Ein McAffee-Mitarbeiter betonte, wie es auch schon Google und Adobe taten, die äußerst professionelle Ausführung des Angriffs. Nach neusten Erkenntnissen sei der schadhafte Code über Adobes PDF-Reader, gehackte Websites, aber auch durch eine Lücke im Internet Explorer in die zu attackierenden Netzwerke eingeschleust worden. Obendrein wurde eine Vielzahl von Programmen verwendet, um die Aktivitäten auf diversen Levels der Netzwerke zu verschleiern.

“The encryption was highly successful in obfuscating the attack and avoiding common detection methods,” he said. “We haven’t seen encryption at this level. It was highly sophisticated.”

Adobe hat die Sicherheitslücke im Adobe Reader inzwischen übrigens geschlossen.

Im Code eines der eingeschleusten Programme fanden McAffee-Mitarbeiter Hinweise darauf, dass die Hacker ihr Unternehmen “Operation Aurora” (“Aurora” @ Wikipedia) getauft hatten. Dmitri Alperovitch von McAffee ging im Gespräch mit Threat Level nicht ins Detail welche weiteren Firmen attackiert worden sind, bemerkte aber, dass die Hacker an “important intellectual property” gelangt seien. Die Attacken haben des Weiteren am 15. Dezember oder früher angefangen, und am 4. Januar geendet. Dieses Zeitfenster sei aufgrund der reduzierten Personaldecke in dieser Zeit gewählt worden, so Alperovitch weiter.

McAffee verfügt über mehr als die nun bekannt gegebenen Informationen und arbeitet daran, diese veröffentlichen zu können. Die Firma steht im Dialog mit diversen US-Behörden, es sei sogar eine Anhörung im Kongress möglich.

Die Aufarbeitung
Interessant wird sein, wie lange es dauert bis alle Details bekannt sind, und wie stark der Ablauf der Attacke am Ende nachvollzogen werden kann. Meine schadenfreudige und OpenSource-affine Seite freut sich jedoch schon mal, dass Microsoft die Quittung für “die Sicherheitslücke Internet Explorer” bekommt.

Bild von dannysullivan, genutzt unter CC-Lizenz

Wie Google auf dem firmeneigenen Blog bekannt gibt, hat Mitte Dezember eine “highly sophisticated” Attacke mit chinesischer Herkunft auf das firmeneigene System stattgefunden.

Das Besondere sei die Stoßrichtung gewesen, sowie das Format des Angriffs: Gerichtet war die Attacke auf die Google-Mail-Accounts chinesischer Menschenrechtsaktivisten, und es sind laut Google noch mindestens 20 weitere große Unternehmen diverser Branchen attackiert worden.

Der Angriff auf Google habe lediglich bei zwei Accounts zum Erfolg geführt, erläutert Google weiter. Jedoch habe man festgestellt, dass durch gestohlene (z.B. per Phishing) Nutzerdaten diverse GMail-Accounts regelmäßig von Dritten infiltriert wurden. Diese Accounts gehörten ebenfalls Kritikern des chinesischen Regimes.

Google betreibt seit 2006 Google.cn und zensiert hierbei Suchergebnisse. Die aktuellen Geschehnisse will man nun laut Blogeintrag zum Anlass nehmen, das Engagement zu überdenken. Die Vorstellungen Googles reichen von einem unzensierten Suchdienst bis dahin, sich evtl. vollends aus China zu verabschieden.

Was passiert da?
Die Kategorie dieser Geschehnisse ist wahrscheinlich kaum ein-, jedoch auch kaum zu überschätzen. netzpolitik.org – war natürlich wieder viel schneller als wir – und meint:

vielleicht sehen wir gerade die erste große Auseinandersetzung zwischen einem Multinationalen (sic!) Konzern und einem Staat in Form eines Handelskrieges

verweist aber auch auf eine mögliche PR-Sackgasse Googles, für deren Lösung die Reaktion auf diesen Vorfall genutzt wird:

Google hatte in den letzten Jahren das eigene China-Engagement immer etwas herunter gespielt, mit den Behörden kollaboriert und dabei fleissig erzählt, dass man mit dieser Strategie doch wunderbar Menschenrechte durchsetzen könnte. [...] Ganz im Gegenteil, damit hat man sich zu Kollaborateuren in der Netzzensur und der Unterdrückung von Menschenrechten gemacht.

