Wie LulzSec die "Sun" hackte und Medienmogul Murdoch für tot erklärte

Von am 19. Juli 2011  

Die Rückkehr der hackenden Spaßmacher

Sie haben es wieder getan, die Hacktivisten von LulzSec. Nach ironisch inszenierten und öffentlichtkeitswirksamen Angriffen auf namhafte Gegner wie Sony und CIA versprachen sie den Rückzug und begründeten ihn mit aufkommender Langeweile. Die kam erst recht auf, sie sind wieder zurück in der Arena und legten sich diesmal mit Rupert Murdoch und einem Medienkonglomerat an, dessen Einfluss auf britische Politik und Behörden in einem um sich greifenden Skandal sichtbar wird.

Sie kaperten die Website von Murdochs Millionenblatt “The Sun” und überraschten die Leser mit einer Falschmeldung über Murdochs Tod, ganz im Stil seiner eigenen Medien gehalten. Er wurde damit letztlich Opfer seiner eigenen Methoden, legt das nahe, denn Murdochs eigene Schreiber hatten sich in die Handy-Mailboxen nicht nur von Prominenten und Politikern gehackt, sondern auch von Mordopfern und den Angehörigen getöteter Soldaten.

Kein einfacher Hack

Mit einer Karikatur machten sich die LulzSecs auch noch über die spielend leichte Übernahme der Sun lustig: Zwei Mitglieder von Lulz Security, wie gewohnt mit Hut und Monokel, stoßen mit Weingläsern an und unterhalten sich über eine “buggy Web-App im Medienozean”, von ihrem “Raidar” erfasst als thesun.co.uk und alsbald geentert.

Nach dem Defacing der Sun legten sie noch eins drauf und leiteten die Besucher der Website weiter zu Lulz Boat, dem Twitter-Account von Lulz Security. Dort prahlten sie von weiteren Großtaten gegen das Medienimperium: “Wir zeigen euch nur ein wenig von der Oberfläche. Der echte Schaden löste gerade Herzattacken aus bei den Admins.” Angeblich hatten sie auch die E-Mails von The Sun sowie The News of the World geknackt, verfügten über E-Mail-Adressen, Passwörter und Handynummern der Mitarbeiter von Murdochs News International. Selbst die DNS-Server von NI wollten sie übernommen haben.

Sie enthüllten dabei ein selten einfallsloses und unsicheres Passwort, das die im Mittelpunkt des Skandals stehende Murdoch-Vertraute Rebekah Brooks benutzt haben soll. Zum Benutzernamen Rebekah wählte sie demnach als Passwort 63000 – ausgerechnet die Telefonnummer, unter der ihre Zeitung indiskrete Berichte von Lesern entgegennimmt.

Eigentlich hatten sich die “Hacktivisten” zurückziehen wollen, nachdem sie sich bereits mit Sony, CIA, dem US-Senat und ähnlichen Gegnern angelegt hatten. Über Twitter ließen sie wissen, dass sie einfach nicht widerstehen konnten und für einen letzten Auftritt zurückkehren mussten: “Danke für die Blumen heute Abend. Ich weiß, wir haben uns verabschiedet, aber wir konnten einfach nicht herumsitzen, unseren Wein trinken und dabei diesem walnussgesichtigen Murdoch bei seinen Clownerien zusehen.”

Sicherheitsgurus rätseln jetzt, wie der jüngste Hackerfolg von Lulz Security gelang. “Das war keine einfache Sache”, urteilte Jeremiah Grossmann, CTO von WhiteHat Security über die Weiterleitung der Sun-Site. Vermutet wurde zunächst ein Angriff über das Content Management System oder den Provider.

Server unter Kontrolle

Eine plausible Erklärung fand Charles Arthur im britischen Guardian, vielleicht nicht zufällig der Zeitung, ohne deren jahrelange gründliche Berichterstattung heute kein zerknirrschter Rupert Murdoch sich einem Untersuchungsausschuss im britischen Unterhaus hätte stellen müssen. LulzSec bereitete die Aktion demnach zwei Wochen lang gründlich vor. Ein Einfallstor fand sich in der Website new-times.co.uk, derzeit nicht mehr aktiv genutzt, nachdem mit ihr die Bezahlmauern für die Londoner Times vorbereitet wurden, einer weiteren Murdoch-Publikation. Eine Schwachstelle erlaubte es, ein Programm für “local file inclusion” laufen zu lassen und damit den Server weitgehend unter Kontrolle zu bringen.

Darüber erhielten sie Zugriff auf weite Teile des Netzwerks von News International und vielleicht auch die archivierten E-Mails. In das Content Management System (CMS) griffen sie ein, indem sie eine Javascript-Zeile in das “breaking news”-Element einfügten, um die Besucher nach ihren Wünschen umzuleiten.

Von LulzSec veröffentlichte E-Mails und Passwörter scheinen die Angaben zu bestätigen, dass sie tatsächlich auf das E-Mail-Archiv zugreifen konnten. Wenn das zutrifft, ist noch weit mehr zu erwarten als eine gefälschte Meldung.

Abbildungen: LulzSec bei Twitter

Diese Icons verlinken auf Bookmark Dienste bei denen Nutzer neue Inhalte finden und mit anderen teilen können.
  • Facebook
  • Google Bookmarks
  • TwitThis