Bei vielen Regierungen läuten die Alarmglocken: Die Spyware Ghostnet nutzt Mikrofon und Webcam von PCs in Ministerien und Botschaften als Spionageinstrument. ZDNet zeigt, wie bereits 103 Länder erfolgreich ausspioniert wurden.
Die Zeiten, in denen Agenten und Spione noch selbst Wanzen und Mini-Cameras bei hochrangigen Staatsdienern anbrachten, sind offensichtlich vorbei, denn in jedem Büro steht heute mindestens ein Laptop. Das eingebaute Mikrofon gehört seit Jahren zur Standardausstattung. Eine Webcam ist nur bei hochwertigeren Modellen eingebaut. Was liegt näher, als fremde Regierungen auf diese Weise auszuspionieren. Hochsensible Dokumente von den Rechnern der Regierungsmitarbeiter gibt es gratis dazu.
Solche Szenarien sind keine Science-Fiction, sondern Realität. Die Software, die man dazu benötigt, heißt "Gh0st RAT". Sie wurde jüngst auf insgesamt 1295 Rechnern in 105 Ländern entdeckt. Davon waren 397 PCs in Regierungsstellen wie Behörden oder Ministerien zu finden.
Dass der Trojaner überhaupt entdeckt wurde, ist Mitarbeitern des Dalai Lama zu verdanken, die sich vor etwa einem Jahr darüber beklagten, dass ihre Computer nicht ordnungsgemäß funktionierten. Für Menschen, die in der IT-Branche tätig sind, mag das noch nicht weiter verdächtig klingen, aber es war dennoch das erste Anzeichen dafür, dass irgendetwas nicht stimmte.
Nachdem anfangs die IT-Mitarbeiter der Tibetischen Exilregierung versucht hatten, den Problemen auf die Schliche zu kommen, wurde schließlich das Information-Warfare-Monitor-Konsortium (IWM) zur Hilfe gerufen. Die IWM-Spezialisten fanden schnell heraus, dass mehrere Computer tatsächlich mit Gh0st RAT infiziert waren, einem Abkömmling des berühmten Trojaners "Poison Ivy".
Das IWM ist eine angesehene Organisation, die sich aus Wissenschaftlern der SecDev Group[1] und des Citizen Lab[2] am Munk Center for International Studies[3] der Universität von Toronto zusammensetzt. Die Kompetenzen der Organisation erklären, warum sich die Tibetische Regierung an das IWM gewandt hat:
- Operative Fallstudien bestehen aus aktiven operativen Untersuchungen durch eine disziplinübergreifende Zusammenführung von Informationen, die durch moderne Netzwerküberwachungs-/Visualisierungsverfahren gewonnen werden.
- Analytische Produkte generieren Fallstudiendaten, welche die strategische Bedeutung des Cyberspace veranschaulichen und die Möglichkeiten, Herausforderungen und Gefahren darstellen, die mit einer Militarisierung des Cyberspace einhergehen – einschließlich der durch Drittakteure verursachten Konsequenzen.
Die Tibetische Exilregierung beauftragte das IWM, da sie Cyber-Spionage-Attacken auf ihre Computer vermutete. Man stellte dabei nicht nur fest, dass es Spionageangriffe gegeben hatte, sondern noch weitaus mehr.
Zunächst galt es festzustellen, wie der Trojaner auf die Rechner gelangen konnte. Die IWM-Wissenschaftler fanden schließlich heraus, dass das Öffnen eines Dateianhangs, der Schadsoftware enthielt, der Auslöser für die Infizierung war. Welches Dropper-Programm hierfür verwendet wurde, ist der Redaktion allerdings unbekannt. Aber das spielt eigentlich auch gar keine Rolle, da das Ziel darin bestand, GhOst RAT erfolgreich auf dem anvisierten Rechner zu installieren.
Im Untersuchungsbericht heißt es dazu: "Nur 11 der 34 Antiviren-Programme von Virus Total[4] erkannten die im Dokument enthaltene Schadsoftware. Angreifer verwenden zur Verschleierung ihrer Malware häufig ausführbare Packer, damit sie nicht von Antiviren-Programmen erkannt wird."
Doch infizierte E-Mail-Anhänge sind eigentlich weithin als eine beliebte Angriffsmethode bekannt – man sollte meinen, dass davon auch die Tibetische Exilregierung hätte wissen müssen. Nun, das wusste man dort auch. Aber in diesem Fall waren die Angreifer sehr einfallsreich. Sie verwendeten seriös wirkende E-Mail-Adressen, und da die angehängten Dateien Bezeichnungen wie "Translation of Freedom Movement ID Book for Tibetans in Exile.doc" trugen, ließen auch keinen Verdacht aufkommen. Das folgende Beispiel zeigt, wie echt die E-Mails aussahen:
Sobald die Angreifer erst einmal mehrere Rechner infiziert hatten, wurde es für sie noch einfacher, die Mitarbeiter hinters Licht zu führen, da sie nun über authentische Dokumente und Kontaktdaten verfügten: "Sobald ein Rechner von diesem Schädling befallen ist, können Dateien auf dem Computer nach Kontaktdaten durchsucht werden. Zudem lässt sich die Schadsoftware so über E-Mails und angehängte Dokumente weiterverbreiten, da sowohl der Absender als auch die Dokumentnamen vertrauenswürdig scheinen", bemerkt der Bericht des IWM.
