- Operation Shady RAT
-
Operation Shady RAT (engl.; etwa „zwielichtige Ratte“ [1] oder „verborgener Fernzugriff“) ist die Bezeichnung für Hackerangriffe, bei denen von etwa 2006 bis 2011 weltweit mindestens 72 Unternehmen, Organisationen und Regierungen systematisch ausgespäht wurden. Dmitri Alperovitch, ein Mitarbeiter des US-amerikanischen Computersicherheitsunternehmens McAfee, prägte die Bezeichnung, die auf den englischsprachigen Begriff Remote Access Tool (Fernzugriffssoftware) Bezug nimmt.
Inhaltsverzeichnis
Aufdeckung
Am 2. August 2011, zum Beginn der „Black Hat“-Konferenz in Las Vegas,[2] veröffentlichte Dmitri Alperovitch in einem offiziellen Blog von McAfee einen vierzehnseitigen Bericht,[3] in dem er die seit März 2011[2] bei McAfee bekannten Fakten zusammenfasste, 72 Ziele der Hackerangriffe auflistete, und eine grafische Aufbereitung der Angriffe seit 2006 anbot. Er klassifizierte sie, wie die Operation Aurora und die Operation Night Dragon, die von China ausgingen,[4] als Advanced Persistent Threat[5] und damit als größere Bedrohung für Staaten und Unternehmen, als sie etwa von Gruppen wie Anonymous oder LulzSec ausgehe.[3][6] Alperovitch informierte die amerikanische Regierung, den Kongress und Strafverfolgungsbehörden von seiner Entdeckung.[7]
Bewertung
Während Alperovitch die mit Operation Shady RAT beschriebenen Angriffe als „beispiellos“ bezeichnete, den Datenverlust als wirtschaftliche Bedrohung von Unternehmen oder ganzen Ländern einschätzte und auch die Frage nach der nationalen Sicherheit aufwarf,[3] waren die Sicherheitsforscher anderer Unternehmen wie Symantec, Kaspersky und Dell SecureWorks in ihren Beurteilungen zurückhaltender. Einzelheiten über das Ausmaß des Datenverlustes seien noch nicht bekannt und die technische Versiertheit der Angreifer nicht so hoch, wie zunächst angenommen. Der Symantec-Forscher Hon Lau bewertete die Operation Shady RAT zwar als „signifikant“, aber nur als „einen von vielen Angriffen, die täglich stattfinden“.[8][9] Eugene Kaspersky fasste zusammen, die Attacke sei überbewertet worden und verdiene nicht viel Beachtung. Sie sei mit kostengünstiger Software nicht von einem Staat, sondern von Kriminellen durchgeführt worden.[10][11]
Vorgehensweise der Angreifer
2009 hatte McAfee einen zentralen Steuerungsserver identifiziert, auf dem sich Protokolle der Angriffe fanden[2] und bis zur Mitte des Jahres 2006 nachverfolgt werden konnten. Möglicherweise hatten sie bereits früher begonnen und dauerten im Sommer 2011 noch an.[7] Die Zugänge zu den jeweiligen Rechnersystemen wurden mit Hilfe von Spear-Phishing-E-Mails erreicht.[3] Dabei werden E-Mails, die im Gegensatz zu anderen Phishing-Mails in ihrer korrekt wirkenden Aufmachung kaum von einer legitimen Nachricht unterschieden werden können, an Adressaten versandt, die bereits Zugang zum anzugreifenden Netz haben. Sie enthalten Malware, die dafür sorgt, dass der Angreifer den nunmehr infizierten Rechner von außen steuern kann.[12] Einer Analyse des Softwarehauses Symantec zufolge wurden mit den E-Mails zunächst Dateianhänge verschickt, die das Interesse der Benutzer weckten und in gängigen Formaten gehalten waren. Sie enthielten Schadcode in Form von Trojanischen Pferden, der die befallenen Rechner zum Herunterladen von Bildern veranlasste, in denen mittels Steganographie weitere Befehle zum Fernzugriff verborgen waren.[13]
Angegriffene Organisationen
Mindestens 72 Organisationen wurden angegriffen; von vielen weiteren nahm McAfee das an, ohne sie exakt identifizieren zu können. Unter ihnen finden sich Behörden der Vereinigten Staaten, Kanadas, Indiens, asiatischer Staaten, des Verbandes Südostasiatischer Nationen (ASEAN), der Vereinten Nationen, des Internationalen Olympischen Komitees, sowie verschiedene Unternehmen, eines davon in Deutschland. Mehrheitlich, in 49 Fällen, richteten sich die Angriffe gegen amerikanische Ziele.[3][14] Der Schwerpunkt lag auf der Elektronik- und Rüstungsindustrie.[15] Die Angreifer bewegten sich zwischen einem und 28 Monaten in den gehackten Systemen.[16]
Bei den gestohlenen bzw. widerrechtlich kopierten Daten soll es sich Alperovitch zufolge unter anderem um Geheiminformationen der betroffenen Regierungen, Quellcodes für Software, Pläne zur Öl- und Gasförderung, Vertragstexte und E-Mails handeln. Das Volumen sei im Petabytebereich anzusiedeln.[3] Ein Petabyte entspricht der Speicherkapazität von 1000 handelsüblichen Festplatten zu je ein Terabyte.
