Cyberattacke "Shady Rat" Die Methoden der Mega-Hacker

[Snitlev]

Unbekannte haben über Jahre hinweg 72 Rechnernetze weltweit angezapft - jetzt hat ein Sicherheitsunternehmen Details der Angriffe veröffentlicht. Nun wird deutlich, wie die Hacker-Jäger den Unbekannten auf die Spur gekommen sind - und wer die Opfer waren.

Dmitri Alperovitch ist sich sicher: Unbeteiligte gibt es nicht. Aus der Sicht des Sicherheitsexperten kann man die 2000 bedeutendsten Firmen der Welt in zwei Kategorien einteilen: "Jene, die wissen, dass Hacker in ihre Netze eingedrungen sind und jene, die das noch nicht wissen."
Alperovitch beschreibt in einem Bericht, wie Firmen, aber auch Behörden und öffentliche Organisationen Opfer eines großangelegten Cyberangriffs geworden sind. Alperovitch hat die Angriffswelle "Operation Shady Rat" getauft. Das Kürzel Rat steht für Remote Access Tool - Fernzugriffssoftware. Genau darum geht es: Über Jahre haben Unbekannte in fremden Netzwerken unbemerkt solche Fernzugriffssoftware plaziert, gigantische Mengen geheimer Daten abgegriffen, bevor man ihnen auf die Schliche kam.
Alperovitch widerspricht dem Eindruck, der nun aufgedeckte Mega-Hack sei der Höhepunkt einer gerade besonders großen Zahl solcher Angriffe. Derartige Einbruchsversuche dauern seit "mindestens einer halben Dekade" an, schreibt der Sicherheitsexperte des US-Unternehmens McAfee.
Dass McAfee die Erkenntnisse nun veröffentlicht, begründet Alperovitch damit, man wolle das öffentliche Bewusstsein über solche Bedrohungen verstärken. Zufall wird es jedenfalls nicht sein, dass McAfee den Bericht ausgerechnet an dem Tag veröffentlicht, an dem in den USA die alljährliche Black-Hat-Konferenz beginnt, auf der Sicherheitsexperten aus aller Welt ihr neuesten Erkenntnisse über Hackermethoden und Sicherheitslücken austauschen.

Quelle: Cyber-Attacke "Shady Rat": Die Methoden der Mega-Hacker - SPIEGEL ONLINE - Nachrichten - Netzwelt

Hier nun ein ausführlicher Bericht der über 8 Seiten geht,

Opfer, Methoden, Interessen - die wichtigsten Erkenntnisse der Sicherheitsexperten über das Spähnetzwerk im Überblick:

Spoiler 2. Teil: Wie ist McAfee an die Informationen über die Hacker gekommen?:

Die Hacker-Jäger haben sich Zugriff auf einen sogenannten Command & Control-Server (Kommando- und Steuerungsserver) der Netzwerk-Späher verschafft. Solche Server sind ein Zwischenglied zwischen den eigentlichen Angreifern und ihren Opfern. Sie nehmen Befehle entgegen und leiten diese an die Kontrollprogramme auf den befallenen Opfer-Rechnern weiter. Umgekehrt können sie erbeutete Daten aus den betroffenen Netzwerken an die Hintermänner weiterleiten.

Auf dem Kontrollserver haben die McAfee-Techniker sogenannte Log-Dateien gefunden, in denen Aktivitäten des Steuerrechners seit 2006 protokolliert waren. Unklar ist, weshalb es derart ausführliche Aufzeichnungen gibt. Ihre Existenz muss als einer der wenigen handwerklichen Fehler der Angreifer gewertet werden. Denn durch Analyse dieser Aufzeichnungen konnten die Experten Rückschlüsse darauf ziehen, wen die Angreifer attackiert haben und wie lange sie die betroffenen Netzwerke ausspähten.

Allerdings gibt es Lücken in den Analysen des Sicherheitsunternehmens McAfee. Telweise sind die Aufzeichnungen nicht detailliert genug, um alle Ziele der Hacker identifizieren zu können.

