Erstellt am: 15. 12. 2014 - 19:00 Uhr
Gestohlene Sony-Daten als Zeitbombe im Netz
Am Samstag wurde die siebente Tranche von internen Daten der Firma Sony im Netz veröffentlicht. Wieder waren es mehrere Gigabyte vertraulicher Informationen, deren Aufarbeitung gerade erst begonnen hat. Doch jetzt schon lässt sich sagen, dass dieser Einbruch einer Organisation namens Guardians of Peace mit keiner der früheren Attacken auf Sony vergleichbar ist. Der große Wirbel um die illegal vorab veröffentlichen Filme und die abfälligen Äußerungen aus dem Topmanagement der Sony-Filmsparte über Stars wie Angelina Jolie haben die tatsächliche Bedrohung für Kunden, Firmenpartner und Sony selbst völlig übertönt.
APA/EPA/DAN HIMBRECHTS
Die Angreifer haben enorme Mengen detaillierter Finanzdaten von Partnerfirmen, Daten von Sony-Mitarbeitern, Kreditkartendaten von Kunden und eine unbekannte Zahl geheimer Schlüssel zur Ausstellung von digitalen Zertifikaten der Firma ins Netz gestellt. Damit wurde nicht eine, sondern eine ganze Serie von Zeitbomben scharf gemacht, denn diese Daten zirkulieren mittlerweile im kriminellen Untergrund des Internets.
Guardians of Peace
Die den Hack begleitenden Texte und Bilder der ominösen Angreifer Guardіans of Peace verweisen zwar einigermaßen plakativ auf einen "Hacktivismus"-Hintergrund. Ausmaß, Effizienz und Ablauf des Datenabgriffs, Zeitdauer der Vorbereitung sowie die Qualität der gestohlenen Daten sprechen hingegen allesamt für einen Angriff durch eine eingespielte, professionelle Organisation.
Public
Ranghohe FBI-Beamte und die bekannte Sicherheitsfirma Mandiant hatten den Sony-Hack denn auch als "beispiellos" bezeichnet und vor weiteren Angriffen auf Firmen gewarnt. In Ausmaß und zu erwartendem Schaden ist der Angriff tatsächlich einzigartig, strukturell weist er jedoch auffällige Parallelen zu zwei weiteren Attacken der letzten beiden Jahre auf, die sich ebenfalls gegen westliche Firmen richteten.
65 PlayStation-Server
Im Oktober warnte das US-Notfallcenter ICS-CERT vor einer Angriffswelle auf Steuersysteme der Industrie. Dabei wurde dieselbe Art von Schadsoftware eingesetzt wie bei den gegen den NATO-Gipfel gerichteten SandWorm-Attacken. Gleichzeitig gab es eine staatlichen Stellen in China zugeschriebene Welle von Spionageangriffen gegen US-Unternehmen auf.
In keinem Fall eines vergleichbar spektakulären Einbruchs hatten die Zuweisungen an mögliche Urheber so schnell gewechselt wie in diesem Fall. War man anfangs von einem "Hacktivismus"-Angriff nach dem Muster der berüchtigten LulzSec-Hacker von 2011 ausgegangen, so war nach den ersten Daten-"Dumps" über Peer-to-Peer-Netze ("Torrents") von einer Insideraktion die Rede. Die Daten stammen nämlich von völlig verschiedenen Systemen der Firma.
Von der Personalverwaltung angefangen über Kundendaten samt Nummern der Kreditkarten, das E-Mail-System bis hin zu den jüngst geleakten Schlüsseln zur Ausstellung von Zertifikaten der Firma ist in diesen "Datendeponien" Material aus ganz verschiedenen Datenbanken enthalten. Was die Sicherheitsexperten dabei verblüffte, war, dass von Sony Pictures Entertainment gestohlene Daten über eine Batterie von 65 Servern aus dem PlayStation-Network von Sony Computer Entertainment im Netz verteilt wurden. Geschäftlich sind diese Firmen nämlich voneinander getrennt.
