Operation Soft Cell: Hacker stehlen umfangreiche User-Metadaten von Telcos

Eine US-Sicherheitsfirma hat eine Welle von Angriffen auf Telekommunikationsfirmen ausgemacht, wobei gezielt Verkehrsdaten entwendet wurden.

In Pocket speichern vorlesen Druckansicht 20 Kommentare lesen
Arbeit im Serverraum
Lesezeit: 4 Min.

IT-Sicherheitsforscher haben nach eigenen Angaben eine massive, auf den Namen "Soft Cell" getaufte weltweite Spionageoperation gegen mindestens zehn Telekommunikationsanbieter mit Schwerpunkt Mobilfunk aufgedeckt. Die Angreifer sollen es demnach vor allem auf Verbindungs- und Standortdaten der Nutzer abgesehen und umfangreiche, bei einzelnen Zielpersonen einige hundert Gigabytes umfassende Informationsmengen über Tage, Wochen und Monate hinweg abgezogen haben. Die Hacker könnten die genutzten Sicherheitsschwächen und Hintertüren zudem nutzen, um weitergehende Cyberattacken auszuführen oder die Infrastruktur der Provider lahmzulegen.

Die Angriffe erfolgten nach dem Bericht der Bostoner Sicherheitsfirma Cybereason nach einem gleichbleibenden Muster. Die Hacker nutzten demnach Schwachstellen in IIS-Webservern der Telcos und platzierten eine Webshell, die mit dem IIS-Worker-Prozess w3wp verknüpft war. Bei der virtuellen Kommandozeile, die etwa das Ausführen von Systembefehlen und Dateizugriff im Kontext von Webanwendungen ermöglicht, handelte es sich um die "China Chopper"-Webshell, wie die Forscher später herausfanden. Diese ließ es auch zu, Logindaten zu stehlen und weiter Angriffsinstrumente in Stellung zu bringen.

Die Hacker spähten damit zunächst die ins Visier genommenen Server, Systeme und Verzeichnisstrukturen aus, wofür sie unter anderem das Werkzeug NbtScan (NetBIOS Names Scanner) verwendeten. Letztlich verschafften sie sich mit diversen weiteren Werkzeugen und Tricks eine langanhaltende Präsenz auf den ausgekundschafteten IT-Anlagen und nutzten diese, um nach und nach gezielt die begehrten elektronischen Nutzerspuren zu entwenden.

Die Experten von Cybereason haben den ausgefeilten, andauernden Angriff ihrer Publikation zufolge voriges Jahr entdeckt. Man habe den betroffenen Providern dann geholfen, vier weitere Wellen der Attacke über den Verlauf von sechs Monaten abzuwehren. Die Operation habe auf Basis der verfügbaren Daten mindestens 2017 begonnen. Voraussichtlich sei sie aber schon Jahre zuvor am Laufen gewesen. Es sei darum gegangen, einzelne Kunden anhand deren Nutzernamen und Passwörtern auszuspähen und in dem Prozess möglichst viele persönliche Informationen wie insbesondere die Metadaten nebst der Standortinformationen abzugreifen.

Mit den sensiblen Verkehrsdaten lassen sich umfangreiche Nutzerprofile und weitverzweigte Netzwerke von Kontakten anlegen. Bewegungsspuren offenbaren, wo sich die Betroffenen zu welchem Zeitpunkt aufhalten und mit wem sie kommuniziert haben. Strafverfolger drängen daher immer wieder auf eine einschlägige Vorratsdatenspeicherung, um die elektronischen Nutzerspuren für die Verbrechensbekämpfung auswerten zu können. Geheimdienste wie die NSA sind bekannt dafür, jährlich Hunderte Millionen von Verkehrsdaten von Providern zu erheben und auszuwerten, und einschlägige Programme aufgelegt zu haben.

Viele Provider – auch hierzulande – speichern die Informationen etwa aus angeblichen Sicherheitsgründen jenseits von eventuellen staatlichen Verpflichtungen oft freiwillig über Wochen und Monate hinweg. Deutsche Anbieter sind eigentlich angehalten, IP-Adressen und andere, nicht abrechnungsrelevante oder aufgrund staatlicher Auflagen erforderliche Verbindungs- und Standortdaten nach spätestens sieben Tagen zu löschen.

In welchen Ländern die von "Soft Cell" betroffenen Mobilfunker sitzen, hat Cybereason genauso wenig offen gelegt wie die Namen möglicher individueller Opfer. Laut Techcrunch soll sich die Operation mindestens gegen 20 Personen gerichtet haben. Die genaue Zahl der Betroffenen bleibt aber offen genauso wie die Größe des insgesamt erbeuteten Datenbestands. Die Ausgespähten hätten von dem Angriff nichts mitbekommen, da ihr Telefon selbst nicht gehackt worden sei, erläuterte der Chef der Firma, Lior Div. Der Forscher Amit Serper ergänzte, dass die Angreifer genau wussten, was sie wollten. Sie hätten sich von einer verwundbaren Maschine zur nächsten vorgearbeitet und die Attacken mehrfach wiederholt, bis sie das ganze System unter Kontrolle gehabt hätten.

Die Indizien legen laut Cybereason nahe, dass es sich um Angreifer mit staatlicher Unterstützung handelte. Die verwendeten Werkzeuge seien typisch für die chinesische Hackergruppe APT10. Es könnte sich aber auch um Angreifer handeln, die gleiche Instrumente, Techniken, Motive und Infrastrukturvorlieben hätten. Eine solche "Copy Cat"-Operation, um die Attacke anderen in die Schuhe zu schieben, halten die Experten aber für nicht sonderlich glaubhaft angesichts der eigenen Datenanalyse. Eine Attribution von Cyberangriffen ist in der Regel allerdings schwierig. (jk)