Hacker vs. Cracker: Chronik des Grauens 2012 Nicht nur wir haben

Hacker vs. Cracker: Chronik des Grauens 2012
Nicht nur wir haben als IT-Sicherheitsunternehmen, berufsbedingt alarmiert, die vermehrten
Hacktivitäten seit 2011 festgestellt. Auch die Medien berichten in weit größerem Umfang darüber als es
noch vor einigen Jahren der Fall war. Es ist nicht nur ein Mehr an Cybercrime, das ins Auge sticht.
Auffällig sind die gewandelten Motivationen der Hacker und Cracker. Waren es früher Skriptkiddies, die
aus Jux und Dollerei aus ihren Kinderzimmern und Kellern operierten, sind es heute in vielen Fällen
politisch motivierte Angreifer, die für Aufregung und immensen Schaden bei betroffenen Unternehmen
und Institutionen sorgen.
Ob Vergeltungsmaßnahmen diverser Hackerkollektive wie Anonymous oder Lulszec, Konkurrenz-Bashing
unter Lieferdiensten oder klassische Wirtschaftsspionage – wir haben die spektakulärsten Hacks für Sie
gesammelt und in einer Bildgalerie zusammengestellt. Eine kostenfreie Printausgabe der HackingBroschüre mit Todesanzeigen der betroffenen Unternehmen erhalten Sie hier.
Januar
Hacker der Gruppe Yama Tough dringen durch eine Sicherheitslücke im Server, stehlen Quellcode von
Symantec-Produkten und fordern 50.000 US-Dollar Lösegeld. Im Gegenzug wollen die Hacker auf die
Veröffentlichung des gestohlenen Codes verzichten. Auf The Pirate Bay werden in Folge der Erpressung
1,2 GByte Code veröffentlicht. Das Patchen der Produkte ist unabdingbar.
Ebenfalls im Januar findet ein Angriff auf Smartcards des US-Verteidigungsministeriums statt. Durch
eine Sicherheitslücke im Adobe Reader wird der in PDFs eingebettete Trojaners verteilt. Nach Installation
zeichnet er alle Tastendrucke auf. Da die verwendeten Smartcards die PIN-Eingabe am Computer
erfordern, können die PINs gespeichert werden. Des Weiteren können die Smartcard-Zertifikate aus dem
Windows-Zertifikate-Speicher kopiert werden.
Durch eine Sicherheitslücke im Server ist es Angreifern möglich auf bis zu 24 Millionen Konten, unter
anderem mit Kreditkartendaten, der Kunden der Amazon-Tochter Zappos.com zuzugreifen. Mit den
letzten vier Ziffern der Kreditkartennummer lässt sich der iCloud-Account eines Benutzers übernehmen.
Im Kampf gegen Raubkopien schließt die US-Justiz die Daten-Plattform Megaupload. Per Twitter kündigt
das Hacker-Kollektiv Anonymous den Gegenschlag an und startet kurz darauf DDoS-Angriffe auf die
Internetseiten des FBI und des US-Justizministeriums.
Februar
Zum wiederholten Mal haben Hacker der Gruppe Anonymous Brasil Webseiten brasilianischer Banken ins
Visier genommen, darunter die Seite der HSBC-Bank. Die Seite ist für mehrere Stunden nicht erreichbar.
Im Februar hackt Anonymous eine FBI-Konferenz und stellt den Mitschnitt der Konferenz ins Internet.
Über einen E-Mail-Account gelingt es Anonymous die Zugangsdaten für die Konferenz, die Hacking zum
Thema hat, auszuspähen.
Das Anonymous-Kollektiv entwendet eine Liste mit privaten Informationen zu allen Mitgliedern der
Regierungspartei ODS und spielt sie am Montag tschechischen Zeitungen zu. In der Liste sind
Privatanschriften und Telefonnummern von mehr als 27.000 Parteimitgliedern enthalten.