Weihnachtskomödie als Terrorakt
Die nächste Schuldzuweisung richtete sich dann an Nordkorea, zumal die von Sony Pictures produzierte Komödie "The Interview" am 24. Dezember in die US-Kinos kommt. Im Zentrum des Plots steht dabei die Ermordung des nordkoreanischen Machthabers Kim Jong Un durch zwei von der CIA gesteuerte Boulevardreporter, die Guardians of Peace selbst wiesen mit einschlägigen Aussagen ebenfalls in diese Richtung.
Eine der Botschaften, die zusammen mit den Datensätzen geleakt wurde, forderte Sony in wenig idіomatischem Englisch auf, "den Film des Terrorismus sofort zu stoppen", weil er den "regionalen Frieden gefährde und 'den' Krieg" auslösen könne. Zudem stammen laut FBI die wichtigsten der bisher identifizierten Angriffsdateien aus dem koreanischen Sprachraum, sie wurden erst kurz vor dem Zeitpunkt des Angriffs in der letzten November-Woche kompiliert.
Im September wurde der NATO-Gipfel über mögliche Sanktionen gegen Russland über eine kapitale Sicherheitslücke in allen Windows-Systemen angegriffen und ausspioniert. Die dabei verwendete Angriffssuite stammte ursprünglich von kriminellen Botnet-Betreibern.
Löschangriffe wieder a la mode
Auch hier gibt es eine Überraschung, denn die "Destover" genannte Malware-Suite enthält auch einen "Wiper", also ein Programm, das die Festplatten der befallenen Rechner nach dem Kopieren und der Exfiltration aller Daten löscht. Das ist sehr ungewöhnlich, denn weder Kriminelle noch Geheimdienste haben in der Regel daran Interesse, die Inhalte gekaperter Rechner zu löschen - ist das Ziel doch, sie unauffällig auszuspionieren.
FBI
"Löschangriffe" kamen deshalb bereits Mitte der 1990er Jahre in der Virenszene aus der Mode. Auch "Ransomware"-Erpresser, die nach dem Muster des berüchtigten BKA-Trojaners vorgehen, löschen keine Festplatten, sondern verschlüsseln sie.
"Schwert der Gerechtigkeit"
Der erste neuere Großangriff, bei dem massenhaft Festplatten gelöscht wurden, datiert erst wieder aus dem Jahr 2012. Die "Shamoon" genannten Attacken richteten sich ebenfalls vor allem gegen ein einziges Unternehmen. Im Firmennetz des saudischen Ölkonzerns Aramco wurden die "Master Boot Records" von 30.000 Festplatten überschrieben, die Geschäftsprozesse von Aramco waren dadurch tagelang weitgehend lahmgelegt.
Auch hier übernahm eine unbekannte Gruppe von "Hackern", die sich Scharfes Schwert der Gerechtigkeit nannte und seitdem nicht wieder in Erscheinung getreten ist, die Verantwortung. Das Ziel des Angriffs war offenbar, aktuell den größtmöglichen Schaden anzurichten, um die Ölproduktion Saudi-Arabiens temporär zu beeinträchtigen.
Der dritte Plattenputzer
Der letzte große auf Zerstören programmierte Virus war der 1998 verbreitete "Chernobyl". Er wurde so genannt, weil er am Jahrestag der AKW-Explosion in Tschernobyl, am 26. April 1999, sein zerstörerisches Werk begann. Chernobyl überschrieb nicht nur den Bootsektor der Festplatte, sondern konnte auch mehrere Typen von BIOS-Chips so zerstören, dass sie getauscht werden mussten.