Mögliche Täter
Bei McAfee wurde vermutet, dass die Cyberangriffe von staatlichen Stellen ausgingen, ohne jedoch konkret zu werden.[16] Sie unterschieden sich, so Alperovitch, durch ihre Suche nach Geheimnissen und geistigem Eigentum von der üblichen Motivation Cyberkrimineller, die einen schnellen finanziellen Gewinn anstrebten. Das Interesse an Informationen aus westlichen und asiatischen Olympischen Komitees und der Weltantidopingagentur im Zusammenhang mit den Olympischen Sommerspielen 2008 spreche für einen Staat im Hintergrund, da sich diese Informationen nicht direkt in geschäftlichen Erfolg umsetzen ließen.[3] Jim Lewis vom Washingtoner Center for Strategic and International Studies vermutete, China, der Ausrichter der Olympiade 2008, stehe hinter den Attacken.[2][17] Dem Malware-Forscher Joe Stewart von Dell SecureWorks gelang es, einen chinesischen Ursprung zu bestätigen. Er entdeckte, dass die Angreifer ein zehn Jahre altes Programm namens HTran (HUC Packet Transmit Tool) benutzten, das ein chinesischer Hacker entwickelt hatte, um die Herkunft von Angriffen aus China verschleiern zu können. Ob die chinesische Regierung in die Angriffe verwickelt war, bleibt weiterhin offen.[9][18][19]
Reaktionen
Eine Stellungnahme der chinesischen Regierung blieb aus, jedoch dementierten regierungsnahe Medien wie die Zeitung Renmin Ribao eine staatliche Täterschaft Chinas.[20][21] Eine Woche nach der Aufdeckung der Cyberattacken teilte die chinesische Regierung mit, sie selbst sei im Jahr 2010 Opfer einer halben Million derartiger Angriffe gewesen, von denen fast fünfzehn Prozent über IP-Adressen aus den USA erfolgt seien. Das jeweilige Herkunftsland der Angriffe ließe sich jedoch nicht mit Sicherheit aus der Zuordnung der IP-Adressen ermitteln.[22]
Die kanadische Ministerin für staatliche Bauvorhaben und öffentlichen Dienst, Rona Ambrose, kündigte drei Tage nach der ersten Veröffentlichung über die Operation Shady RAT an, die über 100 staatlichen E-Mailsysteme auf 20 zu reduzieren und 3000 Netzwerke zusammenführen zu wollen. Sie versprach sich davon sowohl eine Minderung der möglichen Angriffsfläche, als auch eine Einsparung von Kosten.[7] Auch Janet Napolitano, die Ministerin für Innere Sicherheit der Vereinigten Staaten, bestätigte, den Bericht von McAfee überprüfen zu lassen.[23] Weiterhin begannen das Büro der Vereinten Nationen in Genf und die Weltdopingagentur, zu überprüfen, ob die beschriebenen Hackerangriffe stattgefunden hätten. Letztere gab aber an, ein ausgefeiltes Sicherheitssystem zu besitzen. Es bestünde kein Grund, anzunehmen, dass Hacker Zugriff auf sensitive Daten gehabt hätten.[24][25]
In Deutschland ließ das Bundesamt für Sicherheit in der Informationstechnik verlauten, den Bericht Alperovitchs zu prüfen. Dieter Kempf, Präsident des Branchenverbandes Bitkom der deutschen IT-Branche, forderte einen Ausbau des im Juni 2011 neu eingerichteten Nationalen Cyber-Abwehrzentrums und eine engere Zusammenarbeit zwischen der Wirtschaft und staatlichen Stellen.[26][16] Die DATEV dementierte, zu den Zielen der Angriffe gehört zu haben.[27]
Siehe auch
Weblinks
Einzelnachweise
- ↑ Süddeutsche Zeitung Online am 3. August 2011: Cyber-Kriminalität: US-Firma will größte Hacker-Attacke der Geschichte entdeckt haben. Abgerufen am 4. August 2011.
