Hacker vs. IT-Sicherheit
12 haarsträubende Security-Desaster
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
1, 2, 3, Gehackt!
Eine Phishing-E-Mail setzte auch diesen massiven Datendiebstahl in Gang: Bei einem Hackerangriff auf die Auktionsplattform eBay im Mai 2014 wurden die Account-Daten von circa 145 Millionen Usern kompromittiert. Die Angreifer hatten dabei für ganze 229 Tage vollen Zugriff auf das Unternehmensnetzwerk, bevor der Einbruch festgestellt wurde.
Natürlich kann eine solche Attacke jedes Unternehmen treffen - insbesondere wenn dabei eine gut gemachte Phishing-Mail zum Einsatz kommt. Aber die Reaktion des Unternehmens wurde von Experten als "peinlicher als die eigentliche Attacke" beschrieben. Begründung: eBay habe drei Monate gebraucht, um den Hackerangriff zu bemerken, nur um dann noch einmal zwei Wochen zu warten, bis die Öffentlichkeit informiert wurde.
So sicher wie das Pentagon - fast!
Auch beim US-Einzelhandelsunternehmen Target begann ein großangelegter Hackerangriff mit einer Phishing-Mail. So konnten Angreifer mit der Malware "Citadel" Login-Daten eines Partnerunternehmens abgreifen, die ihnen wiederum Zugang zum Netzwerk von Target verschafften.
So landeten am Ende die persönlichen Daten von circa 70 Millionen Target-Kunden sowie 40 Millionen Kreditkarten-Datensätze bei kriminellen Hackern. Wie Bloomberg im Nachgang berichtete, nutzte Target dasselbe Security-System wie das Pentagon - mit einem feinen Unterschied: Ein kritisches Feature war nicht aktiv, weil die Sicherheits-Spezialisten der Funktion nicht trauten.
Kochen ohne Salz
Bei einer Hackerattacke im Juni 2012 wurden beim Karriere-Netzwerk LinkedIn vermeintlich 6,5 Millionen User-Passwörter gestohlen. Experten ließen damals verlauten, LinkedIn habe die Passwörter seiner Nutzer unzureichend geschützt, da bei der Verschlüsselung keine "Salts" zum Einsatz gekommen waren, was die Dechiffrierung deutlich erleichtert habe.
Immerhin entschuldigte sich LinkedIn direkt nach Bekanntwerden des Hacks öffentlich bei seinen Usern und bat diese, ihre Passwörter zu ändern. Das FBI macht inzwischen den Russen Yevgeniy Nikulin für den Hackerangriff verantwortlich. Im Jahr 2016 musste LinkedIn eingestehen, dass von dem Breach 100 Millionen Nutzer mehr betroffen waren als zunächst angenommen.
- Cyber's Most Wanted
Sie arbeiten für die chinesische Regierung, spionieren die Privatsphäre von Millionen Menschen skrupellos aus oder bereichern sich auf Kosten argloser Internetsurfer. Für Cyberkriminelle führt das FBI eine eigene "Most Wanted"-Liste. Wir zeigen Ihnen die meistgesuchten Hacker, Cracker und Web-Bauernfänger. - Firas Dardar
Firas Dardar ist vermutlich in Aktivitäten der "Syrian Electronic Army" (SEA) verstrickt, die im Auftrag der syrischen Regierung zwischen September 2011 und Januar 2014 verschiedene Ziele mit Hacking-Attacken unter Beschuss genommen hat - darunter IT-Systeme der US-Regierung, von Medienkonzernen und anderen Unternehmen. Dardar agierte dabei wohl unter dem Nicknamen "The Shadow". Darüber hinaus werden ihm mehrere Cybererpressungen von amerikanischen und internationalen Unternehmen zur Last gelegt. Das FBI geht davon aus, dass Dardar derzeit im syrischen Homs lebt und auch unter den Hackernamen "Ethical Dragon" und "Ethical Spectrum" aktiv ist. Für Informationen, die zur Festnahme von Firas Dardar führen, bietet das FBI eine Belohnung von bis zu 100.000 Dollar. - Ahmed Al Agha
Al Agha ist auch als "Th3 Pr0" bekannt und soll ebenfalls zur "Syrian Electronic Army" gehören. Er wird beschuldigt, für die SEA zwischen 2011 und 2014 Hackerangriffe gegen US-Regierungseinrichtungen, Medienkonzerne und Privatunternehmen getätigt zu haben. Auch er soll sich in seinem Heimatland Syrien aufhalten. Er ist vermutlich Anfang 20 und trägt eine Brille. Für die Festsetzung von Al Agha bietet das FBI bis zu 100.000 Dollar. - Evgeny Mikhalilovich Bogachev