Quelle: Cyber-Attacke "Shady Rat": Die Methoden der Mega-Hacker - SPIEGEL ONLINE - Nachrichten - Netzwelt

Spoiler 3. Teil: Wie haben sich die Eindringlinge Zugang zu den Computern verschafft?:

Den Analysen der Sicherheitsexperten zufolge nutzten die Angreifer traditionelle Phishing-Methoden: Sie schickten fingierte E-Mails an Mitarbeiter der Zielobjekte, die über die nötigen Zugriffsrechte für das jeweilige Computernetzwerk verfügten. Sobald die Opfer diese Mails öffneten oder auf einen darin enthaltenen Link klickten, lud der Trojaner weitere Schadsoftware. Diese nistete sich versteckt im Netzwerk ein und stellte dann Kontakt zum Kommando- und Steuerungsserver her.

Die Schadsoftware fungierte als Brückenkopf für die weitere Verbreitung von Schadprogrammen im Netzwerk. Nach und nach verschafften sich die Eindringlinge Zugang zu immer mehr Rechnern. Sie erlangten weitergehende Zugangsrechte, so dass sie selbst befallenen Computer steuern, gezielt nach Informationen suchen und diese kopieren konnten.

Quelle: Cyber-Attacke "Shady Rat": Die Methoden der Mega-Hacker - SPIEGEL ONLINE - Nachrichten - Netzwelt

Spoiler 4. Teil: Wie lange waren die Eindringlinge aktiv und wie viele Ziele hatten sie?:

Mindestens seit Mitte 2006, denn in diesem Jahr beginnen die Aufzeichnungen in den Log-Dateien, die McAfee sich verschaffen konnte. Die Experten räumen aber ein, dass die Angreifer schon vor diesem Datum aktiv gewesen sein könnten - vielleicht gibt es einfach keine Log-Dateien aus dieser Zeit.

McAfee hat insgesamt 72 Firmen, Behörden und Organisationen identifiziert, die von den Eindringlingen bespitzelt wurden. 49 der betroffenen Netzwerke befinden sich in den USA. Es gibt aber auch eine Häufung von Fällen in Asien und westlichen Staaten wie Dänemark und der Schweiz.

Quelle: Cyber-Attacke "Shady Rat": Die Methoden der Mega-Hacker - SPIEGEL ONLINE - Nachrichten - Netzwelt

Spoiler 5. Teil: Sind auch deutsche Firmen betroffen?:

Laut McAfee gehörte ein Unternehmen aus Deutschland zu den Zielen der Angreifer. Um welche Firma es sich dabei gehandelt hat, will McAfee nicht preisgeben, verrät nur, dass es sich um ein Wirtschaftsprüfungsunternehmen gehandelt habe. Die Angreifer haben sich demnach im September 2009 Zugang zu deren Rechnern verschafft und diese zehn Monate lang ausgespäht, bevor das Datenleck entdeckt und geschlossen werden konnte.

Quelle: Cyber-Attacke "Shady Rat": Die Methoden der Mega-Hacker - SPIEGEL ONLINE - Nachrichten - Netzwelt

Spoiler 6. Teil: Wonach haben die Eindringlinge gesucht?:

Sowohl die Zahl als auch die Art der Angriffsziele war im Laufe der Jahre drastischen Veränderungen unterworfen. Zu Beginn der Aufzeichnungen wurden nur acht Opfer ausgehorcht. Darunter Bauunternehmen, Handelsorganisationen, eine südkoreanische Behörde und ein US-Immobilienunternehmen.

Im Jahr 2007 waren laut den Log-Dateien 29 Ziele von der Schnüffelsoftware befallen. Darunter waren erstmals auch vier US-Rüstungskonzerne, außerdem Technologiefirmen, verschiedenen US-Behörden und eine auf Computersicherheit spezialisierte Gesellschaft.

In diesem Jahr wurden auch die Olympisches Komitees zweier Staaten erstmals zum Ziel der Angriffe, ein Trend der sich fortsetzte. Zu den Angriffzielen zählten in der Folge auch die Vereinten Nationen, das Internationale Olympische Komitee und die Anti-Doping-Agentur WADA (World Anti Doping Agency). Diese Häufung der Spionageangriffe im Umfeld der Olympischen Sommerspiele 2008 in Peking bringt James A. Lewis vom Center for Strategic and International Studies in der "Washington Post" http://www.washingtonpost.com/national/national-security/report-identifies-widespread-cyber-spying/2011/07/29/gIQAoTUmqI_story.html zu dem Schluss: "der wahrscheinlichste Urheber der Angriffe ist China."