- ↑ a b c d FAZ.net am 3. August 2011: Bislang größte Serie von Hacker-Angriffen entdeckt. Abgerufen am 4. August 2011.
- ↑ a b c d e f g Dmitri Alperovitch: Revealed: Operation Shady Rat. Abgerufen am 4. August 2011 (englisch).
- ↑ Süddeutsche Zeitung Online am 3. August 2011: Die Spur führt nach China. Abgerufen am 4. August 2011.
- ↑ McAfee definiert den Begriff als Cyberspionage oder -Sabotage, die von einem Nationalstaat ausgeht und sich in ihren Motiven von den politischen, kriminellen oder finanziellen Motiven nicht staatlich gelenkter Cyberkriminineller unterscheidet. Networkworld am 1. Februar 2011: What is an 'Advanced Persistent Threat,' anyway? Abgerufen am 5. August 2011 (englisch).
- ↑ n-tv am 3. August 2011: Schlimmster Hacker ist ein Staat. Abgerufen am 4. August 2011.
- ↑ a b c ZDNet am 5. August 2011: Reaktion auf "Shady RAT": Kanada will staatliche IT zusammenführen. Abgerufen am 5. August 2011.
- ↑ Computerworld am 5. August 2011: 'Shady RAT' Hacking Claims Overblown, Say Security Firms. Abgerufen am 7. August 2011 (englisch).
- ↑ a b gulli.com am 6. August 2011: Sicherheitsforscher: "Shady RAT" wird überschätzt. Abgerufen am 7. August 2011.
- ↑ Heise.de am 18. August 2011:Kaspersky lästert über McAfees "schäbige Ratte". Abgerufen am 20. August 2011.
- ↑ Blog von Eugene Kaspersky am 18. August 2011: Shady RAT: Shoddy RAT. Abgerufen am 20. August 2011 (englisch).
- ↑ Heise.de am 3. August 2011: Profi-Hacker spionieren weltweit im großen Stil Regierungen und Industrie aus. Abgerufen am 4. August 2011.
- ↑ Symantec Security Response Blog; Update am 5. August 2011: The Truth Behind the Shady RAT. Abgerufen am 5. August 2011 (englisch).
- ↑ Welt online am 4. August 2011: Größte Serie von Hackerangriffen aufgedeckt. Abgerufen am 4. August 2011.
- ↑ Süddeutsche Zeitung Online am 4. August 2011: 'Zwielichtige Ratte' greift an. Abgerufen am 4. August 2011.
- ↑ a b c Zeit online am 3. August 2011: Systematischer Hacker-Angriff auf Regierungen und Firmen. Abgerufen am 4. August 2011.
- ↑ The Washington Post am 3. August 2011: Report on ‘Operation Shady RAT’ identifies widespread cyber-spying. Abgerufen am 4. August 2011 (englisch).
- ↑ darkreading.com am 3. August 2011: APT Attackers Used Chinese-Authored Hacker Tool To Hide Their Tracks. Abgerufen am 7. August 2011 (englisch).
- ↑ Dell SecureWorks am 3. August 2011: HTran and the Advanced Persistent Threat. Abgerufen am 7. August 2011 (englisch).
- ↑ NZZ Online am 5. August 2011: China weist Vorwürfe zurück. Abgerufen am 6. August 2011.
- ↑ Reuters am 5. August 2011: China paper scoffs at suggestion Beijing is hacking villain. Abgerufen am 6. August 2011 (englisch).
- ↑ ZDNet am 10. August 2011: China war 2010 Ziel von 500.000 Cyberattacken. Abgerufen am 20. August 2011.
- ↑ Fox News am 4. August 2011: U.S. Cybercops Caught Flat-Footed by Massive Global Cyberattack. Abgerufen am 6. August 2011 (englisch).
- ↑ The Nation Online am 4. August 2011: UN investigates alleged cyber attack. Abgerufen am 6. August 2011 (englisch).
- ↑ VeloNation am 4. August 2011: WADA disputes McAfee report that its system was hacked for a total of 14 months. Abgerufen am 6. August 2011 (englisch).
- ↑ Financial Times Deutschland am 3. August 2011: Der große Hack. Abgerufen am 5. August 2011.
- ↑ Golem.de am 4. August 2011: DATEV: Von Operation Shady Rat nicht betroffen. Abgerufen am 5. August 2011.
Wikimedia Foundation.