Erstellt am: 6. 6. 2011 - 06:00 Uhr
"Harpunen-Phishing" im Google-Aquarium
Die Genese des Bekanntwerdens von "Spear Phishing"-Angriffen auf die Gmail-Konten hochrangiger US-Beamter und Militärs wirft wesentlich mehr Fragen auf, als offizielle Informationen am Donnerstag von Google kamen.
"Spear Phishing" oder "Harpunieren" bezeichnet eine Angriffsform, die auf einen vorher genau definierten, relativ kleinen Personenkreis abzielt.
Während das gemeine "Phishing" - zig Millionen Spam-Mails werden wahllos verschickt - mit ziemlich ineffizienter Schleppnetzfischerei vergleichbar ist, versucht es der "Spear-Phisher" genau andersherum. Wie sich ein Harpunentaucher vorsichtig an einen bestimmten Fisch heranpirscht, so suchen sich die Angreifer die zu "harpunierenden" Personen sorgsam aus. So auch in diesem Fall.
Die Chronologie
Alle bekannt gewordenen Angriffs-Mails kamen von gefälschten "state.gov" oder ".mil"-Adressen und waren an die privaten GMail-Accounts von "bekannten Persönlichkeiten" addressiert: vornehmlich hochrangige Beamte und Militärs, angeblich waren auch Journalisten und chinesische Dissidenten unter den Angegriffenen.
Mehr dazu in ORF.at
Nach Angaben von Google ist der Hackerangriff erst "kürzlich" festgestellt worden, nachdem "ungewöhnliche Vorgänge" in den Postfächern registriert worden waren.
Praktisch alle Facts, die Google am Donnerstag im offiziellen Blog publizierte, stehen bereits seit 17. Februar im Netz. Der Blog "Contagiodump", der von einer Person oder auch einer Gruppe betrieben wird, die unter dem Pseudonym "Mila Parkour" agiert, hatte im Februar sogar eine ganze Reihe dieser Angriffs-E-Mails publiziert.
Zuvorderst stellt sich natürlich die Frage, warum diese mehr als drei Monate zurückliegende Serie von Attacken gerade jetzt in die Schlagzeilen geraten ist. Die Frage ist relativ einfach zu beantworten, wenn man auf den politischen Kontext sieht.
"Notwendige Mittel vorbehalten"
Direkt nach der Verlautbarung Googles trat Außenministerin Hillary Clinton vor die Kameras und betonte erneut, dass sich die USA alle "notwendigen Mittel" vorbehielten, um derartige Angriffe zu beantworten.
Vor zwei Wochen hatte das Weiße Haus bereits seine internationale Cyberstrategie vorgestellt, eine der Kernaussagen war eben dieser Einsatzvorbehalt "notwendiger Mittel". Seitdem herrscht nun gespanntes Warten auf die neue US-Militärdoktrin, die sich aus der politischen Vorgabe ableitet.
Am 24. Mai hatte wiederum das chinesische Verteidigungsministerium die Existenz eines "Cyber blue teams" zum Schutz der Internetsicherheit der Streitkräfte der Volksrepublik China bekannt gegeben.
Der Anlass
Einen Tag nach der Erklärung Googles traf Verteidigungsminister Robert Gates auf dem "Asian Security Summit" in Singapur mit seinem chinesischen Amtskollegen General Liang Guanglie zusammen. Hauptthema der Gespräche am vergangenen Freitag war nicht ganz überraschend "Cyberwar."
Cyberwars funktionieren ähnlich wie und doch völlig anders als konventionelle Kriege, denn eine gut ausgebaute Netzinfrastruktur der Verteidiger kommt im Cyberwar den Angreifern zugute. Keine einzige der großen DDoS-Attacken konnte zum Beispiel bisher mit Sicherheit zugeordnet werden.
Das entspricht exakt einem Szenario, das sich bereits 2007 abgespielt hatte. Einen Tag vor dem Staatsbesuch der deutschen Bundeskanzlerin Angela Merkel in China berichteten der "Spiegel" und andere deutsche Medien von großangelegten Trojanerangriffen aus China auf deutsche Ministerien. Auch dieser Fall hatte sich mehrere Monate vor dem Staatsbesuch abgespielt, die Informationen der Medien aber stammten vom deutschen Bundesnachrichtendienst.
Raffiniert, trivial
Technisch gesehen waren die Angriffe auf die Gmail-Konten alles andere als ein großer Hack, sondern verblüffend einfach, die Komponente des "Social Engineering" funktionierte jedoch nachgerade perfekt.