Evgeny Mikhalilovich Bogachev, auch bekannt als "lucky12345" und "slavik", wird vorgeworfen, Mitglied einer kriminellen Vereinigung gewesen zu sein, die den Banking-Trojaner "Zeus" entwickelt und unters Volk gebracht hat, um Identitätsdiebstahl zu betreiben. Mittels einer Malware wurden die Rechner der Opfer unterwandert und Kontodaten, PINs und Passwörter ausspioniert. Erstmals aufgetaucht ist Zeus im Jahr 2009 - Bogachev nutzte damals seine berufliche Stellung als Administrator aus, um zusammen mit einigen Komplizen den Trojaner zu verbreiten.<br /><br />2011 kusierte dann eine modifizierte Zeus-Version namens "GameOver Zeus" (GOZ), die für mehr als eine Million infizierte Systeme weltweit und einen daraus resultierenden Schaden von 100 Millionen Dollar verantwortlich gewesen sein soll. Das FBI vermutet Bogachev auf seinem Boot auf dem Schwarzen Meer. Zudem besitzt er ein Anwesen im russischen Krasnodar, wo er sich ebenfalls aufhalten könnte. Da der durch Zeus verursachte Schaden so hoch ist, liegt die Belohnung des FBI für Hinweise auf Bogachev bei bis zu drei Millionen Dollar. - Nicolae Popescu
Popescu ist unter seinen Aliassen "Nae" und "Stoichitoiu" bekannt und wird wegen seiner Beteiligung an einer "ausgefeilten Internetbetrugsmasche" gesucht, so das FBI. Popescu soll auf Auktionsplattformen Artikel zum Verkauf angeboten haben, die es gar nicht gab und dafür Rechnungen real existierender Online-Bezahldienste gefälscht haben. Popescu hatte Komplizen in den USA, die mithilfe gefälschter Pässe Bankkonten unter falschen Namen eröffneten, damit ihnen Geld überwiesen werden konnte.<br /><br />Sobald die Opfer die Überweisungen vollzogen hatten, wurde das Geld an weitere Mittelsmänner weitergeleitet - zusammen mit Instruktionen per Mail. Popescu befindet sich bereits seit 2012 im Visier des FBI - damals wurde wegen Internetbetrugs, Geldwäsche, Passfälscherei und Falschgeldhandels ein Haftbefehl gegen ihn erlassen. Popescu spricht Rumänisch und hält sich möglicherweise in Europa auf. Die Belohnung für einen Hinweis, die zu seiner Festnahme führt, liegt bei bis zu einer Million Dollar. - Alexsey Belan
2012 und 2013 wurden große E-Commerce-Anbieter in den US-Bundesstaaten Nevada und Kalifornien digital angegriffen, um Kundendatenbanken zu kopieren und die abgezogenen Informationen zu verkaufen. Mutmaßlicher Drahtzieher: der Lette Alexsey Belan, der russisch spricht und sich vermutlich in Russland, Griechenland, Lettland, Thailand oder auf den Malediven aufhält. Seine bekannten Aliasse: Magg, M4G, My.Yawik und Abyrvaig. Das FBI glaubt, dass er mittlerweile eine Brille tragen und sich seine braunen Haare rot oder blond gefärbt haben könnte. Sein letzter bekannter Aufenthaltsort war Athen. Belohnung: 100.000 Dollar. - Jabberzeus Subjects
Die Mitglieder der Hackergruppe "Jabberzeus Subjects" werden wegen der Beteiligung an der Entwicklung und Verbreitung des bereits beschriebenen Banking-Trojaners Zeus gesucht. Zur Gruppe gehören Ivan Viktorvich Klepikov alias "petr0vich" und "nowhere", Alexey Dmitrievich Bron alias "thehead" und Vyacheslav Igorevich Penchukov alias "tank" und "father." Das FBI vermutet die drei derzeit in Russland und der Ukraine. Eine Belohnung für Hinweise auf die drei gibt es nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat. - Carlos Enrique Perez-Melara
Carlos Enrique Perez-Melara soll an der Entwicklung einer Spyware beteiligt gewesen sein, die die Privatsphäre ahnungsloser Nutzer in umfangreichem Maße ausspioniert hat. Entwickelt wurde das Ganze ursprünglich als Software mit dem Namen "Catch a cheating lover". Sie funktionierte recht simpel: Der mutmaßliche Fremdgeher bekam vom Käufer der Software eine E-Card zugeschickt - sobald er oder sie sich diese anschaute, installierte sich eine Software auf dem Rechner, die Tastatureingaben, E-Mail-Verkehr und besuchte Websites mitschnitt.<br /><br />Danach verschickte der Dienst eine E-Mail an den Absender der E-Card mit allen aufgezeichneten Daten - so sollte sich dieser ein Bild machen können, ob sich der Verdacht einer Liebesaffäre untermauern ließ.<br /><br />Die Malware wurde als "Email PI", später dann als "Lover Spy" bekannt. Perez-Melara hielt sich mit Touristen- und Studentenvisum lange in den USA auf, hatte Kontakte ins kalifornische San Diego. Zuletzt gesehen wurde er aber in der salvadorianischen Hauptstadt San Salvador. Belohnung: 50.000 Dollar. - Sun Kailiang