Eine Hackergruppe namens Swagg Security dingt im Februar in die Server von Foxconn ein und
veröffentlicht persönliche Informationen wie Nutzernamen und Passwörter. Besonders kritisch für
Foxconn ist dabei der mögliche Zugang zu seinem internen Auftragsserver, da auch Log-in-Daten der
Auftraggeber enthüllt werden. Die Hacker veröffentlichen auf Pirate Bay sowie Pastebin nicht nur die
Daten, sondern auch einen Hinweis: „Die Passwörter in diesen Dateien erlauben es einzelnen, falsche
Bestellungen im Namen großer Unternehmen wie Microsoft, Apple, IBM, Intel und Dell aufzugeben. Geht
vorsichtig damit um ;)”
Im Februar wird bekannt, dass es Hackern Ende Januar gelungen ist über den Pressebereich auf der
Website der nordrheinwestfälischen Polizei in deren Server einzudringen. Es werden gravierende
Sicherheitslücken entdeckt, in deren Folge der Webserver vom Netz genommen wird.
Hacker dringen in den indischen Online-Shop von Microsoft ein und stehlen Tausende Passwörter, die
ungesichert auf dem Webserver liegen. Eine chinesische Gruppe namens Evil Shadow Team bekennt sich
zu dem Angriff auf Quasar Media. Die Hacker tauschen die Startseite des Microsoft Store kurzfristig aus:
zu sehen ist hierauf lediglich das Bild eines Mannes, der die Anonymous-Maske trägt.
Unbekannte hacken die Whistleblower-Site Cryptome.org und versehen sie mit Malware, die ihre
Besucher bedroht. Nach Zugriff auf System erfolgt die Infizierung von rund 6.000 HTML-Seiten mit
Blackhole Toolkit, das auf Skriptbasis Computer der Website-Besucher auf Sicherheitslücken überprüft.
Über 3.000 IP-Adressen werden aufgezeichnet und auf dem Server gefunden. Alle infizierten HTMLDateien müssen zum Schutz der Besucher ersetzt werden.
Im Februar wird bekannt, dass chinesische Angreifer fast zehn Jahre lang Zugriff auf vertrauliche
Informationen, darunter Forschungs- und Entwicklungsberichte, Geschäftspläne, technische Datenblätter
und Mitarbeiter E-Mails von Nortel Networks haben. Der Hack gelingt durch die Verwendung von
geklauten Mitarbeiter-Passwörtern und die anschließende Installation von Spyware, die auch nach
Änderung der Passwörter den Zugriff auf das Netzwerk zulässt. Nortel meldet in Folge der Angriffe im
Jahre 2009 Insolvenz an.
Die Homepage der öffentlich-privaten Partnerschaft InfraGard im US-Staat Ohio wird von Anhängern
des Hacker-Kollektivs Anonymous durch das Musikvideo „Gangstas Paradise“ (1995) von Rapper Coolio
ersetzt. Zu lesen ist zudem eine Botschaft, in der InfraGard als „böse Allianz“ zwischen Unternehmen und
Strafverfolgungsbehörden bezeichnet wird.
Die Webseite der französischen Seite für Wirtschaftsnachrichten des Midi Presse Service wird gehackt
und eine Falschmeldung über den Tod von Nicolas Sarkozy platziert
März
Im März wird bekannt, dass es Unbekannten im April 2010 gelingt, sich Zugang zu den Servern des
Musiklabels Sony zu verschaffen. Über 50.000 Dateien werden illegal heruntergeladen, darunter der
gesamten Bestand von Michael Jacksons Musik mit reichlich unveröffentlichtem Material. Für rund 150
Millionen Euro kauft Sony 2010 die Musikrechte von Jacksons Erben und plant die Veröffentlichung von
Alben mit bislang unveröffentlichten Aufnahmen.
Anonymous äußert sich zu den Festnahmen von fünf führenden Mitgliedern der Crackergruppe Lulzsec,
die von ihrem Anführer Sabu ans FBI verraten wurden. Die Stellungnahme befindet sich auf einer
gehackten Webseite von Panda Security. Zudem veröffentlichen die Hacker Passwörter und widerlegen
mit diesem Hack Luis Corrons, Chef von Panda Securitys Forschungsabteilung, der behauptet,
Anonymous beschränke sich aud DDoS-Angriffe.
