Aurora: Angriff mit IE-Exploit aus China auf Google und den Rest der Welt

Wenn sich chinesische Regierungshacker einmal eingenistet haben, sind sie bei der Auswahl der Malware, die sie auf den ausspionierten Rechner laden, nicht gerade zimperlich. Erst im April 2009 machte die chinesische Regierung von sich reden, als sie mit Ghostnet das Büro des Dalai Lama ausspionierte. Dabei aktivierte die Malware kurzerhand das Mikrofon auf den Laptops der Mitarbeiter des Dalai Lama und sandte alles an einen sogenannten Command-and-Control-Server.

Setzt man bei der Datenübertragung die frei verfügbare GSM-Kompression ein, lässt sich die Umgebung eines Laptops mit 9600 Bit/s belauschen. Das sind nur 7,5 Prozent der Bandbreite eines gewöhnlichen Internetradios. Eine solche Übertragung fällt wegen des geringen Datenvolumens kaum auf.

Das Munk Centre for International Studies der Universität von Toronto, das der Dalai Lama eingeschaltet hatte, konnte seinerzeit herausfinden, dass darüber hinaus mindestens 397 Rechner in Regierungsstellen von 105 Ländern von Ghostnet mit Spyware verseucht wurden.

Softwarehersteller und BSI schauen machtlos zu

Wenn McAfee CTO George Kurtz einen Wendepunkt in der Cyberkriminalität sieht, ist diese Feststellung sicherlich berechtigt. Kriminelle Angriffe durch einen Staat, der Wissen von Technologiefirmen, Banken und Regierungen erwerben will, haben ganz andere Dimensionen als eine Jagd nach Kreditkartendaten.

Auch die Schäden durch finanziellen Betrug sind erheblich. Wenn ein fremder Staat sich allerdings widerrechtlich technologisches Wissen verschafft, sind die Folgen nachhaltiger. Wenn in China Autos gebaut werden, die europäischen Modellen wie ein Ei dem anderen gleichen, und sogar ein chinesischer Transrapid in der Entwicklung ist, dann werden amerikanische und europäische Technologieinvestitionen in China monetarisiert.

Gegen solche Angriffe ist man derzeit grundsätzlich faktisch machtlos. Die „Operation Aurora“ zeigt, mit welcher Professionalität China vorgeht. Eine wirkliche Hilfe bieten weder die Softwarehersteller noch Regierungsstellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Microsoft empfiehlt vor allem, die Datenausführungsverhinderung (DEP) einzuschalten. Sinnvoll ist das nur, wenn man die DEP nicht nur in der Opt-In-Konfiguration nutzt, wie es standardmäßig der Fall ist, sondern die Opt-Out-Konfiguration einsetzt, so dass allen Programmen verboten wird, als Daten gekennzeichnete Speicherbereiche auszuführen. Das BSI empfiehlt wie sein französisches Pendant CERTA, den Internet Explorer nicht mehr zu benutzen, bis ein Patch verfügbar ist.

Gegen den aktuellen Angriff helfen diese Maßnahmen tatsächlich. Auch Technologien wie Address Space Layout Randomization (ASLR), die in neueren Windows-Version implementiert sind, erschweren Angriffe nach dem Muster der Operation Aurora erheblich. Weniger sinnvoll sind Sandbox-Technologien, wie sie neuere Browser beherrschen. Um etwa das Mikrofon eines Laptops zu aktivieren, reicht ein Browser mit aktivierten Sandbox-Technologien, etwa der Internet Explorer Protected Mode.

Themenseiten: Big Data, Datendiebstahl, Datenschutz, Hacker, Internet Explorer, Privacy, Security-Analysen, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

9 Kommentare zu Aurora: Angriff mit IE-Exploit aus China auf Google und den Rest der Welt

Kommentar hinzufügen
  • Am 19. Januar 2010 um 18:22 von Mogelix

    Unerfahrenheit vieler Anwender
    >> … "In der Regel reicht es aus, die Unerfahrenheit vieler Anwender auszunutzen."

    Firmen, die mit sensiblen Daten arbeiten, haben ‚in der Regel‘ keine unerfahrenen Anwender.

    Ansonsten ein guter Artikel, vieln Dank!

    • Am 19. Januar 2010 um 21:54 von WP

      AW: Unerfahrenheit vieler Anwender
      DA wäre ich mir nicht so sicher. Jede Wirtschaftsprüfungsgesellschaft verarbeitet extrem vertrauliche Daten … das heißt aber noch lange nicht, daß dort nur IT-Profis rumlaufen, die nicht auch ein Plugin installieren würden. :-(

    • Am 27. Januar 2010 um 12:31 von schulte

      AW: Unerfahrenheit vieler Anwender
      Da muss ich WP leider beipflichten.
      Nach meiner Erfahrung (30 Jahre IT) wird IT-Sicherheit in nur sehr wenigen Firmen konsequent durchgezogen.
      Ich habe es immer wieder erlebt, dass Mitarbeiter ihre eigenen Notebooks mitgebracht haben oder dass der Admin zugab, dass es einige Geräte im Netzwerk gibt, die zwar per DHCP eine IP haben, die er aber nicht kennt oder weiß, wo die stehen.

