Internetkriminelle nutzen Twitter, Google und Yahoo

Hacker zielen auf Regierungen und den Dalai Lama

14.04.2010
Von 
Jan-Bernd Meyer betreute als leitender Redakteur Sonderpublikationen und -projekte der COMPUTERWOCHE. Auch für die im Auftrag der Deutschen Messe AG publizierten "CeBIT News" war Meyer zuständig. Inhaltlich betreute er darüber hinaus Hardware- und Green-IT- bzw. Nachhaltigkeitsthemen sowie alles was mit politischen Hintergründen in der ITK-Szene zu tun hat.

Auch deutsche Bürger betroffen

Zudem hätten die Hacker Regierungsrechner weiterer Länder ins Visier genommen. Auch Systeme der Vereinten Nationen dienten nach den Informationen als Ziele der Cyber-Attacken.

Schließlich haben die Hacker 99 Dokumente, die als "restricted" und "confidential" klassifiziert waren, von Rechnern indischer Botschaften und Vertretungen in Kabul, Moskau, Dubai und der nigerianischen Hauptstadt Abuja eingesehen. Die dort festgehaltenen Informationen betrafen persönliche und finanzielle Angaben von Personen, Reisepläne von Botschaftspersonal und Mitgliedern des diplomatischen Corps sowie Visa-Informationen und Hintergrundberichte zu bestimmten Ländern. Ausspioniert wurden die Daten von Bürgern unterschiedlichster Länder - unter anderem von Deutschland, Großbritannien, Dänemark, Italien, Irland, Kroatien und der Schweiz.

Die Autoren des Berichts betonen, dass insbesondere diese Hackeraktion die problematische Sicherheitslage im Internet verdeutlicht. Denn hier seien individuelle Personen betroffen, die nun selbst Risiken ausgesetzt sind, weil ihre Daten gehackt wurden. Und das, obwohl diese Informationen auf Computern von vertrauenswürdigen Partnern lagerten, die nun aber gehackt wurden.

Soziale Netze als Sesam öffne Dich

Die Experten zeigen in dem Bericht "Shadows in the Cloud: Investigating Cyber Espionage 2.0" auf (Download hier), wie die Angriffe abliefen. Die Sicherheitsexperten waren erstmals in der Lage, auf die Kontrollserver der Hacker zuzugreifen und so gestohlene Dokumente zu identifizieren.

Die Untersuchung von Information Warfare Monitor und der Shadowserver Foundation beschreibt die komplexe und hierarchisch aufgezogene Command-and-Control-Infrastruktur der Hacker. Weitere Erkenntnis: Die Kriminellen nutzten für ihre Attacken im großen Stil soziale Netze.

Die Autoren von Information Warfare Monitor und der Shadowserver Foundation nennen an inkriminierten sozialen Netzen explizit Twitter, Google-Gruppen, Blogspot, Baidu Blogs, blog.com und Yahoo!Mail. Zombie-Rechner wurden über diese Kommunikationsplattformen auf freie Web-Hosting-Services umgeleitet.

C&C-Infrastruktur - wie geht's?

Kriminelle steuern etwa Botnetze über C&C-Server. Solche Botnetze können, wie das Ende Februar 2010 aufgedeckte Waledac-Botnetz zeigte, aus mehreren hunderttausend infizierten Zombie-Rechnern bestehen. Es gibt verschiedene Methoden, einen PC zum Zombie umzufunktionieren. Hierzu kann ihm beispielsweise das Installationsprogramm des Bots via E-Mail zugesandt werden. Anwender können auch auf gefälschte Web-Seiten gelenkt werden, um ihnen dort das Programm unterzuschieben. Der Bot kann auch über einen Trojaner auf den individuellen Rechner geschleust werden.

Beim ebenfalls im März 2010 ausgehebelten "Mariposa"-Botnet waren sogar 13 Millionen Zombie-PCs in 190 Ländern virenverseucht und fremdgesteuert. Betroffen von Mariposa waren die Rechner von Privatpersonen genauso wie von Behörden und Unternehmen. Laut Polizeiangaben gehörte zu den angegriffenen Firmen mehr als die Hälfte der größten US-Unternehmen. Zudem waren über 40 Banken betroffen.

Diese schalteten die Internet-Kriminellen aus Chengdu dann zu einem bestimmten Zeitpunkt ab, woraufhin die Zombie-PCs auf die in China stehenden C&C-Server dirigiert wurden. (jm)