Auch Hacker arbeiten nine to five
2,2 Millionen Windows-User haben mit einem Update einer beliebten Software kürzlich eine mysteriöse, aber scheinbar harmlose Schadsoftware erhalten. Nun kommen Ermittler der Sache auf die Spur.
Matthias Schüssler
Bei den ersten Meldungen zu dem Hacker-Coup schwang Erstaunen mit: Da war es den Spionen gelungen, eine äusserst populäre Software zu infiltrieren und 2,2 Millionen Windows-PCs zu infizieren. Und dann tat die Malware nichts anderes, als belanglose technische Informationen zu sammeln. Die befallene Version des Aufräumprogramms C-Cleaner interessierte sich für die installierten Programme, die Windows-Version und die Netzwerkkonfiguration. Doch sie stahl keine persönlichen Dokumente und richtete keinerlei Schaden an.
Der Hersteller der betroffenen Software, Piriform, beeilte sich zu betonen, das schnelle Eingreifen habe Schlimmeres verhindert: Man habe die Ermittlungsbehörden alarmiert, und ihnen sei es gelungen, den Command-and-Control-Server vom Netz zu nehmen und zu beschlagnahmen, schrieb das Unternehmen am 18. September in seinem Blog. Solche Server kommunizieren mit der Schadsoftware und ermöglichen es den Hintermännern, weitere Angriffswellen zu starten.
Ende gut, alles gut, weil es die Hacker verpasst hatten, rechtzeitig die nächste Phase ihrer Spionageoffensive einzuläuten? Angesichts der Raffinesse des Angriffs erscheint das unwahrscheinlich. Die Hacker hatten es geschafft, die infiltrierte Version von CCleaner mit einer gültigen digitalen Signatur auszustatten. Das Programm wies sich als legitim aus und wurde über die Updatefunktion automatisch an die Nutzer verteilt.
Nach einigen Tagen intensiver Ermittlung ergibt sich ein nicht ganz so harmloses Bild. Nicht nur der Hersteller Piriform und dessen Muttergesellschaft, der tschechische Antivirenhersteller Avast, hatten die Spuren der Kriminellen analysiert, sondern auch unabhängige Experten. Und die haben Anzeichen dafür gefunden, dass die grosse Masse der privaten Nutzer gar nie das Ziel des Angriffs war. Es ging um eine kleine Anwendergruppe, die auf ihre Privatsphäre bedacht ist: Leute, die ein Programm wie CCleaner einsetzen würden, um sensible Datenspuren auf ihrem PC zu löschen. Weil sie auf die Opfer zugeschnitten ist, nennt man das «Watering hole»-Attacke. Das ist eine Anspielung auf den Löwen, der in der Savanne am Wasserloch lauert, weil die Beute früher oder später dort auftauchen wird.
Die Logdateien des Command-and-Control-Servers verraten den Ermittlern einiges über die «Beute». Die Protokolle belegen auch, dass sehr wohl weitere Angriffswellen stattgefunden haben. Diese fanden aber gezielt statt und wurden dann initiiert, nachdem anhand der Netzwerkkonfiguration ein interessantes Opfer ausgemacht worden war.
Genau 40 Computer in 12 Unternehmen wurden attackiert: An sie lieferten die Hacker eine weitere Schadsoftware aus. Eine «potente Hintertür», wie die Supportsite «Bleeping Computer» schreibt. Wie die Protokolldaten zeigen, gehören etwa Asus, Samsung, Intel, Fujitsu, Sony, Intel, NEC, O2 und der deutsche Hersteller von Spielautomaten Gauselmann zu den eigentlichen Zielen.
Die Log-Dateien zeigen noch mehr: Die Hacker haben den Command-and-Control-Server mehrfach neu aufgesetzt und über die Zeit wechselnde Unternehmen angegriffen. Und die Aktivitäten auf den Servern lassen keinen Zweifel daran, dass die Kriminellen geregelte Arbeitszeiten hatten. Nach einem Achtstundentag gab es ausreichend Nachtruhe, und an den Wochenenden wurde nicht gehackt. Die Aktivitätsperioden brachten die Ermittler auch dazu, die Urheber im Mittleren Osten, in Zentralasien oder Indien zu vermuten.
Die meisten Experten nennen als Hauptverdächtigen eine chinesische Hackergruppe, die je nach Experte Axiom, APT17, Group 72 oder auch Aurora Panda genannt wird. Auch gewisse Merkmale des Programmcodes der Schadsoftware deuten auf diese Gruppe hin. Allerdings räumt Avast ein, dass sich Serverprotokolle leicht fälschen liessen, wenn falsche Spuren gelegt werden sollen.
Die Sicherheit überdenken
Was genau das Ziel des breit angelegten Angriffs war, bleibt bis jetzt im Dunkeln. Ungewiss ist auch, ob die Angriffe erfolgreich waren. «Wenn die Unternehmen durch Firewalls oder Angriffserkennungssysteme geschützt waren, konnte ein Einbruch und Datendiebstahl womöglich verhindert werden», mutmasst «Ars Technica». Andererseits: Da die zweite Angriffswelle bei 40 Computern von Erfolg gekrönt war, konnten die Angreifer die Verteidigungslinien womöglich durchbrechen.
Beim Fall CCleaner seien die Privatanwender mit einem blauen Auge davongekommen, resümiert «Ars Technica». Den betroffenen Unternehmen bleibt nichts anderes übrig, als die PCs neu zu installieren und das digitale Sicherheitsdispositiv zu überdenken.
Die Hacker sind wie Löwen, die am Wasserloch lauern, weil die Beute irgendwann dort auftauchen wird.