Standort: fm4.ORF.at / Meldung: "Gestohlene Sony-Daten als Zeitbombe im Netz"

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

15. 12. 2014 - 19:00

Gestohlene Sony-Daten als Zeitbombe im Netz

Im Medienwirbel um geleakte "James Bond"-Scripts ist die eigentliche Bedrohung untergangen, dass Gigabytes vertraulicher Sony-Daten nun in den Händen Krimineller sind.

Am Samstag wurde die siebente Tranche von internen Daten der Firma Sony im Netz veröffentlicht. Wieder waren es mehrere Gigabyte vertraulicher Informationen, deren Aufarbeitung gerade erst begonnen hat. Doch jetzt schon lässt sich sagen, dass dieser Einbruch einer Organisation namens Guardians of Peace mit keiner der früheren Attacken auf Sony vergleichbar ist. Der große Wirbel um die illegal vorab veröffentlichen Filme und die abfälligen Äußerungen aus dem Topmanagement der Sony-Filmsparte über Stars wie Angelina Jolie haben die tatsächliche Bedrohung für Kunden, Firmenpartner und Sony selbst völlig übertönt.

Angelina Jolie

APA/EPA/DAN HIMBRECHTS

Die Angreifer haben enorme Mengen detaillierter Finanzdaten von Partnerfirmen, Daten von Sony-Mitarbeitern, Kreditkartendaten von Kunden und eine unbekannte Zahl geheimer Schlüssel zur Ausstellung von digitalen Zertifikaten der Firma ins Netz gestellt. Damit wurde nicht eine, sondern eine ganze Serie von Zeitbomben scharf gemacht, denn diese Daten zirkulieren mittlerweile im kriminellen Untergrund des Internets.

Guardians of Peace

Die den Hack begleitenden Texte und Bilder der ominösen Angreifer Guardіans of Peace verweisen zwar einigermaßen plakativ auf einen "Hacktivismus"-Hintergrund. Ausmaß, Effizienz und Ablauf des Datenabgriffs, Zeitdauer der Vorbereitung sowie die Qualität der gestohlenen Daten sprechen hingegen allesamt für einen Angriff durch eine eingespielte, professionelle Organisation.

"Guardians of Peace"

Public

Selfie der Guardians of Peace

Ranghohe FBI-Beamte und die bekannte Sicherheitsfirma Mandiant hatten den Sony-Hack denn auch als "beispiellos" bezeichnet und vor weiteren Angriffen auf Firmen gewarnt. In Ausmaß und zu erwartendem Schaden ist der Angriff tatsächlich einzigartig, strukturell weist er jedoch auffällige Parallelen zu zwei weiteren Attacken der letzten beiden Jahre auf, die sich ebenfalls gegen westliche Firmen richteten.

65 PlayStation-Server

Im Oktober warnte das US-Notfallcenter ICS-CERT vor einer Angriffswelle auf Steuersysteme der Industrie. Dabei wurde dieselbe Art von Schadsoftware eingesetzt wie bei den gegen den NATO-Gipfel gerichteten SandWorm-Attacken. Gleichzeitig gab es eine staatlichen Stellen in China zugeschriebene Welle von Spionageangriffen gegen US-Unternehmen auf.

In keinem Fall eines vergleichbar spektakulären Einbruchs hatten die Zuweisungen an mögliche Urheber so schnell gewechselt wie in diesem Fall. War man anfangs von einem "Hacktivismus"-Angriff nach dem Muster der berüchtigten LulzSec-Hacker von 2011 ausgegangen, so war nach den ersten Daten-"Dumps" über Peer-to-Peer-Netze ("Torrents") von einer Insideraktion die Rede. Die Daten stammen nämlich von völlig verschiedenen Systemen der Firma.

Von der Personalverwaltung angefangen über Kundendaten samt Nummern der Kreditkarten, das E-Mail-System bis hin zu den jüngst geleakten Schlüsseln zur Ausstellung von Zertifikaten der Firma ist in diesen "Datendeponien" Material aus ganz verschiedenen Datenbanken enthalten. Was die Sicherheitsexperten dabei verblüffte, war, dass von Sony Pictures Entertainment gestohlene Daten über eine Batterie von 65 Servern aus dem PlayStation-Network von Sony Computer Entertainment im Netz verteilt wurden. Geschäftlich sind diese Firmen nämlich voneinander getrennt.

Weihnachtskomödie als Terrorakt

Die nächste Schuldzuweisung richtete sich dann an Nordkorea, zumal die von Sony Pictures produzierte Komödie "The Interview" am 24. Dezember in die US-Kinos kommt. Im Zentrum des Plots steht dabei die Ermordung des nordkoreanischen Machthabers Kim Jong Un durch zwei von der CIA gesteuerte Boulevardreporter, die Guardians of Peace selbst wiesen mit einschlägigen Aussagen ebenfalls in diese Richtung.