Und dann wurde Gh0st RAT ja auch noch unbewusst weiterverbreitet. Da die Anhänge seriös schienen und Gh0st RAT in der Regel keinerlei Einfluss auf den normalen Betrieb eines Rechners hat, haben Mitarbeiter die mit Schadsoftware behafteten Anhänge womöglich unwissentlich an andere Empfänger geschickt und somit die Verbreitung des Trojaners noch beschleunigt. Im IWM-Bericht steht dazu: "Es ist daher möglich, dass ein Großteil der hochrangigen Empfänger, die wir bei unserer GhostNet-Analyse ausgemacht haben, nur rein zufällig infiziert wurde, weil Einzelpersonen zuvor per E-Mail miteinander kommuniziert hatten."
Doch wie kann man gegen Social Engineering vorgehen? Es handelt sich dabei um kein neues Phänomen, und es wird sicher noch länger existieren. Doch das war nicht das einzige Problem, vor dem die Systemadministratoren der Tibetischen Exilregierung standen. Sie mussten sich um die allseits bekannten und beliebten Sicherheitslücken im Betriebssystem kümmern, die ausgenutzt werden konnten. Im Bericht gibt es dazu keine genaueren Informationen, daher ist unklar, ob die Angreifer Zero-Day-Exploits verwendeten, oder ob die Antiviren-Software auf den Rechnern teilweise nicht auf dem neuesten Stand war.
Bei Gh0st RAT beziehungsweise Poison Ivy[5] handelt es sich um ein Remote Administration Tool (RAT), das heißt, im Wesentlichen ist es ein Programm, das wie VNC einen Fernzugriff auf Computer ermöglicht. Der Angreifer kann sich so die nahezu vollständige Kontrolle über das Gerät verschaffen. Poison Ivy/Gh0st RAT ist zu Folgendem in der Lage:
- Man kann Dateien vollständig manipulieren und beliebig hoch- und herunterladen.
- Es ist möglich, in der Registry zu spionieren und Veränderungen vorzunehmen.
- Aktive Dienste können eingesehen, vorübergehend unterbrochen oder deaktiviert werden.
- Netzwerkverbindungen lassen sich beobachten und manipulieren.
- Der Angreifer kann installierte Geräte sehen und deaktivieren.
- Installierte Anwendungen können ausspioniert und deinstalliert werden. Ebenso ist es möglich, installierte Programme aus der Liste verschwinden zu lassen.
Gh0st RAT wurde unlängst überarbeitet und um einige Elemente erweitert, die es zu einem wirkungsvollen Spionageinstrument machen:
- Erstellen von Screenshots
- Bild- und Tonübermittlung and den Angreifer mittels Webcam und Mikrofon
- Ausspionieren von Passwörtern und Passwort-Hashes
- Verwendung von Keyloggern Verbindung mit anderen Geräten, um Informationen zu stehlen
Alles in allem scheint es ein effizientes Remote Administration Tool zu sein. Wen das jedoch noch nicht überzeugt, kann sich auch ein Symantec-Video[6] ansehen, in dem die Funktionen von Gh0st RAT ausführlich erklärt werden.Die Entdeckung des Ghostnet ist das Ergebnis beispielhafter Detektivarbeit und forensischer Analyse. Als die IWM-Wissenschaftler mit ihrer Arbeit an einzelnen mit Gh0st Rat infizierten Rechnern begannen und schließlich auf die Ghostnet-Kontrollserver stießen, wussten sie anfangs nicht, was sie erwarten würde.
In ihrem Bericht schreiben die Forscher: "In dieser Phase konnten wir durch die Analyse der Daten aus dem Büro des Dalai Lama webbasierte Administrationsschnittstellen auf dem Kontrollserver finden und auf diese zugreifen. Diese Server enthalten Links zu anderen Command-and-Control-Servern, so dass wir weitere solcher Server ausfindig machen konnten."
Sobald sie in die Kontrollserver eingedrungen waren, konnten sich die IWM-Wissenschaftler allmählich ein Bild davon machen, wie viele Computer ins Ghostnet eingebunden waren. Der Untersuchungsbericht stellt dazu fest: "Insgesamt fanden wir 1295 infizierte Computer in 103 Ländern. Wir konnten mit Sicherheit 397 der 1295 infizierten Computer (26,7 Prozent) identifizieren und mussten jeden als hochrangiges Ziel einstufen. Das war notwendig, weil sie entweder von großer Bedeutung für die Beziehungen zwischen China und Tibet, Taiwan oder Indien waren oder weil es sich dabei um Computer von Botschaften im Ausland, diplomatischen Missionen, Ministerien oder internationalen Organisationen handelte."
Weiterführende Informationen
Ein Podcast von Jesse Brown (CBC.ca) mit dem Titel Exposing the world’s biggest cyberspy ring[7] gibt weitere interessante Details. Darin interviewt er Mitglieder des IWM-Teams, die direkt an diesem Projekt beteiligt waren. Ebenfalls empfehlenswert ist der offizielle IWM-Bericht Tracking Ghostnet: Investigating a Cyber Espionage Network[8]. Er enthält eine umfangreiche Schilderung des gesamten Untersuchungs- und Ermittlungsverfahrens. Die Zitate in diesem Artikel sind allesamt diesem Bericht entnommen.
Abschließende Gedanken
Man hat das Gefühl, dass sich das Internet allmählich zu einem Kriegsschauplatz entwickelt. Wie verbreitet ist diese Art der elektronischen Spionage? Wer ist davon betroffen? Oder sollte man eher fragen, wer nicht davon betroffen ist? Das Ganze ist eine ziemlich bedrückende Angelegenheit. Aber dennoch machen Organisationen wie der IWM Hoffnung. Durch ihren unermüdlichen Einsatz machen sie das Internet zu einem sichereren Ort.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = https:/
[7] = http:/
[8] = http:/