Sie sind hier: Home > Digital >

Computer

...
t-online.de ist ein Angebot der Ströer Content Group

Seite 1 von 3

Wie Hacker mit verseuchten PDFs spionieren

14.01.2010, 10:21 Uhr

Google beschwert sich über Hacker-Angriffe aus China - und schweigt zu den Details. Experten zufolge liegt der Verdacht nahe, dass die Attacken mit Hilfe infizierter PDF-Dateien geführt wurden: Einmal geöffnet, laden sie Schad- und Schnüffelprogramme herunter. SPIEGEL ONLINE geht auf Spurensuche.

Es war eine Attacke mit Ankündigung: Der Angriff auf Googles Server, der das Unternehmen nun einen Rückzug aus China erwägen lässt, geschah wahrscheinlich unter Ausnutzung einer seit Mitte Dezember öffentlichen Sicherheitslücke. Experten wussten sogar seit August, dass Gefahr droht - wegen Sicherheitslücken in einer fast allgegenwärtigen Software, die seit Jahren als Angriffspunkt gegen Unternehmen genutzt wird: im PDF-Programm von .

Adobe löst Microsoft als Lieblingsziel der Hacker ab

Im Dezember warnten Experten von McAfee und Secunia, dass 2010 nicht mehr von den gefährlichsten Computer-Sicherheitsattacken betroffen sein wird, sondern eben Adobe, das in dieser Hinsicht kaum jemand auf dem Radar hatte. Als Haupteinfallstor für Schadsoftware im neuen Jahr nannte McAfee die so gut wie allgegenwärtigen Programme Flash und Adobe Reader (PDFs).

Zero-Day-Exploit schockiert Experten

Zu dieser Einschätzung kamen die Experten offenbar wegen eines sogenannten Zero-Day-Exploit, der im Dezember öffentlich wurde und die Experten regelrecht schockierte. Durch das einfache Öffnen eines PDF-Dokuments wurde Schadsoftware eingeschleust, die prinzipiell alles konnte - von Spionage über das Kapern von Servern bis zur Zerstörung von Daten. Je nachdem, welcher schädliche Programmcode aus dem Internet nachgeladen wurde. Im konkreten Fall war das PoisonIvy, ein Werkzeug zur Fernsteuerung von Rechnern.

Wochen und Monate bis zum Gegenmittel

Ein Zero-Day-Exploit ist die Ausnutzung einer Sicherheitslücke, von der man bis zum Auftreten des Exploits nichts ahnte. Sie gelten als die gefährlichsten aller IT-Sicherheitsprobleme - denn bei Zero-Day-Exploits fehlt den Herstellern der übliche Vorlauf. In der Regel wissen IT-Sicherheitsunternehmen und Softwareentwickler meist schon Wochen vor dem Auftauchen erster Schadprogramme, dass etwas im Argen liegt, und beginnen mit der Produktion von Flicken und Gegenmitteln. Deshalb reagieren die Unternehmen auf auftretende Sicherheitsprobleme meist so scheinbar schnell; in Wahrheit aber braucht es oft Wochen, manchmal Monate, um die Gegenmittel zu entwickeln.

Adobe warnt vor den eigenen Produkten

Adobe selbst machte das Problem mit den PDFs am 15. Dezember öffentlich und warnte vor dem eigenen Produkt. Das Unternehmen wies auf Berichte hin, denen zufolge die Sicherheitslücke schon "in freier Wildbahn" ausgenutzt würde. Gut möglich, dass der Zeitpunkt dieser Veröffentlichung nicht hausintern entschieden wurde - denn am gleichen Tag kam es auch zur Veröffentlichung des Exploit-Codes in einem bekannten Security-Forum.

Das Exploit: Ein "Business-Virus", Privat-PC sind kaum betroffen

Ab diesem Zeitpunkt kursierte quasi eine Bauanleitung, die von jedermann zur Programmierung eigener Angriffssoftware genutzt werden konnte. Die Uhr tickte unüberhörbar. Adobe versprach eilig die Veröffentlichung eines Flickens für den 12. Januar. Bis dahin solle man Javascript deaktivieren, das automatische Öffnen von PDF-Dokumenten per unterbinden und - der Tipp für Fortgeschrittene eines Sicherheitsunternehmens - die PDFShell-Extension durch Umbenennung der Datei Acrord32info.exe außer Funktion setzen.

Schwere Angriffe auf Unternehmen schon seit Wochen

Eine nutzerfreundliche, auch für Laien nachvollziehbare Lösung klingt anders. Spätestens seit Mitte Dezember klaffte und klafft also eine virulente Lücke in den meisten PC-Systemen, die PDF-Software nutzen. Nur knapp zehn Prozent aller Virenscanner sind bisher in der Lage, die Schadsoftware in PDFs überhaupt zu erkennen, heißt es. Immerhin: Inzwischen gibt es einen Flicken, der mit neuer Reader-Software und im Update-Verfahren ausgeliefert wird. Doch wird es wohl noch Wochen dauern, bis er so breit verteilt ist, dass das Sicherheitsproblem wirklich eingedämmt ist. Die vor allem gegen Unternehmen gerichteten Attacken laufen seit Wochen, und sie werden noch weiterlaufen.

