Eine Gruppe von Cyberkriminellen, die vermutlich von staatlicher Seite unterstützt wird, sammelt in großem Umfang Informationen von Internetnutzern, indem sie Web-Analytics-Technologien für ihre Zwecke missbraucht [1].
screenshot © fireeye threat map
Tagtäglich nutzen Fachleute aus Werbung, Marketing und Einzelhandel Web Analytics, um Erkenntnisse darüber zu gewinnen, wie sie ihre Kunden und Zielgruppen am besten erreichen können. Cyberkriminellen dient die Methode hingegen dazu, potenzielle Opfer zu identifizieren und Daten über sie zu sammeln.
Im konkreten Fall haben die kriminellen Akteure über 100 ausgewählte Websites manipuliert. Wer diese Websites besucht, wird heimlich auf eine weitere Website weitergeleitet, die als Host für ein Skript mit dem Namen WITCHCOVEN fungiert. Dieses Skript sammelt Informationen über das Computersystem des Nutzers und installiert einen sogenannten »Supercookie«, mit dem sich der Rechner des Opfers künftig eindeutig identifizieren lässt. FireEye geht davon aus, dass die Cyberkriminellen eine Datenbank mit Informationen zu einzelnen Nutzern und ihrer Computer-Konfiguration anlegen, so dass diese sich später mit speziell auf sie zugeschnittenen Exploits manipulieren lassen.
Anzeichen für staatliche Aktivitäten
Mehrere Gründe sprechen dafür, dass die kriminelle Aktivität der Gruppe einen staatlichen Hintergrund hat: Zum einen ist die schiere Menge der gesammelten Daten typisch für die Informationsbedürfnisse eines großen Staates. Zudem handelt es sich bei den manipulierten Websites um Seiten, die bestimmte Interessen bedienen wie zum Beispiel Diplomatie, internationale Reisen, Energieerzeugung und -politik, globale Wirtschaft sowie Staatsregierungen. Deren Publikum dürfte folglich für staatliche Nachrichtendienste interessant sein. Schließlich weist die Tatsache, dass bei der Aktivität offenbar zunächst weder Exploits noch Malware zum Einsatz kommen, darauf hin, dass es sich um ein langangelegtes Projekt mit einem überdurchschnittlich hohen Geheimhaltungslevel handelt – ebenfalls typisch für staatliche Aktivitäten.
»Internetnutzer können sich vor Datenerfassungs-Aktivitäten wie dieser kaum schützen, weil die gleichen Methoden zum Einsatz kommen, die legitime Website-Betreiber zur Erfassung von Nutzungsdaten anwenden«, sagt Frank Kölmel, VP Central & Eastern Europe bei FireEye. »Hilfreich können die Inkognito-Einstellungen vieler Browser sein, die zum Beispiel Cookies oder Skripte blockieren, was aber auch die normale Funktion vieler Websites behindern kann. Die gute Nachricht ist, dass das Computersystem des Nutzers durch diese Art von krimineller Aktivität zunächst nicht beeinträchtigt wird. Gefährlich werden kann es aber für die Institutionen und Organisationen, auf die die Kriminellen letztlich aus sind. Für sie ist es ratsam, geeignete Sicherheitsmaßnahmen zu ergreifen, um Folgeangriffe zu verhindern.«