Dipl.-Inform. Carsten Eilers

Am 13. Januar 2010 gab Google bekannt, Mitte Dezember Opfer eines Angriffs geworden zu sein, dem mindestens 20 weitere Unternehmen, darunter u.a. Adobe, zum Opfer fielen. Später wurde diese Zahl von Dritten auf "34, including Yahoo, Symantec, Northrop Grumman and Dow Chemical" erhöht.

Durch den Angriff auf Google wurde "intellectual property" von Google ausspioniert, ein weiteres Ziel der Angriffe waren die Gmail-Accounts chinesischer Menschenrechtsaktivisten. Google vermutete, dass die chinesische Regierung für die Angriff verantwortlich ist.

Das waren erst mal reichlich knappe Informationen. Außer Google und Adobe gab auch danach kein Unternehmen zu, Opfer der Angriffe geworden zu sein. Immerhin kamen nach und nach weitere Informationen ans Licht. Aber selbst über den Angriff auf Google, über den insgesamt das Meiste bekannt ist, gibt es nur recht magere Informationen.

Der Angriff

Der Angriff erfolgte über eine 0-Day-Schwachstelle im Internet Explorer. In zwei für den Angriff verwendeten Binaries wurde ein Pfad auf dem Rechner des Angreifers zum Laden von Debug-Informationen gefunden, der den Begriff "Aurora" enthält. Der Angriff wird daher als "Operation Aurora" bezeichnet.

Ausgenutzt wurde die Schwachstelle über eine Drive-by-Infektion, nachdem ein Opfer auf eine präparierte Webseite gelockt wurde. Nach der ersten Infektion wurde ein Remote Administration Toolkit nachgeladen, über das die Angreifer dann den angegriffenen Rechner steuern konnten. Bei weiteren Analysen des Schadcodes kam heraus, dass die Backdoor auf VNC (Virtual Network Computing) basiert und dem Angreifer quasi die vollständige Kontrolle über den angegriffenen Rechner verschafft.

Die verwendete Methode zur Tarnung des Schadcodes wurde bereits zuvor eingesetzt. Um einen Neustart des infizierten Systems zu überleben, installiert der Schadcode sich als Service im System. Die Analyse des Kommunikationsprotokolls des Aurora-Botnets kam aber etwas zu spät: Die Command&Control-Server waren bereits offline, so dass nicht mehr beobachtet werden konnte, welche Daten übertragen wurden.

Die New York Times berichtet im April 2010, dass die Angreifer es auf Googles Single-Sign-On-System 'Gaia' abgesehen hatten. Der Angriff begann demnach mit einer Instant Message an einen chinesischen Google-Mitarbeiter, der dann durch Anklicken eines Links auf eine für eine Drive-by-Infektion präparierte Webseite gelangte. Nachdem die Angreifer die Kontrolle über den Rechner dieses ersten Opfers erlangt hatten, konnten sie danach die Kontrolle über die Rechner einer Gruppe von Softwareentwicklern in Googles Hauptquartier samt des Software-Repositories übernehmen.

Exploit "in the wild"

Bereits am 15. Januar wurde Exploit-Code für die Schwachstelle einschließlich des Original-Exploits im Internet veröffentlicht. Ein Video zeigt den Exploit im Einsatz

Schon kurz danach wird die Schwachstelle auch im Rahmen "normaler" Drive-by-Infektionen, unabhängig von der "Operation Aurora", ausgenutzt. Warum sollten die normalen Cyberkriminellen sich diese Gelegenheit auch entgehen lassen? Immerhin ist das eine bisher ungepatchte Schwachstelle, für die ihnen der Exploit kostenlos frei Haus geliefert wurde.

Microsofts Reaktion

Microsoft veröffentlichte am 14. Januar ein Security Advisory zur Schwachstelle, am 20. Januar wurde ein außerplanmäßiges Update zum Beheben der 0-Day-Schwachstelle für den folgenden Tag angekündigt. Das Security Bulletin MS10-002 brachte dann nicht nur Patches für die 0-Day-Schwachstelle, sondern auch für weitere, bisher unbekannte Schwachstellen: Microsoft hatte zusätzlich das für den kommenden regulären Patchday vorgesehene Update für den Internet Explorer vorgezogen.

Die Suche nach dem Angreifer

Google hatte ja bereits vermutet, dass China hinter den Angriffen steckt. Bei der Analyse des Schadcodes wurde dann ein Hinweis auf China als Urheber gefunden: Im Code wird ein sehr unüblicher Prüfsummenalgorithmus verwendet, der aus China stammt. Alle Verweise auf und Veröffentlichungen zu diesen Algorithmus fanden sich (zum damaligen Zeitpunkt, seit der Operation Aurora ist das natürlich anders) auf chinesischen Websites.

Die New York Times berichtet, dass Spuren der Angriffe zur Jiatong Universität in Shanghai und der Berufsschule in Lanxiang zurückverfolgt werden konnten, was von beiden zurückgewiesen wird. Wirklich beweisen lässt sich der Urheber eines Cyberangriffs aber sowieso nicht.

Das Sicherheitsunternehmen Damballa hat die Kommando-Struktur des Aurora-Botnets analysiert und ist zu dem Schluss gekommen, dass es sich um ein Botnet normaler Cyberkrimineller handelt, die zuvor über ähnliche Botnets Fake-Virenscanner verteilt haben. Das stellt aber quasi eine Mindermeinung dar.

Operation Aurora ist ein APT

Die Operation Aurora zeigt alle Anzeichen eines Advanced Persistent Threats:

• Nach der gezielten Infektion eines ersten Rechners
• unter Einsatz einer 0-Day-Schwachstelle
• sind die Angreifer immer weiter in Googles lokales Netz vorgedrungen,
• bis sie Zugriff auf die von ihnen gesuchten Informationen erhielten.
• Und das über einen längeren Zeitraum.

Ob die Angreifer nun wirklich von einem Staat beauftragt wurden oder normale Cyberkriminelle waren, ist für die Einstufung als APT uninteressant.

In der nächsten Folge geht es um einen weiteren bekannten APT: Stuxnet.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Was ist ein Advanced Persistent Threat (APT)?

Ein bekannter Advanced Persistent Threat: Operation Aurora

Ein weiterer bekannter Advanced Persistent Threat: Stuxnet

Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA

Kann man Advanced Persistent Threats erkennen?

Advanced Persistent Threats - Wo verrät sich der Angreifer?

Advanced Persistent Threats - So verrät sich der Angreifer!

Gezielte Angriffe und Advanced Persistent Threats

Advanced Persistent Threats gegen tibetische Aktivisten und mehr