Das neuste (dringende) Flash-Update gemacht?bild: watson
Die «20 Minuten»-Website wurde innert weniger Tage mehrfach missbraucht, um Computer von ahnungslosen Besuchern mit Malware zu infizieren. Hier sind die wichtigsten neuen Erkenntnisse.
12.04.2016, 19:1313.04.2016, 13:41
Folge mir
Wie hängen die Angriffe von letzter und dieser Woche bei «20 Minuten» zusammen?
Tamedia-Mediensprecherin Nicole Bänninger:
«Technisch sind die beiden Vorfälle über grundsätzlich verschiedene Systeme erfolgt und stehen somit in keinem Zusammenhang. Im Gegensatz zum Vorfall von letzter Woche, handelte es sich dieses Mal nicht um einen Hackerangriff auf die Server von ‹20 Minuten›, sondern um ein verseuchtes Netzwerk der Werbeplattform
Improve Digital, dessen Anzeigen auf 20minuten.ch eingebunden waren.»
Das grosse Schweizer Medienunternehmen bestätigt also, dass es vor dem Angriff von letzter Woche Unbekannten gelungen ist, ins interne Computer-Netzwerk einzudringen. Im Gegensatz dazu gab es beim Angriff am Montag keinen «Einbruch» in die Tamedia-Server. Vielmehr gelangte der gefährliche Programm-Code über Online-Werbung, die von einer Drittfirma bezogen wurde, zu den «20 Minuten»-Lesern.
screenshot: 20minuten.ch
Was genau ist passiert?
Der Angriff vom Montag geht in die Kategorie Malvertising. Dabei versuchen Kriminelle, Schadsoftware über manipulierte Online-Werbung auf die Computer von Webseiten-Besuchern zu schmuggeln.
«Das kompromittierte Javascript in der unsauberen Anzeige versuchte auf Windows-PCs den Trojaner Bedep zu installieren (...). Dabei wurde die Website von ‹20 Minuten› als Mittelsmann missbraucht, um die Malware auszuliefern. Ob Improve Digital den schädlichen Code auch auf anderen Plattformen in der Schweiz oder im Ausland ausgeliefert hat, konnte die Swisscom am Montag nicht beantworten.»
Huu! Die Swisscom? Siehe Punkt 4.
Wie hat Tamedia reagiert?
Tamedia-Sprecherin Nicole Bänninger:
«Die betroffenen Anzeigen sowie das gesamte Real Time Advertising wurden auf 20minuten.ch umgehend komplett deaktiviert, damit keine unkontrollierte Werbung mehr ausgeliefert werden konnte. Darüber hinaus sensibilisieren wir unsere Werbekunden generell seit langem für die Risiken von Flash und setzen auf ‹20 Minuten› auch keine Flash-Werbung mehr ein. Dies gilt für sämtliche Werbung, die direkt bei ‹20 Minuten› gebucht wird. Bei einer Werbe-Buchung über eine externe Plattformen ist Flash-Werbung jedoch grundsätzlich möglich.»
Die Schwachstelle, die den Angriff ermöglichte, bestand demnach einmal mehr bei der in Verruf geratenen Browser-Technologie Flash, die Animationen und Interaktionen im Browser-Fenster ermöglicht, aber immer wieder durch gefährliche Sicherheitslücken in die Schlagzeilen gerät. Im aktuellen Fall musste «20 Minuten» alle Werbebanner, die vom europäischen Netzwerk der Drittfirma automatisch an die 20-Minuten-Leser ausgeliefert wurden, möglichst rasch deaktivieren. Das Unternehmen informierte am Montagmorgen darüber.
screenshot: 20 minuten
«Uns ist bisher nicht bekannt, dass andere Tamedia-Medien betroffen waren, wir können dies aber leider auch nicht ausschliessen.»
Tamedia-Sprecherin Nicole Bänninger
Was hat die Swisscom mit den Angriffen zu tun?
Der bösartige Code (Javascript) wurde über eine Flash-Werbung der Firma Improve Digital ausgeliefert. Mehrheitsaktionärin und damit Besitzerin der Improve Digital GmbH mit Sitz in München ist die Schweizer PubliGroupe. Die wiederum ist ein Tochter-Unternehmen der Swisscom.
Die Swisscom hat Improve Digital mit der Übernahme der Publigroupe im Jahr 2014 übernommen. Laut Swisscom-Sprecher Armin Schädeli wurde die Malware identifiziert und sofort entfernt. Improve Digital sei nun gemeinsam mit externen Sicherheitsexperten an der Ursachenanalyse. Weitere Details könne man erst liefern, sobald die Erkenntnisse vorlägen.Tamedia hat als Vorsichtsmassnahme sämtliche Anzeigen von Improve Digital, die heikle Werbung ausliefern könnten, deaktiviert.
Ist es möglich, dass die Angreifer mehr Schaden verursacht haben, als ursprünglich angenommen?