Der Hamburger Browsergamesanbieter Gamigo meldet im März, er sei Opfer von Hackern geworden.
Nach Unternehmensangaben verschaffen sich die Eindringlinge Zugriff zu Usernamen, verschlüsselten
Passwörtern und eventuell zu weiteren personenbezogenen Daten und veröffentlichen diese teilweise in
Foren.
Zum dritten Mal innerhalb von zwei Wochen legen italienische Anonymous-Aktivisten die Internetseiten
des Vatikan lahm. Sowohl die Hauptseite www.vatican.va, das Nachrichtenportal www.news.va und die
Seite des Vatikanstaats www.vaticanstate.va sind von dem Angriff betroffen.
Internetpräsenz des österreichischen Telekommunikationsunternehmens UPC ist vermutlich aufgrund
von DDoS-Attacken und SQL-Injection vorübergehend nicht erreichbar. Als Angreifer werden AnonymousHacker aus Österreich vermutet, die auf diese Weise ihre Kritik an der geplanten
Vorratsdatenspeicherung äußern wollen.
Die Kartenanbieter MasterCard, Visa, American Express und Discover Financial Services bestätigen
im März, Opfer von Datenklau geworden zu sein. Ausgangspunkt ist eine Hacker-Attacke auf den
Zahlungsdienstleister Global Payments, der mit den Kartenausgebern zusammenarbeitet. Vermutlich
dringen die Hacker durch eine Sicherheitslücke eines New Yorker Taxiunternehmens ein, die betroffenen
Kunden werden entschädigt, die Aktienkurse der betroffenen Unternehmen rutschen in den Keller.
April
Der Großangriff auf mehr als 500 chinesische Websites wird initiiert von der Gruppe Anonymous China
mit dem Ziel, der chinesischen Regierung den Kampf anzusagen und die Regierung in Peking zu stürzen.
Auf zahlreichen Seiten finden sich Nachrichten der Hacker-Gruppierung, die an Bürger und Regierung
gerichtet sind.
Die Website der britischen Regierung wird gehackt. Im Kurzmitteilungsdienst Twitter warnten Hacker
der Gruppe Anonymous, dass die Seite von nun an jeden Samstag lahmgelegt werden könnte. Mit der
Aktion habe man gegen ein Abkommen zum Austausch mutmaßlicher Straftäter zwischen den USA und
dem Vereinigten Königreich demonstrieren wollen, hieß es. Als Grund wurden auch „drakonischen
Vorschläge zur Überwachung“ genannt. Die Regierung steht derzeit wegen Plänen in der Kritik, zum
Beispiel die Überwachung von E-Mails zu vereinfachen.
Im Zuge einer Protestbewegung hackt die Aktivistengruppe Anonymous die offizielle Website der Formel
1, f1-racers.net, und ersetzt den Inhalt durch ein Video. Die Webseite ist über das Rennwochenende des
Grand Prix in Bahrain nicht erreichbar.
Mai
Die Europäische Raumfahrtagentur ESA teilt im Mai mit, dass eine Hackergruppe namens The Unknowns
erfolgreich per SQL-Injection in einen externen Server eingebrochen ist und dort Nutzeridentitäten
gestohlen hat. Ein direkter Schaden entsteht nicht, da die zugehörigen Passwörter auf einem anderen
Server gesichert sind.
Angreifer erbeuten ca. 55.000 Zugangsdaten zu Twitter-Accounts und veröffentlichen diese in fünf
Paketen auf Pastebin.
Als Reaktion auf die Blockierung des Torrent-Portals The Pirate Bay, bringt die Hacktivisten-Gruppe
Anonymous die offizielle Website von Virgin Media mittels DDoS-Angriff zu Fall.