Eine der Botschaften, die zusammen mit den Datensätzen geleakt wurde, forderte Sony in wenig idіomatischem Englisch auf, "den Film des Terrorismus sofort zu stoppen", weil er den "regionalen Frieden gefährde und 'den' Krieg" auslösen könne. Zudem stammen laut FBI die wichtigsten der bisher identifizierten Angriffsdateien aus dem koreanischen Sprachraum, sie wurden erst kurz vor dem Zeitpunkt des Angriffs in der letzten November-Woche kompiliert.

Im September wurde der NATO-Gipfel über mögliche Sanktionen gegen Russland über eine kapitale Sicherheitslücke in allen Windows-Systemen angegriffen und ausspioniert. Die dabei verwendete Angriffssuite stammte ursprünglich von kriminellen Botnet-Betreibern.

Löschangriffe wieder a la mode

Auch hier gibt es eine Überraschung, denn die "Destover" genannte Malware-Suite enthält auch einen "Wiper", also ein Programm, das die Festplatten der befallenen Rechner nach dem Kopieren und der Exfiltration aller Daten löscht. Das ist sehr ungewöhnlich, denn weder Kriminelle noch Geheimdienste haben in der Regel daran Interesse, die Inhalte gekaperter Rechner zu löschen - ist das Ziel doch, sie unauffällig auszuspionieren.

Screenshot der FBI-Warnung

FBI

"Löschangriffe" kamen deshalb bereits Mitte der 1990er Jahre in der Virenszene aus der Mode. Auch "Ransomware"-Erpresser, die nach dem Muster des berüchtigten BKA-Trojaners vorgehen, löschen keine Festplatten, sondern verschlüsseln sie.

"Schwert der Gerechtigkeit"

Der erste neuere Großangriff, bei dem massenhaft Festplatten gelöscht wurden, datiert erst wieder aus dem Jahr 2012. Die "Shamoon" genannten Attacken richteten sich ebenfalls vor allem gegen ein einziges Unternehmen. Im Firmennetz des saudischen Ölkonzerns Aramco wurden die "Master Boot Records" von 30.000 Festplatten überschrieben, die Geschäftsprozesse von Aramco waren dadurch tagelang weitgehend lahmgelegt.

Auch hier übernahm eine unbekannte Gruppe von "Hackern", die sich Scharfes Schwert der Gerechtigkeit nannte und seitdem nicht wieder in Erscheinung getreten ist, die Verantwortung. Das Ziel des Angriffs war offenbar, aktuell den größtmöglichen Schaden anzurichten, um die Ölproduktion Saudi-Arabiens temporär zu beeinträchtigen.

Der dritte Plattenputzer

Der letzte große auf Zerstören programmierte Virus war der 1998 verbreitete "Chernobyl". Er wurde so genannt, weil er am Jahrestag der AKW-Explosion in Tschernobyl, am 26. April 1999, sein zerstörerisches Werk begann. Chernobyl überschrieb nicht nur den Bootsektor der Festplatte, sondern konnte auch mehrere Typen von BIOS-Chips so zerstören, dass sie getauscht werden mussten.

Auch hier kam für die Löschfunktion dasselbe kommerzielle Windows-Tool wie bei "Destover" zum Einsatz, das es Entwicklern ermöglicht, unter Umgehung der Sicherheitsmaßnahmen des Betriebssystems auf dem betreffenden Windows-Dateisystem Lese- und Schreibberechtigungen zu erhalten. Für Techniker ist das ein praktisches Werkzeug, etwa um kompromittierte PCs, deren Administratorpasswort nicht verfügbar ist, wiederherzustellen.

Im Falle der "Destover"- und der "Shamoon"-Attacken wurde dasselbe Tool dafür eingesetzt, die Festplatten zu löschen. Der dritte dieser "Löschangriffe" waren die als "DarkSeoul" oder "Jokra" bekanntgewordenen Attacken auf Banken und Medien in Südkorea im März 2013. Wie bei "Destover" wurden die Festplatten dabei erst zeitversetzt gelöscht, nachdem die Inhalte kopiert worden waren. Die eigentlichen Angriffsdateien wurden ebenfalls erst kurz vor dem Beginn der Attacke kompiliert. Da dieser "Plattenputzer" gezielt auf Medienkonzerne losgelassen wurde, war ein entsprechendes Medienecho natürlich garantiert.

Auffällige Gemeinsamkeiten

Die Plattenputzer Shamoon sowie DarkSeoul in der Wikipedia.

