Digital
Microsoft

Wie Linux-Nerds eine gefährliche Supply-Chain-Attacke verhinderten

Symbolbild für Supply-Chain-Attacke auf Linux-Software.
Zur unglaublich raffinierten Attacke gibt es auch ein sehenswertes Video (unten).Screenshot: YouTube

Wie ein paar Nerds an Ostern den vielleicht schlimmsten Hack der Geschichte verhinderten

Es ist eine wahre Geschichte, die aus einem Tech-Thriller stammen könnte. Durch Zufall stiess ein Linux-Entwickler auf raffinierte Hacker, die Millionen Server im Visier hatten – und reagierte goldrichtig.
03.04.2024, 18:27
Mehr «Digital»

Einem bei Microsoft angestellten Software-Entwickler ist es zu verdanken, dass verheerende Cyberangriffe quasi im letzten Moment verhindert werden konnten.

Der Schweizer IT-Experte Marcel Waldvogel bringt das Geschehen, das sich an Ostern ereignete und über die Fachwelt hinaus kaum für Aufsehen sorgte, auf den Punkt:

«Wir sind dieses Wochenende nur durch unglaublichen Zufall extrem knapp an einer schon lange vorbereiteten, wohl grössten Katastrophe rund um die globale IT-Sicherheit vorbeigeschrammt.»

Tatsächlich ist es unbekannten Elitehackern um ein Haar gelungen, eine sogenannte «Backdoor» (Hintertür) in ein äusserst populäres Linux-Programm einzubauen. Dies hätte Millionen Server weltweit angreifbar gemacht.

Zu den potenziellen Folgen kommentiert Waldvogel:

«Das Resultat hätte für unsere persönlichen Daten, unsere Wirtschaft und deren Abläufe, sowie für die davon abhängigen Prozesse inklusive kritische Infrastrukturen desaströs enden können.»

Das Wichtigste in Kürze

  • Profihacker versuchten mit beträchtlichem Aufwand und grosser Hinterlist eine Hintertür in eine weitverbreitete Open-Source-Software einzubauen.
  • Es handelte sich um die Vorbereitungen für sogenannte «Supply-Chain»-Attacken, bei der die Angreifer über eine Drittsoftware zum eigentlichen Ziel – einem geschützten Server, respektive Datenträger – vordringen.
  • Die ausgeklügelte Methode hätte Millionen Linux-Server weltweit angreifbar gemacht – aber nur für die Urheber der massgeschneiderten Malware. Sie hätten so fast jeden Befehl auf dem Zielrechner ausführen können.
  • Im Visier hatten sie die Standardmethode für die Fernwartung von Unix-, respektive Linux-Systemen: SSH (Secure Shell). Dies sei mutmasslich die meistverbreitete Variante, um sich auf anderen Rechnern anzumelden, hält Waldvogel in seiner lesenswerten Analyse fest.
  • Die Hintertür, die über eine Werkzeugsammlung zur effizienten Datenkompression namens «xz» implementiert werden sollte, war raffiniert konzipiert. Sie konnte nur unter gewissen Bedingungen ausgenutzt werden, wenn die Angreifer den richtigen, geheimen Schlüssel dafür kannten. Abgesehen davon war sie nahezu perfekt getarnt.
  • Der bösartige Programmcode wurde von einem Entwickler mit dem Pseudonym «Jia Tan» eingeschleust. Dieser hatte sich während drei Jahren das Vertrauen der Open-Source-Community erschlichen, indem er nützliche Beiträge zu Linux-Projekten leistete. Seine Herkunft sowie die seiner Helfer und Auftraggeber ist nicht bekannt.
  • Die Hacker verfolgten eine langfristige Strategie und bereiteten eine Art Plug-in-System vor, um für zukünftige Attacken weitere Elemente einschleusen zu können.
  • Schlimmeres konnte nur verhindert werden, weil ein misstrauischer Linux-Entwickler beim Testen eines Programmes auf eine ungewöhnliche Verzögerung gestossen war und beschloss, der Ursache auf den Grund zu gehen.
  • Entdecker des Angriffs ist der Microsoft-Angestellte und erfahrene Linux-Entwickler Andres Freund. Nachdem er am Karfreitag über eine Mailing-Liste eine Warnung veröffentlicht hatte, machten sich auch andere Open-Source-Entwickler aus allen Teilen der Welt über Ostern an die Eindämmung und Aufklärung des Falles.
  • Der Angriff wurde erfolgreich vereitelt. Es sind keine Meldungen über Schäden und Opfer bekannt.