Bei einem Hackerangriff auf die Bitcoin-Börse Bitcoinica gelingt es dem Täter, 18.547 der digitalen
Münzen zu entwenden – das entspricht einem Gegenwert von rund 70.000 Euro. Laut Bitcoinica werden
bei dem Vorfall keine Bitcoins von Nutzern entwendet; der Eindringling bedient sich ausschließlich an
dem Vermögen des Betreibers.
Juni
Im Juni dringen Angreifer der Hackergruppierung UGNazi in das System von Cloudflare und leiten
Zugriffe auf das Imageboard 4Chan auf ihren eigenen Twitter-Account um. Laut Cloudflare erfolgt der
Einbruch über eine Sicherheitslücke bei Google.
Über 6,5 Millionen verschlüsselte LinkedIn-Passwörter werden geklaut und auf eine russische HackerSeite geladen. Mindestens 30.000 werden entschlüsselt. LinkedIn will darauf hin Passwörter mit Salt
ausrollen. Der Streitwert der Sammelklage beläuft sich auf über fünf Millionen Dollar.
Nach LinkedIn wird auch Last.FM zum Hacking-Opfer. Vermutlich dringen die Diebe durch ein Leck im
Passwortschutz. Den Last.FM-Nutzern wird dringend empfohlen, ihre Passwörter zu ändern.
Online-Aktivisten von Anonymous legen die offizielle Webseite des G20-Gipfels im mexikanischen Los
Cabos wahrscheinlich mittels DDos-Angriff lahm. Via Twitter nennen sie die Gruppe der 20 wichtigsten
Volkswirtschaften der Erde als in großem Maße verantwortlich für die Armut auf der Welt.
Im Juli dringt Anonymous in den Webserver des Mineralölkonzerns Exxon Mobil und stiehlt
Zugangsdaten zu 316 E-Mail-Konten aus einer Firmendatenbank.
Im Juni wird bekannt, dass ein Hackerring seit Anfang des Jahres Konten bei mehr als 60
internationalen Bankinstituten plündert. Die Opfer werden auf präparierte Websites gelockt, über
welche sich auf deren Computern modifizierte Online-Banking-Trojaner verbreiten. Die Trojaner
modifizieren die Optik der Online-Banking-Portale, wodurch die falschen Überweisungen ausgeblendet
werden. Auch 2-Faktor-Authentifizierung wurde umgangen indem bereits zum Login-Zeitpunkt wegen
Umbaumaßnahmen der Webseite eine Authentifizierung stattfindet. Überwiesen werden dann im
Hintergrund 10% des Kontos mit dem höchsten Guthaben. Der entstandene Schaden beläuft sich auf
einen Betrag zwischen 60 Millionen und zwei Milliarden Euro.
Juli
Hacker knacken die GMX-Accounts von über 300.000 Kunden. GMX geht davon aus, dass die Angreifer
eine Liste nutzen, die Zugangsdaten inklusive Passwörter enthält. Ein weiteres mögliches Szenario ist die
Distributed-Brute-Force-Attacke. Unter anderem berichtet der Bayerische Rundfunk in einer
Sondersendung über den Hack.
Über 400.000 Passwörter der Frage- und Antwort-Plattform Formspring geraten in falsche Hände und
werden teils entschlüsselt im Internet veröffentlicht. Der Vorfall erinnert an vergangene Passworts-Lecks
bei prominenten Sites wie LinkedIn oder Last.fm. Formspring schließt die Lücke und verspricht, jetzt
Passwörter mit Salt auszurollen und bcrypt umzustellen.
Bei einem Angriff in Form einer SQL-Injection auf die Nutzerdatendank von Yahoo! Voices werden die
Daten von über 450.000 Kunden entwendet. Die Hacker, die dem Hackerkollektiv D33Ds Company
angehören, stellen den Datensatz, der neben E-Mail-Adressen auch unverschlüsselte Passwörter enthält,
anschließend in Form einer rund 17 MB großen Textdatei online.
Durch Cross-Site-Scripting wird die Webseite des Security-Software-Resellers Webroot erfolgreich
attackiert.
