Aurora: Angriff mit IE-Exploit aus China auf Google und den Rest der Welt

Wenn sich chinesische Regierungshacker einmal eingenistet haben, sind sie bei der Auswahl der Malware, die sie auf den ausspionierten Rechner laden, nicht gerade zimperlich. Erst im April 2009 machte die chinesische Regierung von sich reden, als sie mit Ghostnet das Büro des Dalai Lama ausspionierte. Dabei aktivierte die Malware kurzerhand das Mikrofon auf den Laptops der Mitarbeiter des Dalai Lama und sandte alles an einen sogenannten Command-and-Control-Server.

Setzt man bei der Datenübertragung die frei verfügbare GSM-Kompression ein, lässt sich die Umgebung eines Laptops mit 9600 Bit/s belauschen. Das sind nur 7,5 Prozent der Bandbreite eines gewöhnlichen Internetradios. Eine solche Übertragung fällt wegen des geringen Datenvolumens kaum auf.

Das Munk Centre for International Studies der Universität von Toronto, das der Dalai Lama eingeschaltet hatte, konnte seinerzeit herausfinden, dass darüber hinaus mindestens 397 Rechner in Regierungsstellen von 105 Ländern von Ghostnet mit Spyware verseucht wurden.

Softwarehersteller und BSI schauen machtlos zu

Wenn McAfee CTO George Kurtz einen Wendepunkt in der Cyberkriminalität sieht, ist diese Feststellung sicherlich berechtigt. Kriminelle Angriffe durch einen Staat, der Wissen von Technologiefirmen, Banken und Regierungen erwerben will, haben ganz andere Dimensionen als eine Jagd nach Kreditkartendaten.

Auch die Schäden durch finanziellen Betrug sind erheblich. Wenn ein fremder Staat sich allerdings widerrechtlich technologisches Wissen verschafft, sind die Folgen nachhaltiger. Wenn in China Autos gebaut werden, die europäischen Modellen wie ein Ei dem anderen gleichen, und sogar ein chinesischer Transrapid in der Entwicklung ist, dann werden amerikanische und europäische Technologieinvestitionen in China monetarisiert.

Gegen solche Angriffe ist man derzeit grundsätzlich faktisch machtlos. Die „Operation Aurora“ zeigt, mit welcher Professionalität China vorgeht. Eine wirkliche Hilfe bieten weder die Softwarehersteller noch Regierungsstellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Microsoft empfiehlt vor allem, die Datenausführungsverhinderung (DEP) einzuschalten. Sinnvoll ist das nur, wenn man die DEP nicht nur in der Opt-In-Konfiguration nutzt, wie es standardmäßig der Fall ist, sondern die Opt-Out-Konfiguration einsetzt, so dass allen Programmen verboten wird, als Daten gekennzeichnete Speicherbereiche auszuführen. Das BSI empfiehlt wie sein französisches Pendant CERTA, den Internet Explorer nicht mehr zu benutzen, bis ein Patch verfügbar ist.

Gegen den aktuellen Angriff helfen diese Maßnahmen tatsächlich. Auch Technologien wie Address Space Layout Randomization (ASLR), die in neueren Windows-Version implementiert sind, erschweren Angriffe nach dem Muster der Operation Aurora erheblich. Weniger sinnvoll sind Sandbox-Technologien, wie sie neuere Browser beherrschen. Um etwa das Mikrofon eines Laptops zu aktivieren, reicht ein Browser mit aktivierten Sandbox-Technologien, etwa der Internet Explorer Protected Mode.