Eine ausgeklügelte und enorm komplexe Cyberattacke sollte Hunderte Millionen Rechner für die Angreifer öffnen. Dann stolperte der Microsoft-Entwickler Andres Freund in seiner Freizeit über einen merkwürdigen Fehler.
Es gibt diese Momente, da entgeht die Welt durch eine kleine Handlung einer Katastrophe. Einfach, weil jemand etwas Kleines tut. Auch die potentiell größte Cyberattacke wurde diese Woche nur aus Zufall in ihren Anfängen gestoppt. Ein einzelner Freiwilliger hatte sich an einem skurrilen Fehler gestört.
«Da kamen wirklich viele Zufälle zusammen», erklärte Andres Freund, schon bei seiner ersten Veröffentlichung seines Fundes beim Kurznachrichtendienst Mastodon. Der Deutsche arbeitet als Software-Entwickler für Microsoft in den USA, beschäftigt sich beruflich eigentlich nicht mit IT-Sicherheit. Und entdeckte trotzdem nebenbei eine Hintertür, die gigantisches Schadenspotential für nahezu das gesamte Internet gehabt hätte.
Zufallsfund
Gegenüber der «New York Times» erzählte Freund, wie er darüber stolperte. Er hatte gerade seine Eltern besucht, war auf dem Flug zurück nach Kalifornien, als bei Routine-Tests eines seiner Software-Projekte einige merkwürdige Fehlermeldungen erschienen. Freund war übermüdet, empfand die Meldung als nicht dringend. Und kümmerte sich nicht weiter darum. Erst einige Wochen später fielen ihm die Fehler wieder ein.
Auch das war Zufall. Während er seine Software prüfte, entdeckte er, dass die Anwendung SSH ungewöhnlich stark den Rechner beanspruchte. Das Protokoll dient zum entfernten Einloggen auf Rechner und Server, ist eines der wichtigsten Standbeine der Internet-Infrastruktur. Bei genauerer Betrachrung konnte er den Fehler auf die kleine Hilfsoftware xz Utils zurückführen – und ihm kamen die längst vergessenen Fehlermeldungen wieder in den Sinn. Also bohrte er weiter. Tatsächlich stieß er in der jüngsten Version des Programmes auf Schadcode, der eine gut versteckte Hintertür öffnete. Die wiederum Zugang zu Millionen Rechnern und Server ermöglichte.
«Es war sehr mysteriös», so Freund. «Jemand hat offensichtlich viel Aufwand betrieben, um zu verstecken, was sie da tun.»
Ausgeklügelte Cyberattacke
Wer genau die Hintertür eingebaut hat, wird nun untersucht. Die Vorgehensweise und der Grad an nötigen Kenntnissen deutet nach Ansicht von Experten aber darauf hin, dass hier Vollprofis am Werk waren – vermutlich sogar im staatlichen Auftrag. Im Code findet sich nur der Benutzername «Jia Tan», weshalb eine Spur nach Cina vermutet wird. Dass es sich um einen echten Namen handelt, ist allerdings extrem unwahrscheinlich.
Dass staatliche Hacker hinter der Attacke vermutet werden, liegt auch am Vorgehen. Die Lücke war geschickt umgesetzt und zudem gut getarnt. Der Angriff wurde offenbar über Jahre vorbereitet: xz Utils wird – wie sehr große Teile der wichtigsten Infrastruktur des Netzes – von Freiwilligen gepflegt, die nach einem Vertrauensprinzip arbeiten. Zwar kann theoretisch jeder Änderungen vorschlagen, umsetzen dürfen sie aber nur die sogenannten «Maintainer», die sich erst als vertrauenswürdig erweisen müssen. Auch «Jia Tan» bastelte bereits seit Jahren an dem kleinen Programm. Ab Ende 2021 schlug er Änderungen vor, baute langsam Vertrauen auf, arbeitete sich zum Maintainer hoch. Bis er im Februar schließlich die heimliche Hintertür einbauen konnte. Das bestätige der andere Maintainer, Lasse Colli, mittlerweile auf seinem Blog.
Unterstützt wurde Jia Tan laut «Security Boulevard» von mehreren anderen Fake-Accounts, die seine Änderungs-Vorschläge unterstützten. «Hier spielte jemand klar auf sehr lange Sicht», urteilt Experte Mike Larkin.
11.08.2020
BSI warnt bereits
Wie groß die Gefahr ist, zeigt auch eine Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Mittwoch: «Die Schwachstelle wurde mit dem höchstmöglichen CVSS-Score – 10 von 10 – als «kritisch» bewertet», warnt die Behörde dort. Sie ermöglicht es demnach, die Authentifizierung per SSH zu umgehen – erlaubt also unangemeldet Zugang zu fremden Systemen. «Durch den beinahe auf allen Linux-Servern eingesetzten SSH-Daemon und die in den letzten Jahren zunehmend eingesetzten systemd-Dienst(e), sind potentiell sehr viele Server im Internet von der Lücke betroffen», erklärt das BSI.
Dass der Schaden bisher gering zu sein scheint, liegt daran, dass Freund sehr früh über die Hintertür stolperte. Nur wenige Linux-Versionen setzen bereits auf die neueste Version von xz.Utils, die meisten anderen rollen Updates langsamer aus. «Es hat bisher keinen Effekt in der echten Welt», erklärte Sicherheits-Experte Will Dormann gegenüber «Ars Technica». Wäre die Hintertür erst in einem Jahr oder gar noch später aufgefallen, hätte das sehr anders ausgesehen, glaubt Dormann. «Hätte man das nicht entdeckt, wäre das für die Welt katastrophal gewesen.»
Auch Facebooks ehemaliger Sicherheits-Chef Alex Stamos teilt diese Einschätzung: «Das hätte eine der weitverbreitetsten und effektivsten Hintertüren aller Zeiten werden können», sagte er der «New York Times». «Es wäre, als wenn jemand den Generalschlüssel für Hunderte Millionen Rechner hätte.»
Unfreiwilliger Held
Kein Wunder also, dass Freund in der Community als Held gefeiert wird. Microsoft-CEO Satya Nadella lobte, Freunds Neugier und Handwerksgeschick sei genau das, was die Security-Gemeinde brauche. Andere verglichen ihn mit einem Silberrücken-Gorilla. Dem versehentlichen Helden selbst ist der Rummel um seine Person allerdings eher unangenehm. Er wollte für das Gespräch mit der «NYT» nicht mal fotografiert werden. «Ich empfinde das alles als sehr merkwürdig», sagte er der Zeitung. «Ich bin ein eher privater Typ, der nur vor dem Computer sitzt und Programmcode durchhackt.»
Neben seinem normalen Job unterstützt er nun das Team, das den Ursprung der Attacke aufzudecken versucht. Seinen Erfolg feiern will er deshalb nicht, sagte er der «NYT». Ich habe eigentlich gar keine Zeit darauf nun anzustoßen.»
Quellen:Mastodon, New York Times, Ars Technica, Security Boulevard, X, BSI, Tuukani, swtch