Anonymous Australia entwendet dem führenden australischen Internet-Provider AAPT 40 GByte
Kundendaten und veröffentlicht diese teilweise. Darunter befinden sich Daten der australischen
Bundespolizei, Behörden und Ministerien. Die Hacktivisten erklären, dabei “Überwachungstechnik der
australischen Regierung” zu beutzen. Sie wollen damit gegen die zunehmende Zensur, Überwachung und
Einschränkung der Meinungsfreiheit demonstrieren.
August
Im Rahmen der von Lulzsec gestarteten Operation Antisec werden rund 10 GB interne Daten von mehr
als 70 US-Strafverfolgungsbehörden der US-Polizei veröffentlicht. Die Aktion erfolgt aus Solidarität mit
dem festgenommen Lulzsec-Mitglied Topiary und den Festnahmen im Zusammenhang mit einem DDoSAngriff auf Paypal.
Eine Gruppe Unterstützer von Julian Assange namens NullCrew hackt den E-Mail-Dienst der britischen
Universität Cambridge. Es handelt sich vermeintlich um eine Fortsetzung der Anonymous-Angriffe auf
britische Regierungsseiten, um Freiheit für den Wikileaks-Gründer zu fordern.
September
Im September verschaffen sich Unbekannte über ein unverschlüsseltes Backup Zugriff auf die Datenbank
der Handelsplattform Bitfloor und erbeuten 24.000 Bitcoins im Gegenwert von rund 250.000 Dollar.
Die Webseite wird vorübergehend vom Netz genommen und der Dienst eingestellt.
Hacker klauen 12 Millionen Apple-UDIDs. Ein Auszug daraus mit genau 1.000.001 UDIDs wird als
Beweis bei Pastebin veröffentlicht. Neben den Gerätekennungen der iPhones und iPads soll die
vollständige Datei auch die Namen, Adressen, Postleitzahlen und Mobilnummern der Besitzer enthalten
(auf Pastebin wird diese Informationen allerdings entfernt). Wahrscheinlich operieren die Hacker unter
der Flagge der Operation AntiSec, die mit Hackvisten-Gruppen wie Anonymous und LulzSec in
Verbindung steht.
Oktober
Auf mehreren Servern des Onlinespiels World of Warcraft kommt es im Oktober zu einem
Massensterben von Spieler- und Nichtspieler-Charakteren. Die Hacker nutzen einen Exploit aus, um in
den Städten Stormwind und Orgrimmar die komplette Bevölkerung zu töten.
Eine Gruppe namens The Three Musketeers veröffentlicht sogenannte LV0-Codes, mit welchen sich der
Level-0-Security-Layer der Spielkonsole entschlüsseln lässt. Sony hat damit kaum mehr die Möglichkeit,
das Aufspielen angepasster Firmware von Dritten zu verhindern, welche ihrerseits das Abspielen von
raubkopierten Spielen ermöglicht.
November
Im November gelingt es einem Hacker namens „Darwinaire” in das System von Amazon einzudringen.
Er erbeutet Daten, teilweise im Klartext gespeicherte Passwörter, von 635 Amazon-Kunden und
veröffentlicht diese bei Pastebin.
Hacker verschaffen sich Zugriff auf zwei Servern des Betriebssystemprojekts FreeBSD. Die betroffenen
Server werden umgehend offline genommen. Untersuchungen ergeben zudem, dass der erste
unberechtigte Zugriff wohl bereits am 19. September stattfindet. Für den Einbruch wird keine
Sicherheitslücke in FreeBSD ausgenutzt, sondern der SSH-Schlüssel eines Entwicklers entwendet, der
regulär Zugriff hat.
Unbekannte dringen in die Steam-Plattform von Valve Software ein und haben Zugriff auf Namen, SaltHashes von Passwörtern, Kaufbestätigungen von Spielen, Rechnungsadressen sowie verschlüsselte
Kreditkarteninformationen. Einige der Foren-Account werden kompromittiert.
Unbekannte Angreifer verschaffen sich Zugang zu streng vertraulichen Geheimdaten der französischen
Staatsführung. Von dem Cyber-Angriff im Mai seien die Rechner von mehreren Top-Beratern des
damaligen Präsidenten Nicolas Sarkozy betroffen, berichtet das französische Nachrichtenmagazin
L'Express im November.
