Operation Shady RAT, Spionage eines Staates
Staatlich organisierte Cyber-Angriffe haben Tradition, war es 2006 ein Angriff auf das Militärnetz NIPRNet, ein paar Monate später Angriffe auf das US-Handelsministerium, eine Militärschule oder kürzlich das Abhören von E-Mails von ranghohen US-Personen. China, einer der Hauptakteure, bestreitet regelmäßig seine Beteiligung.
Dmitri Alperovitch, Vizepräsident von McAfee, hat nun einen Bericht veröffentlicht, dass eine seit fünf Jahren groß angelegte Spionageaktion läuft, die noch nicht abgeschlossen ist. Alperovitch verneint die Annahme, dass dies der Höhepunkt einer momentan besonders großen Angriffswelle sei. Der Name: Operation Shady RAT, wobei RAT für Remote Access Tool, also Fernwartungssoftware steht. Man könnte aber auch lesen (engl.) „zwielichtige Ratte“, was der Bedeutung erstaunlich nahe kommt.
Zur Vorgehensweise: Zwei bereits bekannte Trojanischen Pferde, „Generic Downloader.x“ und „Generic BackDoor.t“ werden über E-Mails an bestimmte Personen versendet. Diese Empfänger haben die Zugangsdaten zu besonders sensiblen Bereichen. Somit ist es den Angreifern möglich, über die ungewollte Spionage-Fernwartung auf die Daten zuzugreifen.
Das Ausmaß ist gewaltig. 70 global agierende Unternehmen, Regierungen und auch Non-Profit Organisationen sind betroffen. 13 Unternehmen aus der Verteidigungsbrache finden sich darunter, sowie die Regierung von USA, Canada, Süd Korea, Vietnam, Taiwan, Indien und die Vereinten Nationen in Genf, das Internationale Olympische Komitee (IOC) und die Welt Anti-Doping Agentur. Bei der UNO hätten die Cyber-Einbrecher unbemerkt zwei Jahre lang riesige Datenmengen gesichtet.
„Gut gehütete nationale Geheimnisse (auch von geheimen Regierungsnetzen), Source-Code von Software, Datenbanken, E-Mail-Archive, Verhandlungspläne, Aufschließungspläne von neuen Ölfeldern, Verträge, … und viel mehr ‚ist vom LKW gefallen‘, meistens von westlichen Unternehmen, wo es in den elektronischen Archiven der beharrlichen Feinde verschwunden ist“, so Alperovitch.
China wird in dem Bericht nicht namentlich genannt, jedoch wird es von vielen Drahtziehern verdächtigt. Die verwendeten Hacker-Tools haben chinesischen Ursprung. China hatte 2008 die drei großen Ölgiganten Marathon Oil, ExxonMobil und ConocoPhillips über Cyber-Angriffe infiltiert, ohne dass dies einer verantwortlichen Person aufgefallen wäre. Erst nach einer Intervention vom FBI 2009 wurden Schritte unternommen.
China hat mit allen diesen Staaten sehr angespannte Beziehungen – freundlich ausgedrückt-, bzw. strebt die wirtschaftliche Vorreiterrolle in der aufstrebenden fernöstlichen Region an. Dass China auch Dissitenten per Internet jagt, ist seit 2006 bekannt. Ein deutsches Unternehmen und zwei Schweizer Betriebe sind ebenso Opfer der Spionage. In dem Bericht ist eine Grafik über die zeitlichen Operationen in den Unternehmen/Regierungen aufgeführt, was die Dimensionen verdeutlicht.
„Sogar wir waren überrascht von der ungeheuren Vielfalt der Opfer und entsetzt über die Dreistigkeit der Angreifer“, so Alperovitch.
Artikel von csmonitor.com, 03.08.2011: Massive global cyberattack hits US hard: Who could have done it?
Artikel von spiegel.de, 03.08.2011: Cyber-Attacke „Shady Rat“
Artikel von derstandard.at, 03.08.2011: „Operation Shady RAT“,Größte Serie von Hacker-Angriffen weltweit aufgedeckt
Siehe auch:
Einbruch in das Netzwerk von Rüstungskonzern, Zusammenhang mit RSA-Einbruch möglich
Ein weiterer Kunde von RSA gehackt, ein dritter unklar
Update: Angriffsart von Shady RAT untersucht
Für eine der umfassendsten Cyber-Angriffe, die je ausgeführt wurden, ist nun der Angriff von Symantec genauer untersucht worden. Dabei kam auch Steganographie zum Zug. Hierbei handelt es sich um Dateien (meist Bilder), in denen andere Informationen versteckt sind (hier Malware). Dieses Verfahren versucht, durch das Verstecken der Informationen möglichst verdeckt zu arbeiten. In dem vorliegenden Fall wurde Programmcode in Bildern versteckt. Für einen unbedarften Anwender ist nicht erkenntlich, dass Schadcode verborgen ist.
Ablauf des Angriffs:
- An die Spammail ist eine Datei (MS-Tabellenkalkulation, *.xls) angehängt. Beim Öffnen der Datei wird auf einem ungepatchten Computer erstens die XLS-Datei ohne Schadcode auf dem System abgelegt – um keinen Verdacht zu erregen – und zweitens ein Schadprogramm (Trojaner) ausgeführt.
- Der Trojaner kontaktiert seinen Kommandoserver, von dem er weitere Anweisungen bekommt. Dies erfolgt über HTTP, also über ein Protokoll, das unverfänglich erscheint und in fast allen Unternehmen und Behörden zugelassen ist. Ein Bild wird geladen. In dem Bild ist über Steganographie ein Webclient als weitere Malware versteckt. Der Schadcode ist Base-64 verschlüsselt. Auf dem verseuchten Computer wird die zweite Malware gestartet, die wiederum einen Kommandoserver (über IP und Port) kontaktiert.
- Über diesen weiteren Trojaner erhält der Cyber-Angreifer einen entfernten Zugriff auf den Rechner. Er kann beliebige Kommandos auf dem System ausführen.
Jedoch haben nicht nur die Firmen Defizite, auch sind den Angreifern einige Fehler unterlaufen. So war z. B. deren Kommandoserver nicht ausreichend gesichert, sodass dieser Schwachstellen hatte. Ebenso wurden umfangreiche Logs auf dem Server gespeichert und dies erlaubte die Identifizierung der verseuchten Computer in den Unternehmen.
Artikel von symantec.com, 04.08.2011: The Truth Behind the Shady RAT