Wie der bisherige Verlauf des Angriffs auf Sony zeigt, zielte er ebenfalls darauf ab, aktuell den größten möglichen Gesamtschaden für das Netzwerk und die Verkaufsstrukturen der Firma anzurichten. Das die Hollywood-Leaks begleitende Mediengetöse wurde bei diesem Angriff ebenfalls gezielt mit einkalkuliert. In allen diesen drei Fällen, in denen eine Überschreibfunktion von Festplatten verwendet wurde, sollten offenbar möglichst hohe Wellen geschlagen werden, was den Angreifern im Fall von Sony bis jetzt mustergültig gelang.

Solche Angriffsszenarien verweisen praktisch nie auf Kriminelle, sondern sind stets politisch motiviert. Die Vorgangsweise deutet in allen drei Fällen auf staatlich gelenkte Organisationen hin, die weniger bei den angegriffenen Großkonzernen als vielmehr bei den politischen Spitzen Japans, Südkoreas und Saudi-Arabiens (und deren Verbündeten) etwas Bestimmtes, Zeitpunktspezifisches ausrichten wollten.

Rootkit "Sony XCP"

Was Sony und das Verhältnis dieser Firma zu Schadsoftware betrifft, so datiert der erste bekannte, große Schadensfall aus dem Jahr 2005. Damals wurden von Sony mehrere Millionen Musik-CDs in Umlauf gebracht, die allesamt mit einem Rootkit verseucht waren. Ein Rootkit ist jenes Tarnkappenteilelement, das die Aktivitäten der übrigen Schadsoftware vor dem PC-Benutzer verbergen soll. Die Folgen für Sony waren Sammelklagen vor allem in den USA, die Sony mehr als 250 Millionen Dollar kosteten. Das mit den Musik-CDs verbreitete Schadprogramm stammte nämlich von Sony selbst, weil es der sogenannte Kopierschutz war.

Die Rootkit-Affäre beschäftigte zwei Jahres lang ein ganzes Heer von Juristen, denn Sony wurde von Sammelklagen eingedeckt, denen sich über 40 US-Bundesstaaten angeschlossen hatten. Chronik in 15 FuZo-Stories 2005 bis 2007.

Neun Tage nach dem Bekanntwerden wurden die ersten mit "Sony XCP-Kopierschutz" verseuchten Rechner bereits durch eine entsprechende Malware angegriffen und gekapert, was die Schadenersatzforderungen weiter in die Höhe trieb. Das Rootkit hatte damals nur einen einzigen Angriffsvektor dargestellt, der zudem erst ausgenützt werden musste, um etwa an die Daten des jeweiligen PC-Eigners zu kommen. Beim aktuellen "Leak" so vieler Gigabytes an Daten von Sony, Partnerfirmen, und Kunden über "Torrents" sind nun multiple Angriffsmöglichkeiten sozusagen aufgelegt.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • witzbold49 | vor 519 Tagen, 12 Stunden, 17 Minuten

    Die Inhaltsangabe

    "Im Zentrum des Plots steht dabei die Ermordung des nordkoreanischen Machthabers Kim Jong Un durch zwei von der CIA gesteuerte Boulevardreporter"

    würde doch eher einem "Märtyrer"-Tod des nordkor. Diktators gleichkommen, also wäre das sogar ein Propagandafilm gegen die US-Junta. Der digitale Terrorakt ist für mich ganz eindeutig von der US-Geheimdienst-Mafia organisiert worden ! greetings to cia-nsa-cowboys and -girls ;-)

    Auf dieses Posting antworten
  • fenris79 | vor 520 Tagen, 16 Stunden, 42 Minuten

    Mittlerweile

    Bin ich der Meinung das die ganze Geschichte einfach zu flach zu aufgelegt für Nordkorea ist... andererseits die kims waren schon immer etwas schräg

    Auf dieses Posting antworten
    • johnleehookerelectro | vor 519 Tagen, 18 Stunden, 5 Minuten

      ja vorallem wenn man weis das das ganze telekommunikationssystem von nordkorea über china läuft...

    • johnleehookerelectro | vor 519 Tagen, 18 Stunden,

      mmn macht sich die Us regierung spwieso komplett lächerlich darauf überhaupt einzugehen

      nordkorea ist komplett von china abhängig
      für china ist das eine kleine spielerei nebenbei,im langen cyberkrieg

      und für sony war das die grösste viral-PR erfolg seit..der playstation?

  • pixacao | vor 521 Tagen, 21 Stunden, 6 Minuten

    schließ mich da voll an, journalismus vom feinsten!

    Auf dieses Posting antworten
  • pietro01 | vor 523 Tagen, 22 Stunden, 19 Minuten

    Lehrreiches Stück

    Letztendlich ein lehrreiches Stück, Sony verliert Millionen, die Attak-Abwehrindustrie spielt mit dadurch notwendigen neuen Firewall-Systemen ein Vielfaches an Geld ein.....
    Ob Österreich Cyber-Polizisten mit ähnlichen Bedrohungsszenarien umgehen könnten ?