Der Rattenschwanz
Was ich mich besonders dringend frage: Was ist mit den von Google angeführten 20 weiteren Unternehmen? (Adobe scheint eines zu sein, siehe unten)
Datenlecks werden normaler Weise gerne verschwiegen, wer posaunt schon gerne den Verlust von Nutzerdaten aus? Doch da der Angriff eine besondere Größe gehabt zu haben scheint, ist doch die Frage wer denn so bezüglich welcher Daten gehackt wurde.

Wurden zu den GMail-Fächern auch die passenden Überweisungen gesucht? Oder die Amazon-Bestellungen? Jedoch scheint die Attacke überhaupt nicht auf Googles Firmengeheimnisse gerichtet gewesen zu sein, wie wired.com unter Berufung auf einen Insider berichtet. Das im Google Blog erwähnte, gestohlene “intellectual property” sei nur hilfreich gewesen, um in Mailaccounts einzubrechen.

The source familiar with the investigation into the Google hack told Threat Level that the intellectual property the hackers obtained from Google was not data that would give them a business advantage over the company but data that would help the hackers gain access to the activist accounts.

Plus: Was machen die amerikanischen Behörden? Vermutlich mehrheitlich amerikanische Unternehmen wurden “aus China” immerhin elektronisch attackiert, tendenziell um Zensur und Unterdrückung aufrecht zu erhalten. Ich möchte mich hier nicht zu weit aus dem Fenster lehnen, aber in welche Richtung und ob demnächst “Druck ausgeübt” wird, wird sehr spannend. Wirtschaftliche Interessen gilt es abzuwägen, und hier steht China wie gewohnt nicht schlecht da.

Die James-Bond-Variante
Interessant wäre auch die Variante, dass russische Hacker die Attacke durchgeführt haben. Fix über ein 56K-Modem in China geleitet um nicht den schwarzen Peter zu haben, aber den USA nach dem Kalten Krieg doch noch mal zu zeigen wo der Hammer hängt. Unwahrscheinlich, aber immerhin einen Schmunzler wert ;-)



Links & Updates

Fürs Protokoll: um 0404 Uhr haben Zeit, FAZ und Handelsblatt noch keine Meldung online; SpOn überrascht positiv: Google überdenkt nach Hacker-Angriff sein China-Geschäft

Spreeblick: Google erwägt Rückzug aus China (Update)

TechCrunch schreibt auch über die Angriffe. Interessanter Auszug:

In light of the attacks, and after attempts by the Chinese government to further restrict free speech on the web, Google has decided it will deploy a fully uncensored version of its search engine in China.

Update 16 Uhr (jetzt übersetzt):
Google scheint Google.cn zurzei zumindest weniger zu zensieren, wie bei netzpolitik.org in den Kommentaren debattiert wird.

Wired.com: Google to Stop Censoring Search Results in China After Hack Attack mit interessanten weiteren Infos:
So äußert sich ein Google-Eingeweihter dahingehend, dass Google im die Sicherheit seiner Mitarbeiter in China besorgt sei. Sie seien in der Vergangenheit häufig verhört worden, und diesmal sei das Risiko hoch, dass sie verhaftet würden.
Vor allem enthält der Artikel auch die Information, dass Adobe am 2. Januar festgestellt hat, Opfer einer (ebenfalls “sophisticated”) Attacke gewesen zu sein. Adobe erwähnte ebenfalls, dass weitere Firmen attackiert wurden.

Update 17:30 Uhr:
Ein neuer Eintrag auf dem wired-Blog “Threat Level” enthält weitere Details zum Angriff: Google Hackers Targeted Source Code of More Than 30 Companies
Laut einer Sprecherin von “iDefense” hätten sich die Attackierenden eine Sicherheitslücke im Adobe Reader zunutze gemacht, und statt der bisherigen Zahl von ca. 20 seien über 30 Unternehmen angegriffen worden.
Das Ziel sei es laut “iDefense” gewesen, den Quellcode der attackierten Unternehmen, so auch Google, zu stehlen. Adobe hat am 2. Januar entdeckt, dass es attackiert worden sei. Dennoch ist es durchaus möglich und wahrscheinlich, dass es sich um den gleichen Angriff wie die auf Google handelte.
“iDefense” ist eine Tochter des Unternehmens “VeriSign”, welches die .com- und .net-Domains betreibt.

Laut der Quelle bei und der Verlautbarungen iDefenses rückt der Aspekt der Ausspähung von China-Regimekritikern etwas in den Hintergrund; Quellcode-Diebstahl bei diversen Unternehmen lässt einen auf beabsichtigte (und anscheinend erfolgreiche) Industriespionage schließen.