Google, China und Cyber-Armageddon

Originalartikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Im Zusammenhang mit den „sehr raffinierten und gezielten“ Angriffen auf Google haben mindestens drei Regierungen ihren Bürgern empfohlen, auf einen anderen Browser als den Internet Explorer von Microsoft auszuweichen. Ein wohlbekanntes Sicherheitsunternehmen hat in die eigene Website eine Grafik „Operation Aurora“ eingefügt, die Links zu Trial-Downloads für vorhandene Software enthält. Die Angriffe wurden vom CTO dieses Anbieters als „weltverändernd“ beschrieben und von Google als „etwas ganz Anderes“. Wie viel von der ganzen Aufregung ist tatsächlich berechtigt und angemessen?

Was wissen wir bislang? Google schreibt folgendes: „Mitte Dezember entdeckten wir einen sehr raffinierten und gezielten Angriff auf unsere Unternehmensinfrastruktur, der von China ausging und bei dem geistiges Eigentum von Google gestohlen wurde.“ Und weiter: „Im Rahmen unserer Nachforschungen entdeckten wir, dass mindestens zwanzig weitere große Unternehmen auf verschiedenen Branchen, einschließlich Internet, Finanzen, Technologie, Medien und der Chemie, Opfer ähnlicher Attacken geworden waren. Derzeit sind wir dabei, diese Unternehmen davon in Kenntnis zu setzen.“ iDefense hat Kunden, die von der Zero-Day-Schwachstelle in Acrobat Reader betroffen sind, und nennt 33 Unternehmen als Opfer.

Die nachfolgenden Vermutungen, Kommentare und Analysen wiesen die Schuld einer nicht gepatchten Schwachstelle im Internet Explorer und im Acrobat Reader zu. Die damit zusammenhängende Malware wurde sowohl als Varianten der Hydraq Trojans und einer neuen Malware, die McAfee Roarur.dr und TROJ_PIDIEF.SHK bezeichnete. Die Angriffsvektoren sind eine Mail mit bösartigen PDF-Anhängen und Drive-by-Downloads.

Als Motivation für die Angriffe wird sowohl der Versuch geistiges Eigentum zu stehlen als auch die Sicherheit von E-Mail-Konten chinesischer Menschenrechtler zu durchbrechen, genannt. Die Attacken sollen laut James Mulvenon, Director des Center for Intelligence Research and Analysis bei der Defense Group, von mindestens sechs Internet-Adressen in Taiwan ausgegangen sein.

Sind sie weltverändernd? Ich glaube nicht. Es sind nicht die ersten Angriffe über Zero-Day-Schwachstellen, und tatsächlich werden in den meisten Fällen Zero-Day-Exploit zuerst für gezielte Attacken genutzt, bevor sie sich weiter verbreiten. Auch sind es nicht die ersten Angriffe, die Drive-by-Downloads oder bösartige PDF-Anhänge einsetzen, um zum Ziel zu kommen. Weder ist es das erste Mail, dass Empfehlungen für einen anderen Browser ausgesprochen wurden, bis die Patches verfügbar sind, noch dass die Welt mit dem Finger auf China zeigt, bei einem breitangelegten Spionageangriff. Schließlich sind die Attacken nicht die komplexesten, viele Komponenten umfassende Systeme, die die Welt je gesehen hat – man denke nur an Koobface.

Es besteht kein Zweifel daran, dass diese Attacken eine ausgeklügelte Methodik enthalten. Die „Bad Guys“ waren auch sichtbar erfolgreich in der Auslieferung ihrer bösartigen Fracht an die richtigen Leute in den richtigen Unternehmen, um an Dinge wie Source Code oder E-Mail-Konten heranzukommen. Dennoch sehe ich dabei nichts, was die Welt verändern könnte. Social Engineering, fehlendes Sicherheitsbewusstsein, die Bereitschaft zu viel Information mit anderen zu teilen sowie die hoch entwickelte Schattenwirtschaft haben zum Erfolg der bösartigen Aktivitäten beigetragen.

Was können Unternehmen und Einzelpersonen tun, um zu vermeiden, dieser Art von Angriff zum Opfer zu fallen?

  • Erziehung zu einem sicherem Verhalten: Das Anklicken eines Links oder das Öffnen eines PDFs reicht aus, um sich zu infizieren, auch in einem vollständig gepatchten System.
  • Sicherstellen, dass alle Anwendungen und Systeme auf aktuellem Stand sind: Falls dies nicht möglich ist, empfiehlt sich die Nutzung von Host-basierter Intrusion Prevention, um „virtuelles Patchen“ von Systemen durchzuführen und einen Schutz gegen Zero-Day-Exploits zu haben.
  • Wird eine nicht gepatchte Schwachstelle entdeckt, so sollten Anwender den Empfehlungen der Anbieter folgen, um so schnell wie möglich die Risiken zu minimieren.
  • Verschlüsselung von wichtigen persönlichen Daten und geistigem Eigentum auf Dateiebene hilft, denn auch wenn diese Informationen gestohlen werden, so ist ihr Wert für den Dieb doch minimal.
  • Es empfiehlt sich die Einführung von Data Leakage Prevention Technologie, denn sie erkennt und stoppt das Ausführen von kritischen Inhalten aus dem Netzwerk.
  • Überdenken des Sicherheitsmodells von einem Von-außen-nach-innen-Ansatz zu einem der von innen nach außen geht – sichere Daten, sichere Zugriffsrechte, sichere Anwendungen. Der Perimeter existiert lediglich auf einem Netzwerkdiagramm.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*