      IMHO gehen zu viele Admins den einfachen Weg. Je weniger die Mitarbeiter Helpdesk anrufen, desto bequemer.
      Dass mancher Sicherheitsbeauftragter als persönlich haftend mit einem Bein im Gefängnis steht ist den wenigsten klar.

      Dies wird auch dadurch unterstützt, dass diesbezügliche Sicherheitsrichtlinien nicht kommuniziert werden oder mit Kunden Teilvereinbarungen getroffen werden, die weder von der IT-Compliance noch von den technischen Möglichkeiten des Unternehmens gedeckt werden.

      Beste Grüße

      schulte

  • Am 19. Januar 2010 um 19:03 von Knud Hanssen

    Vielen Dank
    Als technischer Laie ist es schwer die vielen Fachbegriffe zu verarbeiten. Vielen Dank für die aiufklärende und einfach Sprache dieses sehr komplex und erscheinenenden und garantiert bedrohlichen Sachverhaltes.

  • Am 19. Januar 2010 um 21:33 von Jojoman

    Exzellenter Artikel
    Ein exzellenter Artikel, der auch die leeren Sicherheitsversprechen vieler Hersteller von Anti-Malware-Tools offenlegt.

    Weiter so!

  • Am 19. Januar 2010 um 22:19 von M

    Klasse Artikel!
    Vielen Dank für diesen extrem Interessanten Artikel! Wenn man über das alles mal genauer nachdenkt, bekomme ich richtig Bauchschmerzen. Die Chinesen erhaken sich quasi Know-How und Staatsgeheimnisse und alle sind dagegen vollkommen machtlos! Vor allem ist das für einen Security Hersteller wie Symantec ein Armutszeugnis. Die fangen sich Chinesische Malware ein, ohne es zu bemerken ;(

  • Am 20. Januar 2010 um 16:19 von derdiedas

    Wirklich gut gemacht
    werde doch noch zum zdnet leser – hier scheint die qualität zu stimmen :-)

  • Am 15. April 2010 um 0:11 von Daniel

    Interessant zu lesen
    und vorallem öffnet es einem Teil die Augen. Doch die wirklichen Entscheidungsträger erreichen solche Meldungen nicht bzw. zu spät.
    Klar kann ich verstehen, das es in großen Unternehmen schwierig ist, Sicherheitsrichtlinien und Schutzmechanismen bis in die kleinste Provinzniederlassung zu tragen. Ich bin mir aber ziemlich sicher. Wenn nicht jeder sein eigenes Süppchen kochen würde und es gewisse Standards geben würde, dann hätten wir einige Probleme weniger. Und wenn Microsoft sich zu verschiedenen Themen etwas öffnen würde, dann erst recht.
    Den Usern ist es nicht zu verübeln. Woher sollen Sie wissen, welche Bits und Bytes gut und böse sind? Kennen doch die wenigsten die Tiefen Ihres Betriebssystems, welches oftmals mit „W“ beginnt und mit „s“ endet. Assistenten übernehmen doch viele Konfigurationen und denken nicht an Ecken, an die findige Programmierer denken.

    In diesem Sinne. Jeder ist seines Glückes Schmied. Der beste Schutz ist offline bleiben und mit niemanden reden. ;)

  • Am 5. Juli 2010 um 14:04 von Quark

    Quark
    „Dass hinter dem Angriff die chinesische Regierung steckt, bezweifelt inzwischen niemand mehr. Sowohl Google als auch iDefense, eine Tochter von Verisign, haben die Ausgangs-IP-Adressen rückverfolgen können. Hinzu kommt, dass bei ausschließlichem Interesse an Wirtschaftsspionage nicht davon auszugehen ist, dass sich der Angreifer ausgerechnet für die Googlemail-Konten zweier Menschenrechtler in China näher interessiert. “

    Klar, nach einer George W. Bush – Logik ist es damit bewiesen… So exzellent die Entwickler auch sein mögen, dass man ihre IP’s rückverfolgen würde, sind sie natürlich nicht gekommen. Ich frage mich auch, woher Google weiß, welche Googlemail-Konten welchen Menschenrechtlern gehören.

    Ich sage nicht, dass es nicht die chinesische Regierung sein könnte… aber an Beweisen dafür findet sich hier nur jede Menge Quark.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *