Cyber-Krieg: Eine neue Epoche ist angebrochen

Eine ganze Reihe von US-Unternehmen wurde – wie von silicon.de berichtet – diese Woche von Hackern unter Beschuss genommen. Nachdem zunächst Software von Adobe im Verdacht stand, einen Zero-Day-Exploit ermöglicht zu haben, steht nun fest: Die Angreifer haben ein bislang unbekanntes Leck im Internet Explorer genutzt – und das Ganze als “Projekt Aurora” (lat. für Morgenröte) bezeichnet.

Microsoft will zudem in kürze zusammen mit Google, Mandiant, Adobe und McAfee ein Statement mit Details zu den jüngsten Angriffen abgeben. Dmitri Alperovitch, Vice President bei McAfee, berichtete unterdessen, dass die Angreifer die Aktion selbst als “Projekt Aurora” bezeichnen. Er erklärte darüber hinaus, dass der Exploit sehr ausgefeilt gewesen sei. Es habe sich um ein extrem verschlüsseltes Javascript gehandelt, dass sich nach dem Infekt als Secure Sockets Layer Protocol tarnte. “Dadurch konnten die Angreifer den Kontakt mit dem befallenen System aufnehmen und es komplett fernsteuern. Sie hatten damit einen Brückenkopf in das Netzwerk der Firma”, so Alperovitch.

Allerdings hätten sich die Angreifer quasi blind bewegen müssen: “Wir konnten die Backdoor sehen, aber haben keine Möglichkeit gefunden, mit der die Malware das Netzwerk hätte absuchen und spezielle Bereiche identifizieren können”, so der Sicherheitsexpert weiter. Er datierte erstmals auch die Angriffswelle konkret: Sie habe von Mitte Dezember bis einschließlich den 4. Januar gedauert. Die Angreifer hatten wohl absichtlich die amerikanische Feiertagssaisson gewählt, zu der erwartungsgemäß nur wenige Fachkräfte in den Unternehmen vor Ort sind.

Alperovitch wollte aber nicht bestätigen, dass der Angriff von China aus erfolgte. Am 4. Januar hätten sich die Verbindungskanäle der Malware selbstständig abgeschaltet, so dass man nicht mehr nachvollziehen könnte, wohin geraubte Daten gewandert seien. Vor zwei Tagen hatte Eli Jellenc von iDefense erklärt, der Angriff sei weitgehend identisch mit der letzten großen Spionagewelle im Sommer 2008 gewesen, bei der er China zweifelsfrei als Verursacher ausgemacht haben will.

Alperovitch bestätigte aber Aussagen von Jellenc, wonach die ursächlichen Server in Taiwan und Texas stationiert sind. Bei den Angriffen sowohl im Sommer als auch jetzt im Winter erbeutete Daten wurden laut Jellenc beim texanischen Hoster Rackspace gespeichert. Der Kontroll-Server für diese Daten befinde sich in Taiwan, im Besitz von Festlandchinesen.

“Diese Attacken sind unserer Ansicht nach epochal”, so Alperovitch. “Wir haben noch niemals einen so hohen Level an Durchtriebenheit erlebt. Nie zuvor gab es dieser Art Angriff auf kommerzielle Unternehmen, die nicht in Verbindung zur Regierung oder den Streitkräften stehen.”