Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und die Werbung von watson und Werbepartnern zu personalisieren. Weitere Infos: Datenschutzerklärung.
epa04135457 Hackers try to break the security oriented challenges during an ethical hacking contest at the 7th edition of 'Insomni'hack - Swiss security conference and ethical hacking contest', in Geneva, Switzerland, 21 March 2014. Around 300 participants are taking part in the contest that runs from 18:00 until 04:00 the next morning.  EPA/SALVATORE DI NOLFI

Hacker an einem Event in Genf. Bild: Keystone

Wettkampf der Cyberkrieger

Hacker-Analyse: Chinesen sind Profis, Iraner Stümper

Die US-IT-Firma Mandiant analysiert aufsehenerregende Hacker-Attacken. Ihr jüngster Bericht zeigt, wie leicht syrische Cyberkrieger eine Nachrichtenagentur knacken konnten – und wie geschickt die Chinesen agieren.

11.04.14, 09:06 11.04.14, 11:29

Ein Artikel von

Matthias Kremp, spiegel online

Wenn die Firma Mandiant ihre Berichte veröffentlicht, hören nicht nur IT-Profis genau hin, sondern auch Politiker und Sicherheitsexperten. Vor zwei Jahren enthüllte die Firma das Vorgehen einer bis dahin streng geheimen Hackertruppe aus China, was zu massiven diplomatischen Verwerfungen mit den USA führte.

Auch im aktuellen Mandiant-Jahresbericht geht es um Politik. So wird zum Beispiel detailliert das Vorgehen der Aktivistengruppe Syrian Electronic Army (SEA) beim Angriff auf eine Nachrichtenagentur beschrieben. Die SEA ist eine Gruppe, die der syrischen Regierung um Baschar al-Assad nahesteht und immer wieder Medienkonzerne angreift, um Botschaften wie «Lang lebe Syrien» auf deren Seiten und über deren Social-Media-Kanäle zu verbreiten.

Im vorliegenden Fall nutzten sie typische Phishing-Methoden, um sich binnen weniger Stunden Zugang zu den E-Mails und dem Redaktionssystem der Nachrichtenagentur zu verschaffen.

Zunächst schickten sie kurze Mails an eine Vielzahl von Empfänger in der Agentur, die scheinbar potentiell interessante Informationen enthielten. Wer auf den darin enthaltenen maskierten Link klickte, wurde zu einer Webseite umgeleitet, die sich als externes Mail-System der Agentur ausgab. Sie diente dazu, Nutzernamen und Passwörter der Opfer zu sammeln. Mandiant bezeichnet das als «Schnellfeuer-Phishing».

Nach zwei Stunden mittendrin

Nur eine halbe Stunde später begann der zweite Teil des Angriffs. Von internen E-Mail-Adressen aus gingen Phishing-Nachrichten an Empfänger mit Zugang zum Redaktionssystem. Eine mickrige Erfolgsquote von 0,04 Prozent reichte dabei aus, um entsprechende Zugangsdaten zu erbeuten. Nach zwei Stunden hatten die Angreifer ihr erstes Ziel erreicht und konnten ihre Nachrichten und Texte auf der Webseite der Nachrichtenagentur veröffentlichen.

Bild: Keystone

Gleichzeitig kaperten die Angreifer deren Twitter-Account. Weil sie auch die E-Mail-Zugangsdaten für den zuständigen Mitarbeiter erbeutet hatten, war das ganz leicht. Sie gaben sich Twitter gegenüber als jener Nutzer aus, liessen das Passwort zurücksetzen, bestätigten die Änderung über den kompromittierten E-Mail-Account und konnten daraufhin Tweets im Namen der Nachrichtenagentur versenden.

Professionelle Chinesen

Im Sommer 2013 hatte Mandiant Indizien zusammengetragen, die zeigten, dass fast alle von China ausgehenden Cyberangriffe gegen Ziele in den USA auf Rechner in einen Stadtteil von Shanghai zurückverfolgt werden können. Als Urheber vermuteten die Spezialisten die chinesische Geheimdiensteinheit 61398. Unwiderlegbare Beweise dafür konnte Mandiant zwar nicht vorlegen, es spricht aber einiges dafür, dass die Angreifer entweder von der Regierung in Peking unterstützt oder zumindest geduldet werden.