Die Mitglieder von Origin bekommen eine E-Mail, die sie über eine Änderung ihres Nutzernamens und
Passworts informiert. Dann können sie nicht mehr auf ihren Account zugreifen: Das berichten zahlreiche
Mitglieder in Foren, auch dem offiziellen Forum von Origin. Betreiber Electronic Arts sagt auf Anfrage
von Eurogamer.net allerdings, dass es „derzeit keinen Grund gibt, anzunehmen, dass es unbefugten
Zugriff auf die Datenbanken von Origin gegeben“ hat.
Über eine nachträglich eingefügte Hintertür in der Web-Server-Analyse-Software Piwik können Angreifer
die volle Kontrolle über das System erlangen.
Coca-Cola wird bereits 2009 Opfer einer gut organisierten Cyberattacke, bei der Angreifer mindestens
einen Monat lang Daten aus dem Firmennetz klauen. Der weltweit größte Softdrinkhersteller verschweigt
den Vorfall. Der Finanznachrichtendienst Bloomberg macht den Angriff im November 2012 bekannt und
zitiert aus einem internen Bericht, der den Fall aufarbeitet. Die Gruppe stiehlt Daten über einen
Milliarden-Deal, der nur wenige Tage später platzt.
Dezember
Im Dezember spähen Hacker die Bankdaten von mehr als 30.000 deutschen, spanischen, italienischen
und niederländischen Online-Banking-Kunden aus und erbeuten so über 36 Millionen Euro. Dieser
speziell auf das Online-Banking per Smartphone ausgelegte Trojaner ist der erste seiner Art, der durch
die Installation auf beiden Geräten Verifizierungs-Codes abfangen kann, die der Bankkunde von seiner
Bank auf das Telefon zugesendet bekommt. Mit den abgefangenen Daten wird in Echtzeit eine zweite
Überweisungssitzung aufgebaut, in der das Geld von dem Konto des Kunden abgezogen wird. Mit dieser
Methode wurden jeweils Beträge in Höhe von 500 bis 250.000 Euro ergaunert. Die Authentifizierung
erfolgt bei vielen Banken in zwei Schritten, in denen Kunden per SMS ein weiterer Code neben dem
normalen PIN für die Überweisung zugeschickt wird.
UDP-Flooding und DDoS-Attacken sorgen für den Zusammenbruch der Websites von pizza.de und
lieferando.de Anfang November. Nachdem die Uplink-Provider des Portals die Angriffe ausgefiltert
haben, beginnt wenig später eine zweite Angriffswelle auf die Nameserver des Unternehmens. Es folgte
eine Razzia bei Konkurrent lieferheld.de, die jedoch ohne Ergebnis bleibt. Eine gemeinsame Belohnung
über 100.000€ ist ausgesetzt.
Die Website der Wochenzeitung Dispatch International wird wahrscheinlich mittels DDoS oder Cross
Site Scripting massiv angegriffen. Zur Folge hat der Angriff ein verspätetes Erscheinen der Zeitung und
Kosten für den Verlag in sechsstelliger Höhe durch entstandene Mehrarbeit oder der Reputation der
Zeitung.
Der in Salzburg ansässige Rechenzentrumsbetreiber Conova Communications wird Opfer eines HackAngriffs. Zugangsdaten werden entwendet und Kundenkonten kompromittiert. Kunden werden
aufgefordert ihre Passwörter zu ändern.
Die Internetinfrastruktur des Stromnetzbetreibers 50Hertz wird von Unbekannten angegriffen. Aus
einem Botnetz heraus werden Webseiten und Mail-Infrastruktur des Hochspannungsstromnetzbetreibers
per DDoS-Attacke unter Beschuss genommen. Alle extern erreichbaren Services fallen vorübergehend aus.
Schützen Sie Ihre Firma, authentifizieren Sie Nutzer mit ihrer Biometrie.