Malware unterwandert Google

Versuche in dieser Richtung gab es schon früher. “Dass es wirklich in großem Umfang getan wird, ist aber neu”, so Sicherheitsexperte Candid Wüest von Symantec Deutschland.

Publik wurde das Thema durch im Firmen-Blog veröffentlichte Beobachtungen von Sunbelt-Mitarbeitern. Sie hatten Ende November darauf hingewiesen, dass Suchbegriffe in Google vermehrt Links zu Malware-verbreitenden Sites unter den topgereihten Suchergebnissen liefern. Brisantes Beispiel war dabei die Suche nach ‘netgear ProSafe DD-WRT’, einer Hardwarekomponente für einen Router. Auch Yahoo und Microsoft Live waren betroffen. Von technischen Termini abgesehen waren anfangs nur englische Suchbegriffe betroffen. Inzwischen ist das Phänomen aber auf Europa übergeschwappt. “Mir sind definitiv italienische Suchbegriffe bekannt”, bestätigt Wüest. Noch kenne er keine betroffenen deutschen Begriffe. Da aber der deutsche Sprachraum insgesamt deutlich größer ist als der italienische, sei das wahrscheinlich nur eine Frage der Zeit.

Speziell Google hat Sunbelt zufolge schnell reagiert und entsprechende Sites aus der Suche entfernt, während Sunbelt bereits die nächste Welle in China beheimateter Malware-Sites in Vorbereitung ortete. Auf die Frage, ob das Phänomen also langfristig bestehen bleibe, meint Wüest: “Das wird ein Katz-und-Maus-Spiel werden.” Suchmaschinen-Betreiber würden entsprechende Links schnell zu löschen versuchen, während die Hacker hinter dem Phänomen wieder neue Seiten online stellen werden. Dass die Sunbelt-Mitarbeiter Tausende Malware-Seiten auf chinesischen Servern gefunden haben, lässt laut Wüest nicht unbedingt auf chinesische Angreifer schließen. Eher liege das an Sicherheitsaspekten. “Sites in China sind wahrscheinlich relativ lange online”, so Wüest. Westliche Provider würden hingegen verdächtige Server relativ schnell komplett vom Netz nehmen.

Ein zweiter Faktor für die Verwendung chinesischer Sites dürften die Kosten sein. Dazu kommt die Anbindung. IT in China boomt, die IT-Sicherheit halte nicht unbedingt Schritt. “In China gibt es eventuell einfachere Ziele”, dazu Wüest. Manche Malware-Sites könnten beispielsweise im Rahmen von Botnetzen sekundäre Verbreiter sein, die vorher selbst ohne Wissen der Betreiber infiziert wurden. Das könnte auch erklären, warum die US-Sicherheitsfirma Finjan eine Verbreitung von Trojanern auch auf Seiten einer chinesischen Regierungsbehörde beobachtet hat.

Vor allem in britischen und chinesischen Medien für viel Aufsehen sorgte vor kurzem eine Warnung des MI5 an britische Unternehmen, dass sie Ziel von Online-Spionage durch chinesische Hacker werden könnten. “Das unterscheidet sich deutlich von der auffälligen Technik der Malware-Links”, meint dazu Wüest. Daher sei wahrscheinlich, dass es andere Hintermänner gibt als bei den Malware-Links.

Google-Mitarbeiter Ian Fette hat indes im Sicherheits-Blog des Suchmaschinen-Riesen die Nutzer dazu aufgefordert, Google per Online-Bogen über Sites zu informieren, die Malware verbreiten. So können sie zum Kampf gegen das aktuelle Phänomen beitragen.