Die Tamedia-Sprecherin:
«Uns liegen bisher keine Schadensmeldungen vor. Wir bedauern aber sehr, wenn Nutzer durch den Besuch unserer Desktop-Angebote der Gefahr von Malware ausgesetzt waren.»
Sind andere Webseiten (und damit Leser) von Tamedia vom Angriff betroffen?
Die Tamedia-Sprecherin:
«Uns ist bisher nicht bekannt, dass andere Tamedia-Medien betroffen waren, wir können dies aber leider auch nicht ausschliessen. Die verseuchte Werbung wurde über Improve Digital ausgeliefert. Wir gehen deshalb davon aus, dass weitere Websites ausserhalb von Tamedia betroffen sind, die ebenfalls mit Werbung beliefert werden. Improve Digital hat bestätigt, dass die schädliche Software entfernt werden konnte.»
Wie ‹20 Minuten› am Montagabend informierte, sind auch andere Webseiten betroffen.
«In der Nacht auf Dienstag bestätigte Improve Digital, dass die Trojaner-Attacke nicht auf ‹20 Minuten› beschränkt ist: ‹Momentan scheint es, dass die Malware über mehrere Publisher verteilt wurde. Die Zahl betroffener User zu schätzen, ist zurzeit aber unmöglich›, liess die Firma verlauten. Und weiter: ‹Die Sicherheitsfirma, die uns unterstützt, hat bislang keine aktiven Infektionen festgestellt, aber das bedeutet nicht, dass niemand infiziert wurde. Wir sind mit Hochdruck daran, den Ursprung der Manipulation zu finden.›»
Was sagt der Bund zu den neusten Entwicklungen?
Das Bundesamt für Informatik und Telekommunikation (BIT) hat am Montagmorgen den Zugriff auf das News-Portal für Bundesangestellte wieder freigegeben. Dies, obwohl am gleichen Morgen ein neuer Angriff (wie oben geschildert) publik wurde. Doch die BIT-Sprecherin Sonja Uhlmann gibt Entwarnung. Der bei «20 Minuten» geschaltete Werbebanner, auf dem sich die Malware befunden habe, sei für Mitarbeitende der Bundesverwaltung blockiert gewesen.
«Werbebanner sind für Zugriffe aus dem Bundesnetz systematisch gesperrt, nicht zuletzt weil sie oft Träger von Malware sein können.»
Fazit: Da Online-Werbung mit potenziell gefährlichem Inhalt im internen Netz der Bundesverwaltung automatisch blockiert wird, musste der Zugriff auf die «20 Minuten»-Website nicht erneut gesperrt werden. Beim Angriff in der vergangenen Woche war dies anders gewesen.
Andere Unternehmen dürften ihren Angestellten den Zugriff auf das News-Portal ebenfalls wieder ermöglichen.
Wie können sich Internet-Nutzer schützen?
- Die im Alltag verwendete Software (Betriebssystem, Web-Browser, Plugins etc.) auf dem neusten Stand halten.
- Windows-Nutzer: Antiviren-Software mit Live-Schutz (auch für das Surfen im Internet) verwenden.
- Mac-Nutzer: Von Zeit zu Zeit einen Antiviren-Scan durchführen. Einen aktuellen Vergleich von Antiviren-Software gibt es hier.
- Linux-Nutzer: siehe hier.
- Ein Script-Blocker-Plugin könnte zudem helfen, das Ausführen von bösartigem Code im Web-Browser zu verhindern...
- Knoblauch und Sonnenlicht.
Die Vorgeschichte
Den Fall ins Rollen gebracht hatte am vergangenen Mittwoch die Bundesverwaltung in Bern, als die Sicherheitsexperten entschieden, den Zugriff auf «20 Minuten» für alle Bundesangestellten vorübergehend zu sperren. Für Windows-Nutzer bestand die reale Gefahr, sich beim Surfen auf dem grössten News-Portal des Landes den E-Banking-Trojaner GOZI einzufangen. Dem Beispiel des Bundes folgten die SBB, SRG, Swisscom und private Grossunternehmen – sie alle sperrten für ihre Mitarbeiter den Zugang zur Website 20minuten.ch.
Privatpersonen hingegen konnten weiterhin auf die Website zugreifen und gefährdeten so – ohne etwas von der Bedrohung zu ahnen – ihre Windows-Computer, wie SRF Online in diesem lesenswerten Beitrag zusammenfasst. Die Schadsoftware wurde schliesslich erst am Freitagmorgen von den Servern von «20 Minuten» entfernt.
Das könnte dich auch interessieren:
Das könnte dich auch interessieren:
Das könnte dich auch noch interessieren:
Ausserplanmässige Sendungsunterbrechung im russischen Staatsfernsehen: während einer Talkshow ist es in Russland zum Eklat gekommen.
In einer russischen Propaganda-Talkshow diskutieren die Teilnehmer über die Kriegspläne von Russlands Präsident Wladimir Putin. Doch plötzlich kommt es zu einer ungeplanten Unterbrechung der Sendung.