Operation Aurora: Cyberattacken dank Adobe PDF und Microsoft IE
Von Bernd Kling am 15. Januar 2010
Es waren die üblichen Verdächtigen, die weit offene Einfallstore bereiteten für breit angelegte Wirtschaftsspionage aus China, die Google enthüllte. Sie betraf über 30 Unternehmen im Silicon Valley und deren Quellcode. Sagen Sicherheitsforscher und nennen die Details der „Operation Aurora“.
Microsoft machte sich ein wenig ehrlich und gestand die erneute Schwäche des Internet Explorer ein, noch immer marktführend und Standard-Webbrowser in vielen Unternehmen. „Internet Explorer war einer der Vektoren“ in den Attacken, die Google in dieser Woche enthüllte, heißt es in einer Stellungnahme. Sie versuchte die Angelegenheit im weiteren jedoch herunterzuspielen, obwohl die Sicherheitslücke IE 6, IE 7, IE 8 und Microsofts Betriebssysteme von Windows 2000 bis Windows 7 einschließlich Server-Betriebssystemen betrifft.
„Nichts Ungewöhnliches gesehen“
Besonders begriffsstutzig gab sich Microsofts CEO Steve Ballmer: „Diese Angriffe gibt es jeden Tag. Ich denke, daran war überhaupt nichts ungewöhnlich, deshalb verstehe ich das nicht. Wir werden jeden Tag aus allen Teilen der Welt angegriffen, und ich glaube, alle anderen werden das auch. Wir haben nichts Ungewöhnliches gesehen.“
Ganz klein machte sich das Softwareunternehmen Adobe, das Microsoft inzwischen den Ruf streitig macht, der bedeutendste Verursacher von Sicherheitsproblemen zu sein. Adobe gestand zwar ein, von der Attacke ebenfalls betroffen zu sein, die Google öffentlich gemacht hatte, während andere Firmen sie offenbar lieber verschweigen wollten. Es gebe jedoch keinerlei Erkenntnisse darüber, dass Sicherheitslücken in PDF-Dateien für die berichteten Angriffe eingesetzt wurden.
Genau davon aber wussten F-Secure wie die zu Verisign gehörende Sicherheitsfirma iDefense zu berichten: „Nach Quellen, die mit der aktuellen Attacke vertraut sind, lieferten die Angreifer gegen Google und andere Unternehmen bösartigen Code über PDF-Dateien als E-Mail-Anhänge aus. Bei diesen wie früheren Angriffen setzen die bösartigen Dateien einen Backdoor-Trojaner ab in Form einer Windows-DLL.“
„Diese Attacke war ein Wendepunkt“
Inzwischen gerät vor allem die neue IE-Sicherheitslücke ins Visier der Unsicherheits-Rechercheure. George Kurtz von McAfee gab in seinem Security Insights Blog Details preis, die er durch die Zusammenarbeit mit betroffenen Unternehmen sowie Ermittlungsbehörden in Erfahrung gebracht habe: „Als Teil unserer Untersuchung haben wir verschiedene Stücke Malware-Code analysiert, von dem wir bestätigen konnten, das er bei den Versuchen benutzt wurde, in mehrere dieser Unternehmen einzudringen.“
Die Angreifer hatten für die Operation offenbar die interne Bezeichnung „Aurora“, aus dem Verzeichnisnamen zu schließen, in dem der Code zu einer ausführbaren Datei kompiliert wurde. Der Angriff erfolgte überraschend komplex und mehrstufig, setzte aufwändige Verschleierungstechniken ein. In verschiedenen Phasen kamen rund 10 Malware-Dateien zum Einsatz mit unterschiedlichen Fähigkeiten. Sie setzten Verschlüsselungs- und andere Techniken ein, um eine Erkennung zu vermeiden, wie Dmitri Alperovitch von McAfee erklärt:
„Der Exploit bestand zunächst aus Javascript-Code, der sich selbst verschlüsselte und über mehrere Verschlüsselungsebenen verfügte, bevor der ausführbare Binärcode sichtbar wurde, der nach Hause telefonierte und dann eine verschlüsselte Datei von einem externen Server bezog. Diese Datei setzte mehrere Keys für die Verschlüsselung ein und verwandelte sich nach ihrer Entschlüsselung in eine ausführbare Datei, die verschiedene Module in das infizierte System brachte.“
Mit trickreichem Aufwand ging es weiter. Eines der Module war eine Hintertür, die wiederum zu einem anderen Server nach Hause telefonierte und eine verschlüsselte Verbindung einrichtete, die sich zur Erkennungsvermeidung als SSL-Protokoll (Secure Sockets Layer) ausgab. Damit war der Rechner übernommen und zugleich ein Brückenkopf zur Erkundung des übrigen Netzwerks.
Die Attacken liefen über etwa drei Wochen von Mitte Dezember bis zum 4. Januar. Dieser Zeitraum war vermutlich auch nicht zufällig, da über die Feiertage mit keiner oder geringer personeller Besetzung in den ausgespähten Unternehmen zu rechnen war. Als Ziele werden unter anderen Yahoo, Symantec, Juniper Networks, Northrop Grumman und Dow Chemical genannt. Angeblich wurde Quellcode von über 30 Unternehmen im Silicon Valley zur Beute der Angreifer.
„Wir glauben, dass diese Attacke einen Wendepunkt darstellt“, so Alperovitch. „Wir haben noch nie dieses Ausmaß an Raffinesse erlebt bei Angriffen, die auf kommerzielle Unternehmen zielen, die nicht mit einer Regierung oder der Verteidigungsindustrie verbunden sind.“
(bk)
Zum Thema bei TecZilla:
Warum Google sich mit China anlegt
China und die „Google-Republik“
Sicherheitsexperte: Alles, nur nicht Adobe Acrobat Reader
Zum Thema im Web:
Screenshot: Microsoft