Quelle: Cyber-Attacke "Shady Rat": Die Methoden der Mega-Hacker - SPIEGEL ONLINE - Nachrichten - Netzwelt

Spoiler 7. Teil: Wie lange hatten die Eindringlinge Zugriff auf die betroffenen Systeme?:

Die Verweildauer der Angreifer innerhalb der betroffenen Netzwerke, beziehungsweise die Zeit bis zu ihrer Entdeckung, variiert stark. Während das Internationale Olympische Komitee nur einen Monat lang ausgehorcht wurde, haben die Hacker verschiedene US-Behörden, Think-Tanks, Kommunikationsfirmen und die Vereinten Nationen bis zu zwei Jahre lang beobachtet, in Einzelfällen soll die Spähsoftware noch länger aktiv gewesen sein. Spitzenreiter ist das Olympische Komitee eines nicht genannten asiatischen Staates, dessen Computer 28 Monte lang belauscht wurden.

Quelle: Cyber-Attacke "Shady Rat": Die Methoden der Mega-Hacker - SPIEGEL ONLINE - Nachrichten - Netzwelt

Spoiler 8. Teil: Ist die Bedrohung jetzt vorüber?:

Wohl kaum. Für die offensichtlich gut organisierten Angreifer ist es sicher kein Problem, neue Kommandoserver einzurichten. Sicher ist nur, dass die von McAfee zum Großteil nicht namentlich bezeichneten Opfer der Angriffe die Lauscher vorerst los sind.

Welcher Schaden durch die Hightech-Bespitzelung entstanden ist, ist ebenso unklar wie die Frage, was die Diebe mit den ungeheurer Datenmengen eigentlich anfangen. Es soll sich um mehrere Millionen Gigabyte kopierter Daten handeln.

McAfee-Experte Dmitri Alperovitch fürchtet, dass schon die Nutzung kleiner Teile der abgeschöpften Informationen ausreichen würde, um eine massive wirtschaftliche Bedrohung darzustellen. Sei es, um Produkte gegenüber der Konkurrenz zu verbessern oder um Einfluss auf Verhandlungen in den Bereichen Wirtschaft und Politik zu nehmen - munitioniert mit erbeuteten Geheiminformationen.

Ein Grund zur Entwarnung ist der jetzige Erfolg jedenfalls nicht. Die Dunkelziffer dürfte recht hoch seine: Viele Ziele der Angreifer sind anhand der Log-Dateien nicht identifizierbar. Außerdem dürfte eine Organisation oder Gruppe, die über Jahre unbemerkt derartige Datenmengen im Geheimen abschöpfen kann, kein Problem damit haben, sich schnell anzupassen.

Quelle: Cyber-Attacke "Shady Rat": Die Methoden der Mega-Hacker - SPIEGEL ONLINE - Nachrichten - Netzwelt

Es ist mal interessant hier etwas mehr Hintergrund-Infos zu diesem wohl momentan sehr aktuellen Thema über Hacker zu erfahren.

Für mich gibt es immer nur 2 Sorten von Hackern, einmal die "guten" die hacken um Fehler aufzudecken zb. bei der Regierung oder der Wirtschaft und zum einen um uns Bürgern über die Lügen der Regierungen aufzuklären, diese Gruppe ist nicht aus auf materielle Dinge oder Berühmtheit, sie sind für mich eher der Robin Hood des Netzes.

Dann gibt es die "bösen" Hacker die nichts anderes wollen als sich selbst zu bereichern und die Unerfahrenheit od. Dummheit eines jeden auszunutzen.
Ganz schlimm sind die Hacker die unter dem Mantel von politik und Wirtschaft sitzen und Ihre Kunst des Hackens ausnutzen um Probaganda zu schüren im Auftrag von Politik oder Wirtschaft...

mfg

[Instab]

jemand der an accounts mittels phishing kommt kann man kaum als hacker bezeichnen