Ist auch Google von dem Problem betroffen?

Vieles spricht nun dafür, dass eine solche Attacke auch Google getroffen hat. Der Konzern will sich dazu nicht äußern - aber der Zeitpunkt des Angriffs korreliert mit den berichteten Exploit-Attacken gegen US-Unternehmen im Dezember. Google erfuhr von dem Sicherheitsproblem angeblich erst an jenem Tag, an dem Adobe den Exploit öffentlich machte. Öffentlich darüber zu reden begann man bei Google wenige Stunden, nachdem Adobe einen Sicherheitsflicken zur Verfügung gestellt hatte. Es fällt schwer, hier an Zufall zu glauben. Zumal Adobe an diesem Mittwoch parallel zu Google eine große Hack-Attacke bekannt machte. Am 2. Januar habe es einen "massiven Angriff" auf Adobe und "andere Unternehmen" gegeben, teilte das Unternehmen mit. In Googles Blog-Post dagegen ist nur von einer "gezielten Attacke" nicht näher spezifizierter Art die Rede.

Gezielte Wirtschaftsspionage mit verseuchten PDF-Dateien

Außerdem wurden Phishing-Versuche gegen Google-Mail-Konten angeführt - was allerdings ein ganz anderes Thema ist. Eine gezielte Attacke auf Server durch Zusendung verseuchter PDFs legt den Verdacht von Wirtschaftsspionage nahe und ist damit etwas anderes als der Versuch, E-Mail-Konten von Dissidenten per Phishing zu knacken. Letzteres nennt Google jetzt als Hauptgrund dafür, die Kooperation mit Chinas Zensurbehörden zu beenden. Googles Maildienst selbst gibt es in dem Land gar nicht. Es geht also möglicherweise in beiden Fällen nicht um Angriffe innerhalb Chinas, sondern angeblich aus China.

China und die Cyber-Spionage: Der Hack ist leidiger Alltag

Derlei Angriffe sind seit langem und vielfach dokumentiert - in "Tracking Ghostnet" vom März 2009 oder der Northrop-Studie für die US-China Economic and Security Review Commission vom Oktober 2009 ("Capability of the People's Republic of China to Conduct Cyber Warfare and Computer Network Exploitation"). Interessant sind darin Bezüge zu chinesischen Spionageattacken gegen US-Unternehmen mit Hilfe eines PDF-Exploits, das mit dem aktuellen Exploit eng verwandt scheint. Verrät das eine Handschrift? Konstruiert wurde dieses Exploit laut Northrop-Report mit Hilfe einer Software namens FreePic2Pdf. Die aber gebe es nur "auf Chinesisch", steht in dem Bericht.

Problem ist seit längerem bekannt

Das Problem von PDF-Exploit-Attacken gegen US-Firmen ist also seit längerem bekannt und dokumentiert. Als Urheber dieser Attacken werden nicht näher spezifizierte Personen "aus dem Umfeld chinesischer Hackerforen" genannt. Diese kommunizierten mit den von ihnen gekaperten Systemen in einem 24 Stunden umspannenden Drei-Schichten-System, behaupten die Autoren des Reports. Northrop beschreibt den geregelten Arbeitstag von Hackern in einem Mehrschicht-Betrieb. Der implizite Vorwurf, der sich daraus ableiten lässt: Eine derart ausgeklügelte Operation deute auf Hacking aus Staatshand hin.

Google will endlich klare Verhältnisse schaffen

Mag sein, dass Google nun eine neue Angriffswelle zum Anlass nahm, um klare Verhältnisse zu schaffen - eine Art demonstratives "Uns reicht's". Dazu kommt, dass der Konzern der Kooperation mit Chinas Zensurbehörden eine Absage erteilt, die immer mit Unwohlsein und öffentlicher Kritik verbunden war. Das Unternehmen will sich zu all dem nicht explizit äußern und verweist auf die Erklärungen von Justiziar David Drummond. Außerdem seien die Analysen der Attacken ja noch nicht abgeschlossen. Die Experten des IT-Sicherheitsunternehmens iDefense glauben, dass im aktuellen Fall die Attacke seit Anfang Dezember läuft. Erste Berichte darüber gab es schon ab Mitte Dezember und in der ersten Januarwoche.

Abwehrschlacht hinter den Kulissen

Das Sicherheitsproblem mit dem PDF-Exploit an sich ist aber weit älter. Die aktuelle Lücke wurde vom IT-Securityunternehmen iDefense am 6. August entdeckt. Nach Analyse meldete die Firma das Problem Mitte September an Adobe und lieferte der Softwarefirma gleich noch einen Beweis (Proof of Concept) mit. Adobe bestätigte das Problem am Folgetag - ab da hielten alle Beteiligten Funkstille. Hinter den Kulissen begann die Arbeit an Gegenmaßnahmen, immer in der Hoffnung, damit fertig zu werden, bevor ein erstes Exploit auftauchen würde. Adobe verfehlte das Ziel dann nur um wenige Wochen.