Hier wird die verrückte Geschichte in einem ziemlich nerdigen Video (bei YouTube) erzählt:

Was lernen wir daraus?

Dazu IT-Experte Waldvogel:

«Innert weniger Tage wurde dank aufmerksamen Open-Source-Leuten mehrere Jahre akribische Vorbereitung einer gross angelegten Cyberattacke zunichte gemacht.»

Solche Supply-Chain-Attacken seien aber äusserst schwierig zu entdecken. Und man müsse davon ausgehen, dass Elitehacker im Staatsauftrag an weiteren Methoden arbeiten.

Angreifern aus China, Russland oder auch bei den US-Geheimdiensten, die über grosse Mittel verfügen, steht ein Heer von häufig ehrenamtlichen Entwicklern gegenüber. Bei einigen wichtigen Softwarebibliotheken hängt die Qualitätssicherung von nur wenigen «Betreuern» ab, so Waldvogel.

«Hier könnten durchaus auch nationale IT-Sicherheitszentren – in der Schweiz das Bundesamt für Cybersicherheit, BACS – diese Aufgabe übernehmen. Denn es fördert ihre eigene Cybersicherheit und die ihrer Wirtschaft und Bürger.»

Kommentatoren rufen in Erinnerung, dass auch grosse Techkonzerne mit ihrer proprietären Software von der unbezahlten Arbeit der Linux-Community profitieren.

Der «Guardian» erklärt, dass solch raffinierte Attacken auch ein Unternehmen wie Apple oder Google treffen könnten. Dann wäre es für Dritte aber äusserst schwierig, die entsprechende Schwachstelle überhaupt zu entdecken.

Eine weitere Möglichkeit, das Risiko zu verkleinern, sieht Waldvogel in der Rückbesinnung auf einfachen Code:

«Wir sollten uns bei Software wieder auf die wichtigen Komponenten besinnen und nicht einfach alles an zusätzlichen Softwarekomponenten importieren, nur weil es praktisch ist. Oder zumindest versuchen, diese Abhängigkeiten so weit wie möglich zu isolieren.»
quelle: dnip.ch

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
1 / 24
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
Die Lazarus Group schlägt weltweit zu...
Auf Facebook teilenAuf X teilen
«Ich stelle mein Handy nie auf lautlos» – Oksana erzählt von ihrem Leben seit der Flucht
Das könnte dich auch noch interessieren:
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt. Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
84 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Tentacles
03.04.2024 19:58registriert Oktober 2022
Es ist wirklich toll, wie viele Teile der Open Source Community funktionieren, und wie Leute aus Freude, Interesse und “for the greater good” etwas beisteuern.

Danke für den interessanten Bericht!
2711
Melden
Zum Kommentar
avatar
arpa
03.04.2024 19:45registriert März 2015
Danke an alle vertrauenswürdigen Open Source Entwickler!
1511
Melden
Zum Kommentar
avatar
T13
03.04.2024 21:23registriert April 2018
"beim Testen eines Programmes auf eine ungewöhnliche Verzögerung gestossen war"
Respekt, das einem sowas auffällt. Das dürfte wahrscheinlich für andere ein kleines ruckeln gewesen sein.
491
Melden
Zum Kommentar
84
    Die Spatzen pfeifen es von den Dächern – Nintendo enthüllt diese Woche die Switch 2
    Die neue Nintendo-Konsole steht unmittelbar vor ihrer Enthüllung.

    Die Gerüchteküche um die neue Nintendo-Konsole, die wohl Switch 2 heissen wird, brodelt seit Monaten. Nun wird es konkret: Laut übereinstimmenden Informationen mehrerer Quellen sollen die Japaner ihre neue Spielkonsole am Donnerstag enthüllen. Dies berichtete zuerst der zuverlässige Videospiel-Podcast «Nate the Hate».

    Zur Story