    Auf dieses Posting antworten
  • frizzdog | vor 523 Tagen, 22 Stunden, 47 Minuten

    ist doch beruhigend, dass sich der internetzschwachsinn

    von "absoluter freiheit" selbst killt.
    wie war das doch mit diesen "smartmetern"? wer das nicht will, hemmt den fortschritt?

    Auf dieses Posting antworten
  • makronaut | vor 525 Tagen, 9 Stunden, 27 Minuten

    ich kann mich ja aufgrund der damaligen rootkitaffäre einer "klammheimlichen freude" nicht erwehren, dass es ausgerechnet sony erwischt hat.

    Auf dieses Posting antworten
  • tantejutta | vor 525 Tagen, 21 Stunden, 36 Minuten

    hold errötend samt Verbeugung vor dem p.t. publico

    tnx!

    Auf dieses Posting antworten
  • miraculix11 | vor 526 Tagen, 5 Stunden, 1 Minute

    Bin immer wieder fasziniert

    von der Qualität der Artikel des Herrn Möchel. Möchte dafür danke sagen.

    Auf dieses Posting antworten
    • fenris79 | vor 526 Tagen, 2 Stunden, 2 Minuten

      sign

    • eleasar | vor 525 Tagen, 22 Stunden, 27 Minuten

      Schließ mich an.

      Danke und weiter so!

    • sauvage | vor 525 Tagen, 21 Stunden, 21 Minuten

      *co-sign*

    • johnleehookerelectro | vor 525 Tagen, 18 Stunden, 17 Minuten

      like will mcavoy und seine crew in newsroom

      nur ohne fiktion..its real!
      und zeitgemäß

      sign

    • makronaut | vor 525 Tagen, 9 Stunden, 33 Minuten

      ...sign.

    • nungee | vor 525 Tagen, 7 Stunden, 17 Minuten

      sign.

    • frizzdog | vor 523 Tagen, 22 Stunden, 45 Minuten

      ja, selbst in den miesesten mainstreammedias

      findet toller journalismus vereinzelt zuflucht: Wehrschütz, Möchel,...

  • johnleehookerelectro | vor 526 Tagen, 6 Stunden, 13 Minuten

    http://piratetimes.net/ttip-international-day-of-action/
    zuerst das mit piratbay vor ein paar tagen(erfolglos)
    und jetzt das...klingt mit viel spekulieren ein wenig nach retalliation.

    http://www.golem.de/news/illegale-filmkopien-schliessung-von-pirate-bay-fast-ohne-effekt-auf-torrentszene-1412-111190.html

    das filme, die noch nichtmal im kino sind, geleaked werden hat aber um diese jahreszeit schon tradition weil
    für die oscarjury immer dvd screeners rausgeschickt werden...(und die jury besteht aus tausenden leuten,ergo schwer zu kontrollieren...)

    es ist ja so...äm...mein cousin muss ein referat über raubkopien machen und ich hab beim technischem recht nicht sooo viel ahnung

    dumm und simpel gefragt damit er nicht ahnungslos ist.

    also bittorents für filme und serien zu nutzen ist in österreich ja nichtmehr so eine rechtlich gute idee?..einfach nur streams zu nutzen ist da schon ein rechtlicher unterschied..noch?

    Auf dieses Posting antworten
    • robertglashuettner | vor 525 Tagen, 17 Stunden, 51 Minuten

      Traditionellerweise ist rechtlich in erster Linie der Upload das Problem, womit Torrent schon mal schwierig wird.

  • dergrossenagus | vor 526 Tagen, 12 Stunden, 10 Minuten

    nun

    1. dass man über d'Jolie herzieht, ist wohl kein Geheimnis

    2. jeder selber schuld, wenn er brisante Daten ins Netz stellt

    3. bei uns kann keiner d'Betriebsdaten stehlen - die stehen bewusst in Aktenordnern und nicht in der PDF - nichtmal d'NSA kommt da ran

    Auf dieses Posting antworten
    • johnleehookerelectro | vor 526 Tagen, 6 Stunden, 2 Minuten

      jeder mensch mit internetanschluss sollte einfach dazu verpflichtet werden nacktbilder raufzuladen
      solidarität mit jennifer lawrences und sonys intimsphäre

      und dieser ganze streit wäre um einiges entspannter

    • miraculix11 | vor 526 Tagen, 5 Stunden, 3 Minuten

      Stehen in Aktenordnern...

      ...und wurden allesamt mit dem Kugelschreiber verfasst :-)

    • arnonymous | vor 525 Tagen, 18 Stunden, 39 Minuten

      ad 3., eh ned, die NSA macht ja nur signaltechnik. das wär dann die CIA oder einer der zig anderen dienste die ganz normal oldschool social engineering betreiben.