In den Mailboxen der Beamten und Militärs landeten E-Mails, die angeblich von Kollegen oder Mitarbeitern stammten. Die Mails bezogen sich auf ein aktuelles, berufliches Ereignis, deshalb klickten viele auf ein "Attachment", das passend zum Thema getitelt war.
Wie der Trick funktionierte
Während in den meisten bisher bekanntgewordenen Fällen von fortgeschrittenem "Spear-Phishing" die Attachments in der Regel sogenannte "Zero Day Exploits" enthielten - Schadsoftware, die eine bis dahin unbekannte Sicherheitslücke ausnützte - war dieser Mailanhang gar keiner. Es sich handelte sich vielmehr um einen unter dem HTML-Code verborgenen Link auf eine gefälschte Gmail-Website mit einem Login-Formular.
Die Opfer nahmen an, dass ein Verbindungsfehler vorlag, lieferten ihre Gmail-Zugangsdaten bei den Harpunen-Phishern ab und wurden dann wieder in ihre echten GMail-Konten umdirigiert. Von da an standen die unter Beobachtung, denn alle ein- und ausgehenden Nachrichten des Accounts wurden automatisch an die Angreifer weitergeleitet.
Für den privaten Blog einer Person, die sich für aktuelle Schadsoftware interessiert, verfügt "Mila Parkour" über erstaunlich tiefgehende Informationen.
Faksimiles auf "Contagiodump"
Immer neue Angriffsziele wurden damit auf dem Präsentierteller serviert, denn private Webmail-Accounts werden in der Regel zu einem gewissen Grad auch für berufliche Zwecke genützt. Man leitet darauf E-Mails und Dokumente weiter, um sie am Wochenende bearbeiten zu können und ist über den Webmail-Account mit Kollegen auch auf Reisen in Kontakt.
Die Angreifer hantelten sich also von einem Gmail-Konto zum nächsten, immer bemüht, nicht aufzufallen, was fast ein Jahr lang funktionierte, bis die komplette Analyse des Angriffs samt (anonymisierten) Faksimilies Mitte Februar auf "Contagiodump" erschien.
Nach Meldungen westlicher Nachrichtenagenturen unterhält die chinesische PLA ("Volksbefreiungsarmee") in der Provinz Shandong mehrere Ausbildungszentren für Cyberkrieger auf universitärem Level. Nun verfügt die "School of Information Science and Engineering" an der Universität Jinan nach eigenen Angaben über ein Lab von 17.000 Quadratmetern samt Hochleistungs-Parallel-Computing und ist in Forschungsbelangen chinaweit führend. Die Universität Shadong offeriert nicht viel anderes, betont wird aber, dass eine "rigorose Ausbildung" praktiziert werde.
Die Phishing-Mails kamen von IP-Adressen, die in Hongkong bzw. der Stadt Jinan (Provinz Shandong) registriert sind. Alle publizierten Faksimilies betreffen im Übrigen ausschließlich US-Beamte oder Militärs, Angriffsmails auf Journalisten oder gar chinesische Dissidenten sind nicht dabei.
Die "Giftmülldeponie"
Nach eigenen Angaben ist "Mila Parkour" zwar beruflich in der IT tätig, aber nicht im Security-Bereich. Der Blog entspringe rein privatem Interesse, schreibt "sie" .
So einfach ist das also: Man eröffnet auf Blogger.com eine Online-Sammlung von Malware aller Art, nenne sie "Giftmülldeponie" ("Contagiodump") und rufe die Leserschaft auf, Schadsoftware zur Analyse hochzuladen. Schon melden sich hochrangige Beamte und Militärs, um eine ausführliche Dokumentation eines damals topaktuellen Cyber-Angriffs einzuwerfen, der fast ein ganzes Jahr lang gelaufen ist.
Gezielte Leaks
"Mila Parkour" hat wenigstens in diesem Fall als Nachrichten-Outlet für die US-Geheimdienste funktioniert, denn "Leaking" hat nicht Julian Assange erfunden. "Gezielte Indiskretionen" gehören seit jeher zum fixen Repertoire von Geheimdiensten und Diplomatie.
Welche Maßnahmen die neue Cyberwar-Doktrin der USA auch enthalten wird, am grundsätzliche Dilemma der Cyberkrieger ändert sie nichts. Es ist ungeheuer schwierig, derartige Attacken in einem Zeitrahmen, der jenem der militärisch-taktischen Entscheidungen entspricht, mit letzter Sicherheit einem bestimmten Angreifer zuzuordnen.
Ein Gutteil jeder militärischen Taktik besteht bekanntlich aus "Tarnen und Täuschen", gerade das funktioniert im "Cyberwar" um Potenzen besser als im realen Krieg.