Dipl.-Inform. Carsten Eilers

Die Angreifer gingen nach einem inzwischen altbekannten Muster vor: Mails mit präparierten Anhängen wurden an ausgewählte Empfänger geschickt. Beim Öffnen des Anhangs wurde eingefügter Schadcode ausgeführt, der weiteren Schadcode nachlud und Verbindung mit einem Command&Control-Server aufnahm. Danach verschaffte sich einer der Angreifer über die installierte Hintertür Zugriff auf den Rechner und suchte nach interessanten Zielen im lokalen Netz des Opfers.

McAfee kam der Angriffsserie auf die Spur, als man Zugriff auf einen Command&Control-Server erlangte. Dadurch konnten die dort in den Logfiles angesammelten Daten ausgewertet werden. Die Logfiles gingen dabei bis Mitte 2006 zurück, die Angreifer nutzten dieses Server also sehr lange (und hielten es nicht mal für nötig, zwischendurch mal die Logfiles zu löschen). Jedenfalls wenn ich die Aussage im Bericht

"We have collected logs that reveal the full extent of the victim population since mid-2006 when the log collection began."

so interpretiere, dass die Logfiles Daten seit Mitte 2006 enthielten. Denn ich kann mir nicht vorstellen, dass McAfee den Server seitdem beobachtet und nichts dagegen unternommen hat.

"Verhaften Sie die üblichen Verdächtigen"

Die Opfer kann man nur als "bunte Mischung" bezeichnen, da wurde im Laufe der Zeit alles angegriffen, was für die Auftraggeber gerade aus aktuellem Anlass interessant war, z.B. im Rahmen der Olympischen Spiele 2008 das Internationale und verschiedene nationale Olympische Komitees und die World Anti-Doping Agency. Außerdem Regierungsbehörden, Rüstungsunternehmen, die vereinten Nationen, eine deutsche "Accounting Firm", ... Da stellt sich natürlich die Frage "Wer steckt dahinter?", und laut Washington Post trifft es mal wieder den üblichen Verdächtigen: China. Jedenfalls zitiert die Washington Post James A. Lewis vom Center for Strategic and International Studies mit "the most likely candidate is China." Warum? Weil die Angriffe auf die olympischen Komitees etc. zeitlich zu den Olympischen Spielen in China passen.

Die Chinesen waren es! - Wirklich?

Schon bei der "Operation Aurora", den gezielten Angriffen auf Google und weitere Unternehmen, wurden die Angriffe bis nach China zurückverfolgt. Meinem damaligen Kommentar im "Standpunkt Sicherheit" vom 22. Februar 2010 habe ich in der Hinsicht eigentlich nichts hinzuzufügen:

"Die New York Times berichtet, dass Spuren der Cyberangriffe der "Operation Aurora" auf Google und andere Unternehmen zur Jiatong Universität in Shanghai und der Berufsschule in Lanxiang zurückverfolgt werden konnten. Das mag sein, beweist aber gar nichts - außer, dass die Angriffe über diese Rechner/Netzwerke kamen. Ob sie von dort ausgingen oder ob die Systeme kompromittiert waren und zur Verwischung von Spuren verwendet wurden, können nur die Betreiber der Netze fest stellen. Nur: Wer glaubt ihnen, wenn sie eine Beteiligung abstreiten, was sie bereits getan haben? Wie schon Graham Cluley von Sophos in seinem Blog fragte: "Can we *prove* China is behind Operation Aurora?" Der Beweis dürfte schwer fallen: Man kann die Angriffe bis China zurück verfolgen, dann verliert sich die Spur. Ob ggf. von chinesischen Behörden gelieferte Beweise auf andere Urheber gefälscht sind oder nicht, kann man kaum fest stellen.

Angenommen, ein chinesischer Admin stellt fest, dass sein System kompromittiert wurde und die Zugriffe der Angreifer aus z.B. Südamerika kamen, dort führt die Spur aber nicht weiter und die Ermittlungen verlaufen im Nirwana. Sind dann die chinesischen Beweise gefälscht? Oder haben die Angreifer ihre Spur in Südamerika so gut verwischt, dass man sie nicht weiter verfolgen kann? Im Zweifel für den Angeklagten - gerade dann, wenn die Beweise so gut passen. Die Angriffe lassen sich zu einen Rechner in China zurück verfolgen, der zufällig in der Nähe der chinesischen Suchmaschine steht? Sollten die Angreifer wirklich so blöd sein? Angreifer, die eine 0-Day-Schwachstelle im IE ausnutzen, um Google auszuspionieren? Das ist zwar nicht unmöglich, in meinen Augen aber ziemlich unwahrscheinlich."

