McAfee analysiert Google-Hacks: Auch Softwarefirmen ausgespäht
McAfee hat die Hack-Angriffe auf Google und Co untersucht. Demnach haben sich Angreifer auch Zugriff auf das Innenleben großer Software-Firmen verschafft.
Es waren Attacken, die das Netz erschütterten: Über eine offene Sicherheitslücke im beliebten Microsoft-Browser Internet Explorer drangen Angreifer in die Rechner von Google und anderer IT-Konzerne ein und saugten sensible Daten und Geschäftsgeheimnisse ab. Die Aktion, deren Ausgangspunkt China sein soll, führte bei Google gar dazu, den bisherigen Status Quo im Riesenreich aufzugeben. Künftig, so kündigte Justiziar David Drummond am 12. Januar an, werde man darauf verzichten, sich an staatlichen Zensurmaßnahmen zu beteiligen. Was den Internet-Riesen offenbar besonders ärgerte: Auch E-Mail-Konten von Menschenrechtsaktivisten waren geknackt worden.
Seit dem spektakulären Statement bastelt der Konzern an seiner neuen China-Strategie. Gleichzeitig versuchen Sicherheitsexperten, die Vorfälle aufzuklären - sowohl auf Seiten der Strafverfolger als auch bei kommerziellen IT-Security-Größen. Mit dem US-Spezialanbieter McAfee hat nun das erste Sicherheitsschwergewicht eine breite Analyse zu der auch "Operation Aurora" genannten Angriffswelle veröffentlicht.
Bei einem Vortrag auf der renommierten RSA-Sicherheitskonferenz in San Francisco erläuterte McAfee-Forscher Dmitri Alperovitch, dass sich die Angreifer auch Zugriff auf das Innenleben großer Software-Firmen verschafft hätten. So konnten sie bei Adobe, dem Hersteller der PDF-Anzeigesoftware Reader, in ein Entwickler-Managementsystem schauen. Somit war es ihnen möglich, vorab nach Lücken in dem viel verwendeten Programm Ausschau zu halten, die sie dann unbemerkt ausnutzen konnten. "Niemand dachte daran, diese Systeme abzusichern", so Alperovitch, "dabei sind das die Kronjuwelen der meisten dieser Firmen". Diese Managementsysteme, auch SCM genannt, werden nur von wenigen Unternehmen verkauft und fanden sich deshalb in vielen der betroffenen Unternehmen. In ihnen steckt der Bauplan von Software. "So konnten die Angreifer große Mengen Quellcode ziemlich schnell ernten", sagte Alperovitch.
Die einzelnen Angriffe liefen dann sehr gezielt ab. So wurden stets Ansprechpartner ins Visier genommen, die bestimmte Zugriffsrechte hatten. Denen wurden dann so genannte Spear Phishing Attacks untergejubelt, die gezielt auf die entsprechende Person abgestimmt waren - etwa, indem vergiftete E-Mails oder Instant Messaging-Nachrichten angeblich von einem vertrauenswürdigen Kontakt stammten. Klickte der Betroffene dann einen Link, war es auch schon passiert: Die Internet Explorer-Lücke wurde ausgenutzt und der Rechner dann übernommen. Von dieser Station aus gruben sich die Angreifer dann weiter durch das jeweilige Firmennetz, bis sie genügend Zugriffsrechte versammelt und die gewünschten Daten abgesaugt hatten. So sprangen sie von Firma zu Firma.
Nicht alle Experten sehen in den Angriffen auf Google und mindestens 30 weitere High-Tech-Unternehmen aus dem Westen indes das Werk hochgebildeter Spezialisten. Der McAfee-Konkurrent Damballa, eine Sicherheitsfirma aus Atlanta, kam in einer eigenen Analyse zu dem Schluss, dass zumindest das von den Angreifern verwendete Botnetz, eine Armee ferngesteuerter PCs, eher amateurhaft aufgezogen war.
Dessen Aufbau spreche dafür, dass es das Werk "eines zwar schnell lernenden, aber eher nicht-professionell aufgestellten kriminellen Teams" sei. So hätten die Angreifer Techniken genutzt, die eher "old school" seien und längst von der aktuellen Generation der Netzmafiosis nicht mehr verwendet würden.
In der Internet-Szene wird diskutiert, ob das eventuell sogar als ein Indiz für die Beteiligung der chinesischen Regierung gewertet werden könnte, die bislang jeglichen entsprechenden Vorwurf scharf zurückweist - vielleicht sind die dortigen Schlapphüte ja technisch etwas hinterher. Google kommentierte die Äußerungen Damballas jedenfalls nicht, gab jedoch an, das Sicherheitsunternehmen aus Georgia hätte "keine Kenntnisse aus erster Hand" erhalten.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Habeck fordert Milliardärssteuer
Wer glaubt noch an Robert Hood?
100 Jahre Verkehrsampeln
Wider das gängelnde Rot
++ Nachrichten zum Umsturz in Syrien ++
Baerbock warnt „Assads Folterknechte“
Mehr Zugverkehr wagen
Holt endlich den Fernverkehr ins Deutschlandticket!
Vorteile von physischen Spielen
Für mehr Plastik unterm Weihnachtsbaum
Gründe für das Aus der SPD-Kanzler
Warum Scholz scheiterte