck ein nach wie vor aktiver Trojanerangriff mit einer als HuJintao.doc betitelten Word-Datei. Dieser nutze die Schwachstelle MS05-035 aus, welche die Ausführung beliebigen Codes auf einem Windows-Rechner nach einem kurzen erzwungenen Absturz des Textverarbeitungsprogramms erlaube. Der Schädling verbinde sich zunächst mit einem Server in den USA, der sich wiederum mit einem Rechner im Netz von ChinaNet in Verbindung setze, einem der größten Zugangsanbieter im Reich der Mitte. Der benutzte Trojaner sei eine leicht abgewandelte Version des Schädlings "W32/Riler.J" und verschaffe dem Angreifer Zugang zu dem kompromittierten System mit der Fähigkeit, nach bestimmten Dateien zu suchen und sogar neue Dokumente zu hinterlassen oder zu kreieren. Auch in diesem Fall hätten im Jahr 2007 nur neun von 36 Anti-Virenprogrammen den Schädling erkannt und 15 aufgrund des eingebetteten Codes zumindest Alarm geschlagen.

Im April erregte ein ungewöhnlicherweise in einem reinen HTML-Anhang daherkommender Trojaner die Aufmerksamkeit des Belgiers. In der angehängten Webseitendatei sei es um eine Petition gegangen, in der Peking zur höheren Achtung von Menschenrechten aufgefordert werden sollte. Die dazugehörige E-Mail sei aus Taiwan gekommen, aber über einen australischen Mailserver verschickt worden. Sie habe den Skriptcode für den Schädling "JS dropper" enthalten, der eine ausführbare Datei herunterzuladen und eine Hintertür zu installieren versuche. Auch hier wiederum konstatierte der Experte Fehlanzeige bei den meisten gängigen Viren-Scannern.

Seit Mai hat Van Horenbeeck nun immer ausgefeiltere Trojanerattacken etwa über Microsoft Word, Powerpoint oder Excel registriert, bei denen die Schädlinge immer besser verpackt worden seien. Im Juli sei auch eine Attacke über eine Schwachstelle im Archivierungswerkzeug WinRAR dazugekommen, die auf traditionellen chinesischen Systemen ausgeführt werde. Im Oktober hätten sich die Angreifer ferner einen sogenannten Zero-Day-Exploit zunutze gemacht. Ihr Schädling sei dabei sechs Stunden vor der offiziellen Bekanntgabe der Schwachstelle und der gleichzeitigen Veröffentlichung eines Sicherheitsupdates versandt worden. Methodisch hätten sich die nicht leicht identifizierbaren Cybergangster, hinter denen Van Horenbeeck am ehesten noch chinesische Gruppen wie NCPH oder Titan Rain vermutet, zudem fortentwickelt. Abgesehen haben sie es demnach verstärkt auch auf Passwörter und Login-Namen für E-Mail-Dienste oder andere Webangebote.

Als Gegenmaßnahme gegen die gezielte Ausschnüffelung, die vor allem Rechner im Umfeld von Behörden und Unternehmen betreffe, pocht Van Horenbeeck vor allem auf einen effektiveren Informationsaustausch über entsprechende Trojaner-Angriffe. Die Bundesregierung hat dazu im Einklang mit der Wirtschaft im September eine Implementierungsskizze für den "Nationalen Plan zum Schutz der Informationsinfrastrukturen" verabschiedet. Auch das "Härten" von Betriebssystemen hält der Berater für eine gute Idee. Werkzeuge wie MOICE etwa könnten helfen, eine bessere Kontrolle über die Abläufe in Microsofts Office-Paket zu erhalten. Ansonsten helfe nur eine gute Überwachung des eigenen Netzwerkverkehrs und allgemeine Wachsamkeit. (Stefan Krempl) /

Zum diesjährigen Chaos Communication Congress siehe auch:

• Hackerfreiräume und Anonymisierungsdienste
• Haushaltshacker testen das Pfandsystem
• Kampf gegen Schäubles Computerwanze
• Hacker gegen 24-Stunden-Rundum-Überwachung
• Das Hackerchaos dräut erneut in Berlin

(pmz)