Und jetzt soll schon das Zusammentreffen der Angriffe auf die olympischen Komitees und die Olympischen Spiele in China als Beweis dafür reichen, dass die Angriffe von China ausgingen? Das ist zumindest in meinen Augen kein Beweis, für gar nichts. Wann gibt es denn bei den nationalen Olympischen Komitees besonders interessante Daten auszuspähen? Während der Bewerbungen für die Austragung der Spiele (bei den Bewerbern), während der Vorbereitung der Olympischen Spiele (beim jeweiligen Ausrichter) - und vor und während der Olympischen Spiele (bei allen teilnehmenden Ländern). Angegriffen wurden mehrere nationale Olympische Komitees, wir dürften es also mit dem dritten Fall zu tun haben. Und dann muss nicht zwingend eine Verbindung zum Ausrichter, in diesem Fall China, bestehen.

Und sonst bleibt, zumindest zur Zeit, nur die mehr oder weniger verdächtige Tatsache, dass die meisten Angriffe "dem Westen" galten und China überhaupt nicht betroffen ist. Vielleicht zeigt das aber auch nur, dass deren "große Firewall" auch von außen nach innen funktioniert und die Angreifer entweder gar nicht erst rein kamen oder später keinen Zugriff auf die infizierten Rechner bekamen?

Es mag ja sehr wahrscheinlich sein, dass die Angriffe von China ausgingen, beweisen wird man es aber wohl nicht können. Ebenso wie man kaum beweisen kann, dass irgend jemand anders hinter den Angriffen steckt und sie nur China in die Schuhe schieben will.

Verschwörungstheorie in der Endlosschleife

Mal etwas Verschwörungstheorie: Intelligente Angreifer werden doch wohl dafür sorgen, dass man die Angriffe nicht zu ihnen zurückverfolgen kann, sondern einen Unschuldigen verdächtigt.
Jetzt kann man natürlich argumentieren, dass die Angreifer genau mit dieser Annahme rechnen und sie genau deshalb ihre Spuren so nachlässig verwischen, dass sie zu ihnen führen und sie damit als Verdächtige ausscheiden.
Aber dann.... aber Sie wissen ja wohl, wie solche Argumentationen weitergehen...

Oder wie wäre es damit: Die Chinesen kopieren alles, was sich kopieren lässt, also müssen sie spionieren, was das Zeug hät. Also waren es die Chinesen.
Da das aber jeder annimmt, nutzt die jemand als Sündenbock, sie waren es also nicht.
Weil die Chinesen das aber wissen...

Intelligente oder dumme Angreifer?

Allem Anschein nach müssen wir in Irrenanstalten und ähnlichen Institutionen nach den Angreifern suchen, denn die haben wohl eine gespaltene Persönlichkeit: Zum einen sind sie in der Lage, ausgefeilte, langwierige Angriffe durchzuführen - und auf der anderen Seite horten sie über 5 Jahre lang Daten auf einem Command&Control-Server, eine ausgesprochen ungeschickte Aktion. Um nicht zu schreiben "selten dämlich". Das erste interessante, was man bei der Rückverfolgung eines Angriffs finden kann, ist der Command&Control-Server. Jeder halbwegs intelligente Cyberkriminelle tauscht den regelmäßig aus, damit er nicht die Kontrolle über sein Botnet verliert. Und diese Super-Angreifer verwenden über 5 Jahre lang den gleichen Server und löschen nicht mal die Logfiles? Das passt doch hinten und vorne nicht. An Stelle der McAfee-Analysten würde ich mir meinen Rechner mal ganz besonders gründlich ansehen, wer weiß, was in den Dateien auf dem Server sonst noch so steckte. Jedenfalls riecht das irgendwie nach Honig...

Wieso nennt man das "Spear Phishing"?

Wer zum Kuckuck ist eigentlich auf die Idee gekommen, diese gezielten Angriffe "Spear Phishing" zu nennen? Beim Phishing werden Zugangsdaten etc. ausgespäht, z.B. indem das Opfer auf eine gefälschte Website gelockt wird. Beim "Spear Phishing", so wie der Begriff zur Zeit verwendet wird, wird den Opfern gezielt Schadcode untergeschoben. An irgend welchen Zugangsdaten o.Ä. hat dabei erst mal keiner Interesse. Wieso also "Phishing"? Das hat mit Phishing rein gar nichts zu tun. Gezieltes Phishing in Anlehnung ans Speerfischen als "Spear Phishing" zu bezeichnen wäre sicher eine gute Idee, aber hier ist es unpassend.

Würde irgend jemand auf die Idee kommen, eine Drückerkolonne in der Fußgängerzone mit einem Profieinbrecher in einen Topf zu werfen? Außer Innenpolitikern, wenn sie dadurch "das Internet" verunglimpfen können, wohl niemand. Wieso werden dann Phishing und die gezielten Schadsoftware-Angriffe in einen Topf geworfen?

Rein technisch betrachtet haben wir es mit einem gezielten Trojaner-Angriff zu tun, wenn auch meist keine präparierten Programme untergeschoben, sondern Schwachstellen in verschiedenen Programmen beim Verarbeiten der präparierten Mail-Anhänge ausgenutzt werden. Auf Anhieb fällt mir zwar keine wirklich gute Bezeichnung außer vielleicht "Targeted Trojan" ein, eine unpassendere als "Spear Phishing" aber auch nicht, sofern der Begriff aus dem Bereich der IT-Security stammen soll.

Carsten Eilers