McAfee analysiert Google-Hacks: Auch Softwarefirmen ausgespäht

Es waren Attacken, die das Netz erschütterten: Über eine offene Sicherheitslücke im beliebten Microsoft-Browser Internet Explorer drangen Angreifer in die Rechner von Google und anderer IT-Konzerne ein und saugten sensible Daten und Geschäftsgeheimnisse ab. Die Aktion, deren Ausgangspunkt China sein soll, führte bei Google gar dazu, den bisherigen Status Quo im Riesenreich aufzugeben. Künftig, so kündigte Justiziar David Drummond am 12. Januar an, werde man darauf verzichten, sich an staatlichen Zensurmaßnahmen zu beteiligen. Was den Internet-Riesen offenbar besonders ärgerte: Auch E-Mail-Konten von Menschenrechtsaktivisten waren geknackt worden.

Seit dem spektakulären Statement bastelt der Konzern an seiner neuen China-Strategie. Gleichzeitig versuchen Sicherheitsexperten, die Vorfälle aufzuklären - sowohl auf Seiten der Strafverfolger als auch bei kommerziellen IT-Security-Größen. Mit dem US-Spezialanbieter McAfee hat nun das erste Sicherheitsschwergewicht eine breite Analyse zu der auch "Operation Aurora" genannten Angriffswelle veröffentlicht.

Bei einem Vortrag auf der renommierten RSA-Sicherheitskonferenz in San Francisco erläuterte McAfee-Forscher Dmitri Alperovitch, dass sich die Angreifer auch Zugriff auf das Innenleben großer Software-Firmen verschafft hätten. So konnten sie bei Adobe, dem Hersteller der PDF-Anzeigesoftware Reader, in ein Entwickler-Managementsystem schauen. Somit war es ihnen möglich, vorab nach Lücken in dem viel verwendeten Programm Ausschau zu halten, die sie dann unbemerkt ausnutzen konnten. "Niemand dachte daran, diese Systeme abzusichern", so Alperovitch, "dabei sind das die Kronjuwelen der meisten dieser Firmen". Diese Managementsysteme, auch SCM genannt, werden nur von wenigen Unternehmen verkauft und fanden sich deshalb in vielen der betroffenen Unternehmen. In ihnen steckt der Bauplan von Software. "So konnten die Angreifer große Mengen Quellcode ziemlich schnell ernten", sagte Alperovitch.

Die einzelnen Angriffe liefen dann sehr gezielt ab. So wurden stets Ansprechpartner ins Visier genommen, die bestimmte Zugriffsrechte hatten. Denen wurden dann so genannte Spear Phishing Attacks untergejubelt, die gezielt auf die entsprechende Person abgestimmt waren - etwa, indem vergiftete E-Mails oder Instant Messaging-Nachrichten angeblich von einem vertrauenswürdigen Kontakt stammten. Klickte der Betroffene dann einen Link, war es auch schon passiert: Die Internet Explorer-Lücke wurde ausgenutzt und der Rechner dann übernommen. Von dieser Station aus gruben sich die Angreifer dann weiter durch das jeweilige Firmennetz, bis sie genügend Zugriffsrechte versammelt und die gewünschten Daten abgesaugt hatten. So sprangen sie von Firma zu Firma.

Nicht alle Experten sehen in den Angriffen auf Google und mindestens 30 weitere High-Tech-Unternehmen aus dem Westen indes das Werk hochgebildeter Spezialisten. Der McAfee-Konkurrent Damballa, eine Sicherheitsfirma aus Atlanta, kam in einer eigenen Analyse zu dem Schluss, dass zumindest das von den Angreifern verwendete Botnetz, eine Armee ferngesteuerter PCs, eher amateurhaft aufgezogen war.

Dessen Aufbau spreche dafür, dass es das Werk "eines zwar schnell lernenden, aber eher nicht-professionell aufgestellten kriminellen Teams" sei. So hätten die Angreifer Techniken genutzt, die eher "old school" seien und längst von der aktuellen Generation der Netzmafiosis nicht mehr verwendet würden.

In der Internet-Szene wird diskutiert, ob das eventuell sogar als ein Indiz für die Beteiligung der chinesischen Regierung gewertet werden könnte, die bislang jeglichen entsprechenden Vorwurf scharf zurückweist - vielleicht sind die dortigen Schlapphüte ja technisch etwas hinterher. Google kommentierte die Äußerungen Damballas jedenfalls nicht, gab jedoch an, das Sicherheitsunternehmen aus Georgia hätte "keine Kenntnisse aus erster Hand" erhalten.