Der bekannte und beliebte File-Sharing-Service von Dropbox will den Menschen vieles bieten. Von Spieldatensicherungen über Einstellungen bis hin zu jeglichen anderen persönlichen Daten wie Bildern oder Musik, über Dropbox ist einfach alles teilbar.

Aber als Dropbox CEO Drew Houston vergangene Woche verkündete, dass das Unternehmen in Zukunft die hauseigene Festplatte ersetzen soll, war wohl noch nicht klar, dass chinesische Hacker dieser Ansage so schnell Folge leisten sollten. Die Comment Crew, das gleiche chinesische Internetspionageteam, welches hinter der letzten Attacke auf Server der New York Times vermutet wird, nutzte die Onlineplattform Dropbox, um ihre Schadsoftware zu verbreiten.

Ganz simpel registrierten sich die Hacker für einen eigenen Dropbox-Account, luden den bösartigen Inhalt hoch und teilten diesen öffentlich mit gezielt ausgesuchten Usern. Für die Hacker und Verbreiter verschiedenster Schadprogramme gibt Dropbox ein sehr attraktives Ziel ab, da die Plattform weitflächig im Internet genutzt und auch üblicherweise nicht von IT-Sicherheitsfirmen geblockt wird.

„Die Angreifer konnten sich hinter der vertrauten Marke Dropbox verstecken, wodurch sich die Glaubwürdigkeit und auch die Wahrscheinlichkeit vergrößerte, dass sich die Schadsoftware durch die Interaktion der Opfer verbreitete“,

so der Cyber Squared Blog.

Wenn eine Datei bei Dropbox öffentlich geteilt wird, bekommen die betreffenden Personen E-Mails mit einem Link auf die Datei. Im Fall der Attacke des chinesischen Hackerteams war der Inhalt ein infiziertes Word-Dokument. Darin ging es um die kommerziellen Beziehungen zwischen den USA und den zehn Mitgliedern der ASEAN (Verband Südostasiatischer Nationen).

Eingebaut in dieses Dokument wurde eine PDF-Datei zum vermeintlich gleichen Thema. Allerdings nutzte diese Datei eine Lücke im Adobe-Flash-Player aus. Die Schadsoftware kopierte sich selbst auf die Festplatte des betroffenen Users, holte sich dann Informationen des WorldPress Blog, wo augenscheinlich langweilige Zitate von asiatischen Handelsstatistiken auftauchten.

Zwischen den Zeilen verbargen sich jedoch Zeilenreihen, die auf den ersten Blick dekorativer Natur sind: z.B. „@@@@@@207.86.128.60@@@@@@“ oder „######443######“. Die erste Zeile beinhaltet eine Internet-Protokoll-Adresse, die zweite den dazugehörigen Port, den der Computer nutzt.

Danach bekommt die Schadsoftware weitere Instruktionen der Hacker. Allerdings warteten die Experten vom Cyber Squared Blog nicht ab, was nach diesen Instruktionen geschehen würde, um ihr eigenes System zu schützen. Schon vorher berichteten verschiedene Internetseiten von massiven Störungen in Netzwerken von Organisationen, Diebstahl von geistigem Eigentum oder anderen Daten und Installationen von Spionagesoftware.

Artikel von darkreading.com, 10.07.2013: Dropbox, WordPress Used As Cloud Cover In New APT Attacks
Artikel von nbcnews.com, 15.07.2013: Dropbox used by Chinese hackers to spread malware