Operation Shady RAT

Operation Shady RAT (engl.; etwa „zwielichtige Ratte“[1] oder „verborgener Fernzugriff“) ist die Bezeichnung für Hackerangriffe, bei denen von etwa 2006 bis 2011 weltweit mindestens 72 Unternehmen, Organisationen und Regierungen systematisch ausgespäht wurden. Dmitri Alperovitch, ein Mitarbeiter des US-amerikanischen Computersicherheitsunternehmens McAfee, prägte die Bezeichnung, die auf den englischsprachigen Begriff Remote Access Tool (Fernzugriffssoftware) Bezug nimmt.

Aufdeckung

Am 2. August 2011, zum Beginn der „Black Hat“-Konferenz in Las Vegas,[2] veröffentlichte Dmitri Alperovitch in einem offiziellen Blog von McAfee einen vierzehnseitigen Bericht,[3] in dem er die seit März 2011[2] bei McAfee bekannten Fakten zusammenfasste, 72 Ziele der Hackerangriffe auflistete, und eine grafische Aufbereitung der Angriffe seit 2006 anbot. Er klassifizierte sie, wie die Operation Aurora und die Operation Night Dragon, die von China ausgingen,[4] als Advanced Persistent Threat[5] und damit als größere Bedrohung für Staaten und Unternehmen, als sie etwa von Gruppen wie Anonymous oder LulzSec ausgehe.[3][6] Alperovitch informierte die amerikanische Regierung, den Kongress und Strafverfolgungsbehörden von seiner Entdeckung.[7]

Bewertung

Während Alperovitch die mit Operation Shady RAT beschriebenen Angriffe als „beispiellos“ bezeichnete, den Datenverlust als wirtschaftliche Bedrohung von Unternehmen oder ganzen Ländern einschätzte und auch die Frage nach der nationalen Sicherheit aufwarf,[3] waren die Sicherheitsforscher anderer Unternehmen wie Symantec, Kaspersky und Dell SecureWorks in ihren Beurteilungen zurückhaltender. Einzelheiten über das Ausmaß des Datenverlustes seien noch nicht bekannt und die technische Versiertheit der Angreifer nicht so hoch, wie zunächst angenommen. Der Symantec-Forscher Hon Lau bewertete die Operation Shady RAT zwar als „signifikant“, aber nur als „einen von vielen Angriffen, die täglich stattfinden“.[8][9] Jewgeni Kasperski fasste zusammen, die Attacke sei überbewertet worden und verdiene nicht viel Beachtung. Sie sei mit kostengünstiger Software nicht von einem Staat, sondern von Kriminellen durchgeführt worden.[10][11]

Vorgehensweise der Angreifer

2009 hatte McAfee einen zentralen Steuerungsserver identifiziert, auf dem sich Protokolle der Angriffe fanden[2] und bis zur Mitte des Jahres 2006 nachverfolgt werden konnten. Möglicherweise hatten sie bereits früher begonnen und dauerten im Sommer 2011 noch an.[7] Die Zugänge zu den jeweiligen Rechnersystemen wurden mit Hilfe von Spear-Phishing-E-Mails erreicht.[3] Dabei werden E-Mails, die im Gegensatz zu anderen Phishing-Mails in ihrer korrekt wirkenden Aufmachung kaum von einer legitimen Nachricht unterschieden werden können, an Adressaten versandt, die bereits Zugang zum anzugreifenden Netz haben. Sie enthalten Malware, die dafür sorgt, dass der Angreifer den nunmehr infizierten Rechner von außen steuern kann.[12] Einer Analyse des Softwarehauses Symantec zufolge wurden mit den E-Mails zunächst Dateianhänge verschickt, die das Interesse der Benutzer weckten und in gängigen Formaten gehalten waren. Sie enthielten Schadcode in Form von Trojanischen Pferden, der die befallenen Rechner zum Herunterladen von Bildern veranlasste, in denen mittels Steganographie weitere Befehle zum Fernzugriff verborgen waren.[13]

Angegriffene Organisationen

Mindestens 72 Organisationen wurden angegriffen; von vielen weiteren nahm McAfee das an, ohne sie exakt identifizieren zu können. Unter ihnen finden sich Behörden der Vereinigten Staaten, Kanadas, Indiens, asiatischer Staaten, des Verbandes Südostasiatischer Nationen (ASEAN), der Vereinten Nationen, des Internationalen Olympischen Komitees, sowie verschiedene Unternehmen, eines davon in Deutschland. Mehrheitlich, in 49 Fällen, richteten sich die Angriffe gegen amerikanische Ziele.[3][14] Der Schwerpunkt lag auf der Elektronik- und Rüstungsindustrie.[15] Die Angreifer bewegten sich zwischen einem und 28 Monaten in den gehackten Systemen.[16]