Sun Kailiang ist Offizier beim chinesischen Militär und laut FBI in 31 Fällen angeklagt. Es geht um Computerbetrug, unerlaubten Computerzugriff aus finanziellen Motiven, Identitätsdiebstahl, Wirtschaftsspionage und den Diebstahl von Handelsgeheimnissen. Zusammen mit anderen hochrangigen Mitgliedern der Armee setzte Kailiang sein Fachwissen dazu ein, um in die Netze diverser amerikanischer Unternehmen einzudringen, die Geschäftsbeziehungen mit chinesischen Staatsunternehmen pflegten. Darüber hinaus wird Kailiang beschuldigt, persönliche Informationen und Geschäftsgeheimnisse von Atomkraftwerken gestohlen, die Computer von Einzelpersonen infiltriert und mit Schadcode infizierte E-Mails verschickt zu haben. Eine Belohnung für Hinweise auf Kailiang gibt es nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat. - Huang Zhenyu
Auch Zhenyu gehört zu den beschuldigten chinesischen Soldaten, die sich an Computerspionage und -sabotage von US-Systemen im großen Stil beteiligt haben sollen. Eine Belohnung für Hinweise auf Zhenyu gibt es ebenfalls nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat. - Wen Xinyu
Wen Xinyu ist ein dritter gesuchter Chinese, der sich an den Aktionen gegen US-Unternehmen, die Geschäfte mit der Volksrepublik gemacht haben, beteiligt haben soll. Als "WenXYHappy", "Win_XY" und "Lao Wen" soll er eine entscheidende Rolle in der technischen Abwicklung der Hackerangriffe gespielt haben. Auch hier hat das FBI keine Belohnung ausgelobt, bittet aber um Hinweise.
Vertrau mir!
eHarmony bezeichnet sich als "#1 trusted dating site". Zur Untermauerung der Vertrauenswürdigkeit des Unternehmens sind die Vorfälle aus dem Jahr 2012 allerdings eher ungeeignet. Die Passwörter von 1,5 Millionen Nutzern fielen in die Hände von kriminellen Hackern und wurden kurze Zeit später in einem russischen Hacker-Forum veröffentlicht.
Zwar waren die Passwörter als Hash-Files gespeichert worden, aber - ähnlich wie im Fall von LinkedIn - wurde das "Salzen" vergessen. Dadurch waren die Passwörter für die Cyberunholde in Windeseile geknackt. Nach Meinung von Security-Experten hätten bereits einfache Web-Application-Scanning-Tools über die Schwachstellen bei eHarmony aufklären können.
Multiples Security-Versagen
Der Dropbox-Hack im Juli 2012 konnte nur passieren, weil Irgendjemand eine wirklich ungünstige Entscheidung im Sinne der IT-Sicherheit getroffen hat. Die Todsünde von der wir hier reden ist die Mehrfachnutzung ein- und desselben Passworts. Damals reagierte Dropbox mit einer Mitteilung an die Nutzer, dass ein kleiner Teil der Accounts betroffen ist.
Erst ungefähr vier Jahre später traten dann die vollen Ausmaße dieses Hackerangriffs zutage. Nämlich dann, als die E-Mail-Adressen und Passwörter von knapp 69 Millionen Dropbox-Nutzern im Darknet zum Verkauf angeboten werden. Daraufhin folgte eine massive Passwort-Reset-Initiative. Nach Einschätzung von IT-Sicherheitsexperten hat das Unternehmen dabei einen guten Job gemacht. Aber warten wir erst einmal die nächsten vier Jahre ab.
Mission Failed!
Im Frühjahr 2011 ereilte Sonys PlayStation Network (PSN) ein vorzeitiges "Game Over". Der japanische Elektronik-Riese musste das komplette Netzwerk für drei Wochen offline nehmen, um die Schäden zu beheben. Beim Angriff selbst wurden Login-Daten, Usernamen und persönliche Daten von ungefähr 77 Millionen Nutzern kompromittiert. Im Laufe der Untersuchung des Hacks wurden es dann noch einmal 25 Millionen Datensätze mehr.
Während es relativ schwer ist, ein System komplett gegen Zugriff von außen abzusichern, ist es relativ simpel, Nutzerdaten zu verschlüsseln. Zur Überraschung vieler Experten wurden die PSN-Passwörter aber völlig unverschlüsselt vorgehalten (auch wenn Sony behauptete, sie seien immerhin "gehasht" worden). Im Nachgang des bis dahin größten Hacks aller Zeiten bezifferte Sony den finanziellen Schaden auf 171 Millionen Dollar.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.