Inhaltsverzeichnis
Internetsicherheit – gefährliche Cyberattacke wurde von einem Microsoft-Mitarbeiter vereitelt
Manchmal sind es die unscheinbaren Aktionen, die eine Katastrophe verhindern. So wurde auch diese Woche die möglicherweise größte Cyberattacke durch einen Zufall in ihren Anfängen vereitelt. Ein Freiwilliger, irritiert von einem merkwürdigen Fehler, griff ein. Es sei eine Verkettung glücklicher Umstände gewesen, meinte Andres Freund, als er seine Entdeckung erstmals über den Kurznachrichtendienst Mastodon veröffentlichte. Obwohl der in den USA für Microsoft als Software-Entwickler tätige Deutsche sich hauptberuflich nicht mit IT-Sicherheit auseinandersetzt, stieß er dennoch auf eine Schwachstelle. Diese hätte das Potential besessen, dem Internet insgesamt enormen Schaden zuzufügen.
Was Sie über den Ablauf der Geschehnisse wissen sollten, erfahren Sie in diesem Blogbeitrag.
Wie Andres Freund auf die Schwachstelle stieß
In einem Gespräch mit der “New York Times” schilderte Freund seinen Zufallsfund. Nach einem Besuch bei seinen Eltern und auf dem Rückflug nach Kalifornien bemerkte er während Routineüberprüfungen eines seiner Softwareprojekte einige ungewöhnliche Fehlermeldungen. Aufgrund seiner Müdigkeit und weil er die Meldungen als nicht eilig einstufte, schenkte er ihnen zunächst keine weitere Beachtung. Erst Wochen später, als die Erinnerung an diese Fehler unverhofft zurückkehrte, ging er der Sache nach.
Der Zufall spielte erneut eine Rolle, als er bemerkte, dass die Software SSH den Rechner ungewöhnlich stark belastete. SSH ist ein wesentliches Protokoll für das Fernzugriff auf Computer und Server und somit eine tragende Säule der Internet-Infrastruktur. Bei näherer Untersuchung führten ihn die Spuren zu xz Utils, einer kleinen Hilfssoftware. Die inzwischen in Vergessenheit geratenen Fehlermeldungen fielen ihm wieder ein, woraufhin er der Sache intensiver nachging. Seine Recherche in der neuesten Version der Software enthüllte schädlichen Code, der eine schwer zu findende Hintertür öffnete, die wiederum Millionen von Computern und Servern zugänglich machen könnte.
Vermutungen – unter Umständen staatlich unterstützte Cyberattacke
Die Identität der Person, die die Hintertür implementiert hat, ist Gegenstand laufender Untersuchungen. Expertenmeinungen zufolge weisen die Komplexität der Vorgehensweise und das erforderliche Fachwissen darauf hin, dass es sich bei den Tätern um hochqualifizierte Fachkräfte handelt, möglicherweise sogar um Akteure im Auftrag einer Regierung. Der einzige Anhaltspunkt im Code ist der Benutzername “Jia Tan”, was Spekulationen über eine Verbindung nach China aufkommen lässt, obwohl die Wahrscheinlichkeit, dass es sich um einen echten Namen handelt, sehr gering ist.
Die Vermutung, dass staatlich unterstützte Hacker involviert sein könnten, ergibt sich auch aus der Durchführung des Angriffs. Die Sicherheitslücke wurde nicht nur geschickt implementiert, sondern auch effektiv versteckt. Die Vorbereitungen für den Angriff scheinen über Jahre hinweg stattgefunden zu haben: xz Utils, ein Werkzeug, das wie viele andere essentielle Bestandteile der Internetinfrastruktur von Freiwilligen unter einem Vertrauensprinzip verwaltet wird, steht im Zentrum der Untersuchungen. Obwohl grundsätzlich jeder Verbesserungsvorschläge einreichen kann, liegt die tatsächliche Umsetzung in den Händen von vertrauenswürdigen “Maintainern”. “Jia Tan” war bereits seit Jahren an der Entwicklung der Software beteiligt und schlug ab Ende 2021 Änderungen vor, baute allmählich Vertrauen auf und stieg zum Maintainer auf. Dies ermöglichte ihm schließlich im Februar, die versteckte Hintertür einzufügen, wie Lasse Colli, ein anderer Maintainer, auf seinem Blog bestätigte.
Laut “Security Boulevard” wurde “Jia Tan” dabei von mehreren anderen Schein-Accounts unterstützt, die seine Vorschläge befürworteten.
Warnungen vom BSI – die Lage war ernst
Das Ausmaß der Bedrohung wird durch eine Mitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Mittwoch unterstrichen: Die Behörde hat die Schwachstelle mit dem höchsten CVSS-Score von 10 eingestuft und als “kritisch” gekennzeichnet. Diese Einstufung deutet darauf hin, dass Angreifer die Möglichkeit haben, die SSH-Authentifizierung zu umgehen, was ihnen unbefugten Zugriff auf fremde Systeme ermöglicht. Das BSI macht darauf aufmerksam, dass aufgrund der weiten Verbreitung des SSH-Daemons auf Linux-Servern und der zunehmenden Nutzung von systemd-Diensten eine große Anzahl von Servern im Internet potenziell gefährdet ist.
Dass die Situation nicht zu einem größeren Schaden geführt hat, ist dem Umstand zu verdanken, dass Freund die Hintertür frühzeitig entdeckte. Bislang haben nur wenige Linux-Distributionen die neueste Version von xz.Utils, in der die Schwachstelle enthalten ist, übernommen; die meisten anderen verteilen Updates bedächtiger. Laut Sicherheitsexperte Will Dormann, der mit “Ars Technica” sprach, hat dies bisher keine realweltlichen Auswirkungen gehabt. Dormann ist der Ansicht, dass die Entdeckung der Hintertür zu einem späteren Zeitpunkt, etwa in einem Jahr oder noch später, verheerende Folgen gehabt hätte. Die unentdeckte Schwachstelle hätte katastrophale Auswirkungen auf die weltweite Cybersicherheit haben können.
Zwar kann eine Antivirensoftware, wie sie von Softwarekaufen24 angeboten wird, die Sicherheit in Firmennetzwerken und auf dem heimischen Computer deutlich erhöhen, doch hätte der Cyberangriff stattgefunden, wären fatale Folgen unvermeidbar gewesen.