Zur unglaublich raffinierten Attacke gibt es auch ein sehenswertes Video (unten).Screenshot: YouTube
Es ist eine wahre Geschichte, die aus einem Tech-Thriller stammen könnte. Durch Zufall stiess ein Linux-Entwickler auf raffinierte Hacker, die Millionen Server im Visier hatten – und reagierte goldrichtig.
Einem bei Microsoft angestellten Software-Entwickler ist es zu verdanken, dass verheerende Cyberangriffe quasi im letzten Moment verhindert werden konnten.
Der Schweizer IT-Experte Marcel Waldvogel bringt das Geschehen, das sich an Ostern ereignete und über die Fachwelt hinaus kaum für Aufsehen sorgte, auf den Punkt:
«Wir sind dieses Wochenende nur durch unglaublichen Zufall extrem knapp an einer schon lange vorbereiteten, wohl grössten Katastrophe rund um die globale IT-Sicherheit vorbeigeschrammt.»
Tatsächlich ist es unbekannten Elitehackern um ein Haar gelungen, eine sogenannte «Backdoor» (Hintertür) in ein äusserst populäres Linux-Programm einzubauen. Dies hätte Millionen Server weltweit angreifbar gemacht.
Zu den potenziellen Folgen kommentiert Waldvogel:
«Das Resultat hätte für unsere persönlichen Daten, unsere Wirtschaft und deren Abläufe, sowie für die davon abhängigen Prozesse inklusive kritische Infrastrukturen desaströs enden können.»
Das Wichtigste in Kürze
- Profihacker versuchten mit beträchtlichem Aufwand und grosser Hinterlist eine Hintertür in eine weitverbreitete Open-Source-Software einzubauen.
- Es handelte sich um die Vorbereitungen für sogenannte «Supply-Chain»-Attacken, bei der die Angreifer über eine Drittsoftware zum eigentlichen Ziel – einem geschützten Server, respektive Datenträger – vordringen.
- Die ausgeklügelte Methode hätte Millionen Linux-Server weltweit angreifbar gemacht – aber nur für die Urheber der massgeschneiderten Malware. Sie hätten so fast jeden Befehl auf dem Zielrechner ausführen können.
- Im Visier hatten sie die Standardmethode für die Fernwartung von Unix-, respektive Linux-Systemen: SSH (Secure Shell). Dies sei mutmasslich die meistverbreitete Variante, um sich auf anderen Rechnern anzumelden, hält Waldvogel in seiner lesenswerten Analyse fest.
- Die Hintertür, die über eine Werkzeugsammlung zur effizienten Datenkompression namens «xz» implementiert werden sollte, war raffiniert konzipiert. Sie konnte nur unter gewissen Bedingungen ausgenutzt werden, wenn die Angreifer den richtigen, geheimen Schlüssel dafür kannten. Abgesehen davon war sie nahezu perfekt getarnt.
- Der bösartige Programmcode wurde von einem Entwickler mit dem Pseudonym «Jia Tan» eingeschleust. Dieser hatte sich während drei Jahren das Vertrauen der Open-Source-Community erschlichen, indem er nützliche Beiträge zu Linux-Projekten leistete. Seine Herkunft sowie die seiner Helfer und Auftraggeber ist nicht bekannt.
- Die Hacker verfolgten eine langfristige Strategie und bereiteten eine Art Plug-in-System vor, um für zukünftige Attacken weitere Elemente einschleusen zu können.
- Schlimmeres konnte nur verhindert werden, weil ein misstrauischer Linux-Entwickler beim Testen eines Programmes auf eine ungewöhnliche Verzögerung gestossen war und beschloss, der Ursache auf den Grund zu gehen.
- Entdecker des Angriffs ist der Microsoft-Angestellte und erfahrene Linux-Entwickler Andres Freund. Nachdem er am Karfreitag über eine Mailing-Liste eine Warnung veröffentlicht hatte, machten sich auch andere Open-Source-Entwickler aus allen Teilen der Welt über Ostern an die Eindämmung und Aufklärung des Falles.
- Der Angriff wurde erfolgreich vereitelt. Es sind keine Meldungen über Schäden und Opfer bekannt.
Hier wird die verrückte Geschichte in einem ziemlich nerdigen Video (bei YouTube) erzählt:
Was lernen wir daraus?
Dazu IT-Experte Waldvogel:
«Innert weniger Tage wurde dank aufmerksamen Open-Source-Leuten mehrere Jahre akribische Vorbereitung einer gross angelegten Cyberattacke zunichte gemacht.»
Solche Supply-Chain-Attacken seien aber äusserst schwierig zu entdecken. Und man müsse davon ausgehen, dass Elitehacker im Staatsauftrag an weiteren Methoden arbeiten.
Angreifern aus China, Russland oder auch bei den US-Geheimdiensten, die über grosse Mittel verfügen, steht ein Heer von häufig ehrenamtlichen Entwicklern gegenüber. Bei einigen wichtigen Softwarebibliotheken hängt die Qualitätssicherung von nur wenigen «Betreuern» ab, so Waldvogel.
«Hier könnten durchaus auch nationale IT-Sicherheitszentren – in der Schweiz das Bundesamt für Cybersicherheit, BACS – diese Aufgabe übernehmen. Denn es fördert ihre eigene Cybersicherheit und die ihrer Wirtschaft und Bürger.»
Kommentatoren rufen in Erinnerung, dass auch grosse Techkonzerne mit ihrer proprietären Software von der unbezahlten Arbeit der Linux-Community profitieren.
Der «Guardian» erklärt, dass solch raffinierte Attacken auch ein Unternehmen wie Apple oder Google treffen könnten. Dann wäre es für Dritte aber äusserst schwierig, die entsprechende Schwachstelle überhaupt zu entdecken.
Eine weitere Möglichkeit, das Risiko zu verkleinern, sieht Waldvogel in der Rückbesinnung auf einfachen Code:
«Wir sollten uns bei Software wieder auf die wichtigen Komponenten besinnen und nicht einfach alles an zusätzlichen Softwarekomponenten importieren, nur weil es praktisch ist. Oder zumindest versuchen, diese Abhängigkeiten so weit wie möglich zu isolieren.»
quelle: dnip.ch
Quellen
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
1 / 24
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
Die Lazarus Group schlägt weltweit zu...
«Ich stelle mein Handy nie auf lautlos» – Oksana erzählt von ihrem Leben seit der Flucht
Das könnte dich auch noch interessieren:
Die neue Nintendo-Konsole steht unmittelbar vor ihrer Enthüllung.
Die Gerüchteküche um die neue Nintendo-Konsole, die wohl Switch 2 heissen wird, brodelt seit Monaten. Nun wird es konkret: Laut übereinstimmenden Informationen mehrerer Quellen sollen die Japaner ihre neue Spielkonsole am Donnerstag enthüllen. Dies berichtete zuerst der zuverlässige Videospiel-Podcast «Nate the Hate».
Danke für den interessanten Bericht!
Respekt, das einem sowas auffällt. Das dürfte wahrscheinlich für andere ein kleines ruckeln gewesen sein.