Chinas Führung reagierte prompt, bezeichnete die Anschuldigungen als haltlos. Es folgte ein vor allem verbaler Schlagabtausch, der darin mündete, dass Präsident Obama China in einem TV-Interview vorwarf, die Cyber-Attacken gegen US-Konzerne zu unterstützen.

Iranische Amateure

Der aktuelle Jahresbericht enthält nun weitere Indizien. Vergleiche der Aktivitäten der chinesischen Hacker haben demnach ergeben, dass diese ihre Aktivitäten nach der Veröffentlichung des Mandiant-Berichtes über eine Weile fast vollkommen einstellten. Danach hätten sie «schnell ihre Infrastruktur ausgetauscht, bevor sie wieder tätig wurden». Erst Monate nach den Enthüllungen seien die Hacker zum ihren früheren Aktivitätsniveau zurückgekehrt. Mit dem Austausch von Hardware, die möglicherweise von Mandiant identifiziert worden war, hätten sie ihr Tun verschleiern wollen.

Bild: Keystone

Während den chinesischen Gegenspielern ein hohes Mass an Professionalität und Bedachtheit zugestanden wird, beurteilt Mandiant die iranischen Hacker weniger positiv. Die hätten in den vergangenen Jahren zwar mehrere Angriffe vor allem gegen Firmen aus dem Energiesektor durchgeführt – aber ohne grosse Expertise: «Sie sind auf öffentlich verfügbare Werkzeuge und webbasierte Schwachstellen angewiesen.» Das deute darauf hin, dass die Täter nur über eingeschränkte Fähigkeiten verfügten.

Anders agieren Kriminelle, die es auf Kreditkartendaten abgesehen haben. Sie bedienen sich der Arbeit professioneller Botnet-Betreiber, um sich etwa Zugang zu den Systemen von Online-Händlern zu verschaffen. Erkennt der Betreiber eines solchen Netzwerks von Zombie-PC, dass seine Schadsoftware sich auf einem Rechner bei einem Händler eingenistet hat, schmuggelt er weitere Schadsoftware ein, und bietet den gekaperten Rechner gleichzeitig anderen Kriminellen zum Kauf an. In einem konkreten Fall habe es nur drei Tage gedauert, von der Infektion eines PC bis zu dessen Übernahme durch weitere Kriminelle, die ihn als Einfallstor nutzten, um nach und nach das gesamte Netzwerk zu übernehmen.

Das Beispiel zeigt, ebenso wie die Angriffe der SEA, dass Cyberkriminellen oft schon eine winzige Schwachstelle genügt, um sich umfassenden Zugriff auf fremde Netze zu verschaffen. Ob das ein ahnungsloser Mitarbeiter oder ein schlecht gesicherter Computer ist, ist dabei egal.

Hol dir die App!

Brikne, 20.7.2017
Neutrale Infos, Gepfefferte Meinungen. Diese Mischung gefällt mir.
Abonniere unseren NewsletterNewsletter-Abo
0
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
0Alle Kommentare anzeigen

Linux-Stick statt Windows-PC: Das muss sich in der IT-Schweiz ändern

Der Schweizer Open-Source-Experte Matthias Stürmer über vergünstigte Schul-iPads, die teuren Folgen der Windows-Monokultur und die unterschätzten Vorteile von «freier» Software.

Herr Stürmer, Apple lanciert ein «Günstig»-iPad für Schulen – was halten Sie von der jüngsten Offensive im Bildungssektor?Matthias Stürmer: Das sind technologisch sehr attraktive und für Schulen auch relativ günstige Geräte, die Apple vorgestellt hat. Allerdings gibt's nichts gratis: Mit den reduzierten iPads für Schulen investiert Apple in die Anwender von morgen, denn logisch werden die iPad-Schülerinnen und -Schüler auch Apple-Geräte kaufen wollen wenn sie älter werden. Wenn …

Artikel lesen