Hackerangriffe / Spionagenetzwerk

Mit “Ghostnet” ist ein riesiges Spionagenetzwerk entdeckt worden, das scheinbar gezielt eine Vielzahl von Rechnern, die sich in Ministerien, Botschaften, internationalen Institutionen etc. befinden, kompromittiert hat.

Aus Sicht des IT-Sicherheitseinsteigers ist insbesondere die jetzt anhand von Belegen nachvollziehbare Erkenntnis wertvoll, dass es sich bei derartigen Angriffsszenarien offensichtlich nicht um irgendwelche Hirngespinste von paranoiden Sicherheitsfreaks handelt, sondern um ein nicht unübliches Vorgehen krimineller? Organisationenen. Für den großen Maßstab solcher Computerübernahmen spricht zum einen, dass es sich um ein komplettes, automatisiertes Spionagenetzwerk handelt, und zum anderen, dass gezielt Rechner übernommen werden konnten.

Eingeleitet wurde die Übernahme der Zielrechner unter anderem durch, wie könnte es anders sein, Email-Anhänge oder in Emails verschickten Links zu Schadsoftware, die die Fernsteuerung des Rechners ermöglichte.

Nicht verwunderlich ist die Nutzung der übernommenen Rechner zur Raumüberwachung bei installierten Audio (Mikrofon) und Video (Kamera) Komponenten – auch wenn das Hauptaugenmerk sicher auf dem Durchsuchen des Rechners (Dateisystem) und dem “Abhören” des e-Mail-Verkehrs liegen dürfte.

Auch wenn es auf den ersten Blick erstaunlich erscheint, dass eine so große Zahl von Rechnern in sicherheitskritischen Umgebungen (die Presse spricht von ca. 1300 komprimitierten Systemen weltweit),  ist dies durchaus nachvollziehbar, wenn man sich überlegt, wie schwer es ist, sich wirkungsvoll gegen diese Art von Angriff zu schützen. Geht man davon aus, dass es sich bei der den entsprechenden Stellen untergejubelten Schadsoftware um spezifische Sonderanpassungen handelt, greift schon einmal kein Virenscanner, da diesem die notwendigen Erkennungsmuster fehlen. Berücksichtigt man dazu noch, dass in vielen Fällen die Nutzer, die auf einen solchen perfiden Link klicken entweder unabsichtlich die Infektion ihres Computers zulassen, weil sie mit einem User-Account arbeiten, der die Installation von Software erlaubt, oder absichtlich die Installation erlauben, da sie der Meinung sind, ein “sinnvolles” Programm zu installieren (Stichwort Trojaner), wundert es eher, dass nicht noch viel mehr Rechner auf diese Weise kompromittiert wurden.