Bei den gestohlenen bzw. widerrechtlich kopierten Daten soll es sich Alperovitch zufolge unter anderem um Geheiminformationen der betroffenen Regierungen, Quellcodes für Software, Pläne zur Öl- und Gasförderung, Vertragstexte und E-Mails handeln. Das Volumen sei im Petabytebereich anzusiedeln.[3] Ein Petabyte entspricht der Speicherkapazität von 250 handelsüblichen Festplatten zu je vier Terabyte.

Mögliche Täter

Bei McAfee wurde vermutet, dass die Cyberangriffe von staatlichen Stellen ausgingen, ohne jedoch konkret zu werden.[16] Sie unterschieden sich, so Alperovitch, durch ihre Suche nach Geheimnissen und geistigem Eigentum von der üblichen Motivation Cyberkrimineller, die einen schnellen finanziellen Gewinn anstrebten. Das Interesse an Informationen aus westlichen und asiatischen Olympischen Komitees und der Weltantidopingagentur im Zusammenhang mit den Olympischen Sommerspielen 2008 spreche für einen Staat im Hintergrund, da sich diese Informationen nicht direkt in geschäftlichen Erfolg umsetzen ließen.[3] Jim Lewis vom Washingtoner Center for Strategic and International Studies vermutete, China, der Ausrichter der Olympiade 2008, stehe hinter den Attacken.[2][17] Dem Malware-Forscher Joe Stewart von Dell SecureWorks gelang es, einen chinesischen Ursprung zu bestätigen. Er entdeckte, dass die Angreifer ein zehn Jahre altes Programm namens HTran (HUC Packet Transmit Tool) benutzten, das ein chinesischer Hacker entwickelt hatte, um die Herkunft von Angriffen aus China verschleiern zu können. Ob die chinesische Regierung in die Angriffe verwickelt war, bleibt weiterhin offen.[9][18][19]

Reaktionen

Eine Stellungnahme der chinesischen Regierung blieb aus, jedoch dementierten regierungsnahe Medien wie die Zeitung Renmin Ribao eine staatliche Täterschaft Chinas.[20][21] Eine Woche nach der Aufdeckung der Cyberattacken teilte die chinesische Regierung mit, sie selbst sei im Jahr 2010 Opfer einer halben Million derartiger Angriffe gewesen, von denen fast fünfzehn Prozent über IP-Adressen aus den USA erfolgt seien. Das jeweilige Herkunftsland der Angriffe ließe sich jedoch nicht mit Sicherheit aus der Zuordnung der IP-Adressen ermitteln.[22]

Die kanadische Ministerin für staatliche Bauvorhaben und öffentlichen Dienst, Rona Ambrose, kündigte drei Tage nach der ersten Veröffentlichung über die Operation Shady RAT an, die über 100 staatlichen E-Mailsysteme auf 20 zu reduzieren und 3000 Netzwerke zusammenführen zu wollen. Sie versprach sich davon sowohl eine Minderung der möglichen Angriffsfläche, als auch eine Einsparung von Kosten.[7] Auch Janet Napolitano, die Ministerin für Innere Sicherheit der Vereinigten Staaten, bestätigte, den Bericht von McAfee überprüfen zu lassen.[23] Weiterhin begannen das Büro der Vereinten Nationen in Genf und die Weltdopingagentur, zu überprüfen, ob die beschriebenen Hackerangriffe stattgefunden hätten. Letztere gab aber an, ein ausgefeiltes Sicherheitssystem zu besitzen. Es bestünde kein Grund, anzunehmen, dass Hacker Zugriff auf sensitive Daten gehabt hätten.[24][25]

In Deutschland ließ das Bundesamt für Sicherheit in der Informationstechnik verlauten, den Bericht Alperovitchs zu prüfen. Dieter Kempf, Präsident des Branchenverbandes Bitkom der deutschen IT-Branche, forderte einen Ausbau des im Juni 2011 neu eingerichteten Nationalen Cyber-Abwehrzentrums und eine engere Zusammenarbeit zwischen der Wirtschaft und staatlichen Stellen.[26][16] Die DATEV dementierte, zu den Zielen der Angriffe gehört zu haben.[27]

Siehe auch

Weblinks

Einzelnachweise

  1. Cyber-Kriminalität: US-Firma will größte Hacker-Attacke der Geschichte entdeckt haben. In: Süddeutsche Zeitung Online. 3. August 2011, abgerufen am 4. August 2011.
  2. a b c d Bislang größte Serie von Hacker-Angriffen entdeckt. In: FAZ.net. 3. August 2011, abgerufen am 4. März 2015.
  3. a b c d e f g Dmitri Alperovitch: Revealed: Operation Shady Rat. (PDF; 5,0 MB) Archiviert vom Original am 4. August 2011; abgerufen am 4. August 2011 (englisch).
  4. Die Spur führt nach China. In: Süddeutsche Zeitung Online. 3. August 2011, abgerufen am 4. August 2011.
  5. McAfee definiert den Begriff als Cyberspionage oder -Sabotage, die von einem Nationalstaat ausgeht und sich in ihren Motiven von den politischen, kriminellen oder finanziellen Motiven nicht staatlich gelenkter Cyberkrimineller unterscheidet. What is an 'Advanced Persistent Threat,' anyway? In: Networkworld. 1. Februar 2011, archiviert vom Original am 12. Mai 2012; abgerufen am 5. August 2011 (englisch).
  6. Schlimmster Hacker ist ein Staat. In: n-tv. 3. August 2011, abgerufen am 4. August 2011.
  7. a b c Reaktion auf "Shady RAT": Kanada will staatliche IT zusammenführen. In: ZDNet. 5. August 2011, abgerufen am 5. August 2011.
  8. 'Shady RAT' Hacking Claims Overblown, Say Security Firms. In: Computerworld. 5. August 2011, abgerufen am 7. August 2011 (englisch).
  9. a b Sicherheitsforscher: "Shady RAT" wird überschätzt. In: gulli.com. 6. August 2011, archiviert vom Original am 25. Januar 2013; abgerufen am 7. August 2011.
  10. Kaspersky lästert über McAfees "schäbige Ratte". In: Heise.de. 18. August 2011, abgerufen am 20. August 2011.
  11. Shady RAT: Shoddy RAT. In: Blog von Jewgeni Kasperski. 18. August 2011, abgerufen am 20. August 2011 (englisch).
  12. Profi-Hacker spionieren weltweit im großen Stil Regierungen und Industrie aus. In: Heise.de. 3. August 2011, abgerufen am 4. August 2011.
  13. The Truth Behind the Shady RAT. In: Symantec Security Response Blog. 5. August 2011, abgerufen am 5. August 2011 (englisch).
  14. Größte Serie von Hackerangriffen aufgedeckt. In: Welt online. 4. August 2011, abgerufen am 4. August 2011.
  15. https://www.zdnet.de/41555411/operation-shady-rat-protokoll-der-cyber-spionage/#image=1
  16. a b c Systematischer Hacker-Angriff auf Regierungen und Firmen. In: Zeit online. 3. August 2011, abgerufen am 4. August 2011.
  17. Report on ‘Operation Shady RAT’ identifies widespread cyber-spying. In: The Washington Post. 3. August 2011, abgerufen am 4. August 2011 (englisch).
  18. APT Attackers Used Chinese-Authored Hacker Tool To Hide Their Tracks. In: darkreading.com. 3. August 2011, abgerufen am 7. August 2011 (englisch).
  19. HTran and the Advanced Persistent Threat. In: Dell SecureWorks. 3. August 2011, abgerufen am 7. August 2011 (englisch).
  20. China weist Vorwürfe zurück. In: NZZ Online. 5. August 2011, abgerufen am 6. August 2011.
  21. China paper scoffs at suggestion Beijing is hacking villain. Reuters, 5. August 2011, abgerufen am 6. August 2011 (englisch).
  22. China war 2010 Ziel von 500.000 Cyberattacken. In: ZDNet. 10. August 2011, abgerufen am 20. August 2011.
  23. U.S. Cybercops Caught Flat-Footed by Massive Global Cyberattack. In: Fox News. 4. August 2011, abgerufen am 6. August 2011 (englisch).
  24. UN investigates alleged cyber attack. In: The Nation Online. 4. August 2011, abgerufen am 6. August 2011 (englisch).
  25. WADA disputes McAfee report that its system was hacked for a total of 14 months. In: VeloNation. 4. August 2011, abgerufen am 6. August 2011 (englisch).
  26. Der große Hack. In: Financial Times Deutschland. 3. August 2011, archiviert vom Original am 3. August 2012; abgerufen am 5. August 2011.
  27. DATEV: Von Operation Shady Rat nicht betroffen. In: Golem.de. 4. August 2011, abgerufen am 5. August 2011.