So funktioniert der PDF-Exploit

Wirklich neu war das entdeckte Problem nicht. Eine erste Version der Adobe-Sicherheitslücke, bei der ein PDF-Dokument zum Transportvehikel für Schadsoftware wird, wurde im Jahr 2005 dokumentiert. Das Prinzip der Sicherheitslücke wurde sogar schon 2004 in einer Studienarbeit als potentielles Risiko beschrieben. Der schädliche Code wird bei der Methode in Datenpäckchen segmentiert und darum für Virenschutzprogramme unsichtbar in den Daten eines ins Dokument eingebundenen JPX-Bildes verborgen. Werden diese Bilddaten dekomprimiert und decodiert, fügt der Adobe Reader (oder ein Web-Browser mit entsprechendem Plug-in) nicht nur die Daten des Bildes zusammen, sondern auch die Schadsoftware. Diese ist klein, im aktuellen Fall handelt es sich um zahlreiche Päckchen von nur 38 Bytes Größe.

Erst infizieren, dann Spähsoftware nachladen

Die primäre Aufgabe des Codes: Kommunikation. Die Software soll einen Trojaner nachladen, ein Spähprogramm, das dann die eigentliche Arbeit erledigt. Mit einem "Ping" meldet es sich bei einem Server und signalisiert so, dass die Verseuchung eines Rechners gelungen ist. Sie setzt eine "Leuchtboje", einen Beacon. Die Experten bei iDefense sehen Hinweise darauf, dass die Dezember-Attacke nur einen eng verwandten Angriff aus dem Sommer 2009 fortführt. Denn schon im Juli 2009 gab es demnach einen sehr ähnlichen Exploit, bei dem der Datenverkehr der Schadsoftware über einen Server in den USA lief und zu anderen Servern, möglicherweise in Taiwan.

Angriff erfolgte vom selben Server aus

So sei das auch diesmal, sagen die IT-Sicherheitsexperten. Denn der Server, mit dem die aktuelle Schadsoftware kommuniziere, sei im gleichen IP-Adressbündel verortet wie beim letzten Exploit. Dass der Server in den USA steht, bedeutet erst mal gar nichts - außer dass der Nachweis der Urheberschaft der Attacke nicht ganz einfach ausfallen dürfte. Zumal in beiden Fällen Software genutzt wird, um durch Veränderung der IP-Adresse den wahren Standort des kontrollierenden Rechners zu verschleiern.

Nicht die Ursache, sondern "nur" ein Anlass?

Vor diesem Hintergrund erscheint Googles Schritt, Chinas Zensur nicht mehr mitzumachen, als Resultat eines längeren Entscheidungsprozesses - in dem die aktuelle Attacke wohl nur den Anlass lieferte. Denn die Hackerattacke und die seit Jahren dokumentierten Versuche in China, Mail- und andere Kommunikation potentieller Oppositioneller zu überwachen, haben wohl nichts miteinander zu tun. Das behauptet Googles Justiziar Drummond auch gar nicht in seinem Blog-Eintrag, in dem er die neue Position des Unternehmens gegenüber China erklärt. Er nennt nur beide Probleme in einem Text. Die Schadsoftware-Attacke habe "im Dezember" stattgefunden, schreibt er. Bei den Mail-Überwachungsversuchen gibt er dagegen keine Zeit an.

Schnüffelattacken werden zum Dauerproblem

1295 gezielte Schnüffelattacken aus vergangenen Jahren hat der Ghostnet-Report dokumentiert. Das Problem ist also virulent und von Dauer - und um solche Dauerprobleme zu lösen, braucht es offenbar manchmal einen sichtbaren Konflikt. Wenn Google aus den Erfahrungen von Mail-Attacken und Wirtschaftsspionage den Schluss gezogen haben sollte, dass man auf dem chinesischen Markt nicht mit den Behörden kooperieren sollte, ist das ein bemerkenswerter Schritt. Eine detaillierte Anfrage von SPIEGEL ONLINE zu den Einzelheiten des Hacks hat Google bisher nicht beantwortet.





shopping-portal
Das Unternehmen
  • Ströer Digital Publishing GmbH
  • Unternehmen
  • Jobs & Karriere
  • Presse
Weiteres
Netzwerk & Partner
  • Stayfriends
  • Erotik
  • Routenplaner
  • Horoskope
  • billiger.de
  • t-online.de Browser
  • Das Örtliche
  • DasTelefonbuch
  • Erotic Lounge
Telekom Tarife
  • DSL
  • Telefonieren
  • Entertain
  • Mobilfunk-Tarife
  • Datentarife
  • Prepaid-Tarife
  • Magenta EINS
Telekom Produkte
  • Kundencenter
  • Magenta SmartHome
  • Telekom Sport
  • Freemail
  • Telekom Mail
  • Sicherheitspaket
  • Vertragsverlängerung Festnetz
  • Vertragsverlängerung Mobilfunk
  • Hilfe
© Ströer Digital Publishing GmbH 2017