Auch Hacker arbeiten von neun bis fünf

2,2 Millionen Windows-User haben mit einem Update einer beliebten Software kürzlich eine mysteriöse Schadsoftware erhalten. Nun kommen Ermittler der Sache auf die Spur.

Der CCleaner-Angriff war nicht so harmlos wie gedacht.

Der CCleaner-Angriff war nicht so harmlos wie gedacht. Bild: zei

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Bei den ersten Meldungen zu dem Hacker-Coup schwang Erstaunen mit: Da war es den Spionen gelungen, eine äusserst populäre Software zu infiltrieren und 2,2 Millionen Windows-PCs zu infizieren. Und dann tat die Malware nichts anderes, als belanglose technische Informationen zu sammeln. Die befallene Version des Aufräumprogramms CCleaner interessierte sich für die installierten Programme, die Windows-Version und die Netzwerkkonfiguration. Doch sie stahl keine persönlichen Dokumente und richtete keinerlei Schaden an.

Der Hersteller der betroffenen Software, Piriform, beeilte sich zu betonen, das schnelle Eingreifen habe Schlimmeres verhindert: Man habe die Ermittlungsbehörden alarmiert, und ihnen sei es gelungen, den Command-and-Control-Server vom Netz zu nehmen und zu beschlagnahmen, schrieb das Unternehmen am 18. September in seinem Blog. Solche Server kommunizieren mit der Schadsoftware und ermöglichen es den Hintermännern, weitere Angriffswellen zu starten.

Ende gut, alles gut, weil es die Hacker verpasst hatten, rechtzeitig die nächste Phase ihrer Spionageoffensive einzuläuten? Angesichts der Raffinesse des Angriffs erscheint das unwahrscheinlich. Die Hacker hatten es geschafft, die infiltrierte Version von C-Cleaner mit einer gültigen digitalen Signatur auszustatten. Das Programm wies sich als legitim aus und wurde über die Updatefunktion automatisch an die Nutzer verteilt.

Doch nicht so harmlos

Nach einigen Tagen intensiver Ermittlung ergibt sich ein nicht ganz so harmloses Bild. Nicht nur der Hersteller Piriform und dessen Muttergesellschaft, der tschechische Antivirenhersteller Avast, hatten die Spuren der Kriminellen analysiert, sondern auch unabhängige Experten. Und die haben Anzeichen dafür gefunden, dass die grosse Masse der privaten Nutzer gar nie das Ziel des Angriffs war.

Es ging um eine kleine Anwendergruppe, die auf ihre Privatsphäre bedacht ist: Leute, die ein Programm wie CCleaner einsetzen würden, um sensible Datenspuren auf ihrem PC zu löschen. Weil sie auf die Opfer zugeschnitten ist, nennt man das «Watering hole»-Attacke. Das ist eine Anspielung auf den Löwen, der in der Savanne am Wasserloch lauert, weil die Beute früher oder später dort auftauchen wird.

Die Logdateien des Command-and-Control-Servers verraten den Ermittlern einiges über die «Beute». Die Protokolle belegen auch, dass sehr wohl weitere Angriffswellen stattgefunden haben. Diese fanden aber gezielt statt und wurden dann initiiert, nachdem anhand der Netzwerkkonfiguration ein interessantes Opfer ausgemacht worden war.

Genau 40 Computer in 12 Unternehmen wurden attackiert: An sie lieferten die Hacker eine weitere Schadsoftware aus. Eine «potente Hintertür», wie die Supportsite Bleeping Computer schreibt. Wie die Protokolldaten zeigen, gehören etwa Asus, Samsung, Intel, Fujitsu, Sony, Intel, NEC, O2 und der deutsche Hersteller von Spielautomaten Gauselmann zu den eigentlichen Zielen.

Geregelte Arbeitszeiten

Die Log-Dateien zeigen noch mehr: Die Hacker haben den Command-and-Control-Server mehrfach neu aufgesetzt und über die Zeit wechselnde Unternehmen angegriffen. Und die Aktivitäten auf den Servern lassen keinen Zweifel daran, dass die Kriminellen geregelte Arbeitszeiten hatten. Nach einem Achtstundentag gab es ausreichend Nachtruhe, und an den Wochenenden wurde nicht gehackt. Die Aktivitätsperioden brachten die Ermittler auch dazu, die Urheber im Mittleren Osten, in Zentralasien oder Indien zu vermuten.

Die meisten Experten nennen als Hauptverdächtigen eine chinesische Hackergruppe, die je nach Experte Axiom, APT17, Group 72 oder auch Aurora Panda genannt wird. Auch gewisse Merkmale des Programmcodes der Schadsoftware deuten auf diese Gruppe hin. Allerdings räumt Avast ein, dass sich Serverprotokolle leicht fälschen liessen, wenn falsche Spuren gelegt werden sollen.

Die Sicherheit überdenken

Was genau das Ziel des breit angelegten Angriffs war, bleibt bis jetzt im Dunkeln. Ungewiss ist auch, ob die Angriffe erfolgreich waren. «Wenn die Unternehmen durch Firewalls oder Angriffserkennungssysteme geschützt waren, konnte ein Einbruch und Datendiebstahl womöglich verhindert werden», mutmasst «Ars Technica». Andererseits: Da die zweite Angriffswelle bei 40 Computern von Erfolg gekrönt war, konnten die Angreifer die Verteidigungslinien womöglich durchbrechen.

Beim Fall CCleaner seien die Privatanwender mit einem blauen Auge davongekommen, resümiert «Ars Technica». Den betroffenen Unternehmen bleibt nichts anderes übrig, als die PC neu zu installieren und das digitale Sicherheitsdispositiv zu überdenken. (Tagesanzeiger.ch/Newsnet)

Erstellt: 27.09.2017, 17:51 Uhr

Artikel zum Thema

«Die Kriminellen brauchen Forscher, Entwickler, Geld»

Wer steckt hinter dem Datendiebstahl bei der Ruag? Ein Experte gibt Einblick in die Welt der Cyberkriminellen und Geheimdienste. Mehr...

Der Virenscanner ist selbst ein Risiko

Harsche Kritik an den Sicherheitsprogrammen: Sie seien nicht Teil der Lösung, sondern Teil des Problems. Zeit, sie über Bord zu werfen? Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Newsletter

Der ideale Start in den Tag

Sonntags bis freitags ab 7 Uhr die besten Beiträge aus der Redaktion.
Newsletter «Der Morgen» jetzt abonnieren.

Blogs

Michèle & Friends Endlich Pause

Sweet Home 10 sommerliche Kochtricks

Abo

Abo Digital - 26 CHF im Monat

Den Tages-Anzeiger unbeschränkt digital lesen, inkl. ePaper. Flexibel und jederzeit kündbar.
Jetzt abonnieren!

Die Welt in Bildern

Ganz in weiss: Josephine Skriver posiert vor der Vorführung des Films «Roubaix, une lumière» in Vannes auf dem roten Teppich. (22. Mai 2019)
(Bild: Stephane Mahe) Mehr...