Auch hier kam für die Löschfunktion dasselbe kommerzielle Windows-Tool wie bei "Destover" zum Einsatz, das es Entwicklern ermöglicht, unter Umgehung der Sicherheitsmaßnahmen des Betriebssystems auf dem betreffenden Windows-Dateisystem Lese- und Schreibberechtigungen zu erhalten. Für Techniker ist das ein praktisches Werkzeug, etwa um kompromittierte PCs, deren Administratorpasswort nicht verfügbar ist, wiederherzustellen.
Im Falle der "Destover"- und der "Shamoon"-Attacken wurde dasselbe Tool dafür eingesetzt, die Festplatten zu löschen. Der dritte dieser "Löschangriffe" waren die als "DarkSeoul" oder "Jokra" bekanntgewordenen Attacken auf Banken und Medien in Südkorea im März 2013. Wie bei "Destover" wurden die Festplatten dabei erst zeitversetzt gelöscht, nachdem die Inhalte kopiert worden waren. Die eigentlichen Angriffsdateien wurden ebenfalls erst kurz vor dem Beginn der Attacke kompiliert. Da dieser "Plattenputzer" gezielt auf Medienkonzerne losgelassen wurde, war ein entsprechendes Medienecho natürlich garantiert.
Auffällige Gemeinsamkeiten
Wie der bisherige Verlauf des Angriffs auf Sony zeigt, zielte er ebenfalls darauf ab, aktuell den größten möglichen Gesamtschaden für das Netzwerk und die Verkaufsstrukturen der Firma anzurichten. Das die Hollywood-Leaks begleitende Mediengetöse wurde bei diesem Angriff ebenfalls gezielt mit einkalkuliert. In allen diesen drei Fällen, in denen eine Überschreibfunktion von Festplatten verwendet wurde, sollten offenbar möglichst hohe Wellen geschlagen werden, was den Angreifern im Fall von Sony bis jetzt mustergültig gelang.
Solche Angriffsszenarien verweisen praktisch nie auf Kriminelle, sondern sind stets politisch motiviert. Die Vorgangsweise deutet in allen drei Fällen auf staatlich gelenkte Organisationen hin, die weniger bei den angegriffenen Großkonzernen als vielmehr bei den politischen Spitzen Japans, Südkoreas und Saudi-Arabiens (und deren Verbündeten) etwas Bestimmtes, Zeitpunktspezifisches ausrichten wollten.
Rootkit "Sony XCP"
Was Sony und das Verhältnis dieser Firma zu Schadsoftware betrifft, so datiert der erste bekannte, große Schadensfall aus dem Jahr 2005. Damals wurden von Sony mehrere Millionen Musik-CDs in Umlauf gebracht, die allesamt mit einem Rootkit verseucht waren. Ein Rootkit ist jenes Tarnkappenteilelement, das die Aktivitäten der übrigen Schadsoftware vor dem PC-Benutzer verbergen soll. Die Folgen für Sony waren Sammelklagen vor allem in den USA, die Sony mehr als 250 Millionen Dollar kosteten. Das mit den Musik-CDs verbreitete Schadprogramm stammte nämlich von Sony selbst, weil es der sogenannte Kopierschutz war.
Die Rootkit-Affäre beschäftigte zwei Jahres lang ein ganzes Heer von Juristen, denn Sony wurde von Sammelklagen eingedeckt, denen sich über 40 US-Bundesstaaten angeschlossen hatten. Chronik in 15 FuZo-Stories 2005 bis 2007.
Neun Tage nach dem Bekanntwerden wurden die ersten mit "Sony XCP-Kopierschutz" verseuchten Rechner bereits durch eine entsprechende Malware angegriffen und gekapert, was die Schadenersatzforderungen weiter in die Höhe trieb. Das Rootkit hatte damals nur einen einzigen Angriffsvektor dargestellt, der zudem erst ausgenützt werden musste, um etwa an die Daten des jeweiligen PC-Eigners zu kommen. Beim aktuellen "Leak" so vieler Gigabytes an Daten von Sony, Partnerfirmen, und Kunden über "Torrents" sind nun multiple Angriffsmöglichkeiten sozusagen aufgelegt.