«Das ist der verrückteste Angriff»: Ein Programmierer entdeckt per Zufall eine gefährliche Hintertüre im Code – wohl von einem Geheimdienst

Was der Software-Entwickler Andres Freund vor wenigen Tagen entdeckt hat, war dafür gemacht, niemals entdeckt zu werden. Die Hintertüre in einer Software, die weltweit zur Fernwartung von Servern eingesetzt wird. Mit ihr hätten sich die Angreifer auf den Rechner rund um den Globus verschaffen können. Eine beunruhigende Vorstellung.

In den nächsten Wochen sollte die Hintertüre mit dem neusten Update an alle Linux-Rechner weltweit verbreitet werden. Dass Andres Freund sie kurz davor entdeckt hatte, war reiner Zufall. „Wir hatten sehr, sehr viel Glück“, schreibt der Verschlüsselungsspezialist Bruce Schneier in seinem Blog.

Die Geschichte klingt unglaublich. Das hat mit dem ausgeklügelten Vorgehen der Angreifer zu tun. Mit der zufälligen Entdeckung. Und mit den Funktionen der Gemeinschaft von Entwicklern, welche in Gratisarbeit Open-Source-Software entwickeln, auf der das Internet beruht. Doch der Reihe nach.

Im Zentrum der Geschichte stehen die «xz Utils», eine Sammlung von Programmen und Code-Bibliotheken, welche auf Linux und vielen anderen Unix-Systemen zum Komprimieren von Daten zum Einsatz kommen. Diese Software ist Open Source – ihr Programmcode ist ebenfalls frei verfügbar – und wird von Freiwilligen weiterentwickelt. Mitmachen kann grundsätzlich jeder. Als Verantwortlicher leitet Lasse Collin das Projekt – allein.

Im Frühjahr 2022 meldet sich eine Person, die sich als Jia Tan ausgibt, über die Mailing-Liste an «xz Utils» mit einem Beitrag zur Software. Bald darauf schalten sich weitere Personen, die davor nicht aktiv gewesen waren, in die Diskussionen ein. Bald kommt die Forderung auf, Collin soll eine weitere Person zum «xz Utils»-Projekt zulassen.

Jia Tan beginnt in den nächsten Wochen, am Projekt mitzuarbeiten. Spätestens Anfang 2023 erhält er auch Verantwortung und wird als erste Ansprechperson aufgeführt. Seine Befugnisse nutzt Jia Tan in der Folge dafür, eine Funktion auszuschalten, welche Open-Source-Software auf Schwachstellen hin überprüft. Damit ist der Weg frei, um die Hintertüre hineinzuschmuggeln.

Im Februar dieses Jahres fügt Jia Tan schließlich zwei Testdateien hinzu, welche den Code für die Hintertüre enthalten. In der Folge plädieren er und andere Personen bei den großen Linux-Distributionen dafür, die manipulierte Version ins nächste Update aufzunehmen. So kann sich die geheime Hintertüre auf den Servern weltweit ausbreiten.

Lücke schreckt die IT-Sicherheitsleute an Ostern auf

Ende März war die kompromittierte Version der «xz Utils» bereits in den Vorabversionen einiger Linux-Distributionen enthalten. Das war der Moment, als der Software-Entwickler Andres Freund etwas bemerkte: ein merkwürdiges Verhalten des Programms sshd, welches den verschlüsselten Fernzugriff auf einen Rechner ermöglicht.

Freund wollte den Unregelmäßigkeiten auf den Grund gehen – und entdeckte dabei die versteckte Hintertüre. Am Karfreitag machte er seinen Fonds öffentlich und schreckte damit weltweit IT-Spezialisten und Sicherheitsfirmen auf. Die deutsche Cybersicherheitsbehörde BSI rief etwa am Samstag die Bedrohungslage Orange aus, die für eine geschäftskritische Bedrohung und massive Beeinträchtigungen des normalen Betriebs steht.

Linux- und Unix-Betriebssysteme sind einer breiten Öffentlichkeit nicht vertraut. Auf den Computern und Laptops im Büro oder zu Hause ist dieses System kaum anzutreffen. Ganz anders sieht es jedoch bei den Internetservern aus. Ein großer Teil dieses Rechners läuft mit Linux. Laut der Analyse-Plattform W3Techs funktionieren 85 Prozent der Webserver mit Unix. Die Angreifer hatten wohl auf die meisten davon Zugriff erhalten.

Wer hinter der Aktion steckt, ist derzeit noch völlig unklar. Allerdings zeigen das aufwendige Vorgehen und die technische Geschicklichkeit, dass es sich um einen professionellen Akteur handeln dürfte. Wahrscheinlich ist mit Freunds Entdeckung die Operation eines Nachrichtendienstes aufgeflogen. Ein solcher hat die Ressourcen und die Geduld für eine so langfristig angelegte Aktion.

Für eine nachrichtendienstliche Operation spricht auch, dass die Hintertüre nur mit einem bestimmten Schlüssel erreichbar war. Dieser Mechanismus stellt sicher, dass zum Beispiel Cyberkriminelle oder andere Staaten die kompromittierten Systeme nicht ausspionieren oder gefährden können.

Die technische Umsetzung der Hintertüre war komplex. Die Installation erfolgte in mehreren Schritten, in denen die Schadsoftware zunächst vorbereitet, kompiliert und dann installiert wurde. Dadurch war der schädliche Programmcode nicht sofort zu erkennen.

Komplexes «Social Engineering» spricht für staatliche Aktion

Noch beeindruckender als die technische Umsetzung ist der menschliche Faktor bei der Aktion. Ausschlaggebend für das Gelingen war sogenanntes «Social Engineering», worunter das Täuschen und Manipulieren von anderen Personen verstanden wird, mit dem Ziel, sie zu gewünschten Handlungen zu bewegen.

Im Falle der «xz Utils» bauten die Akteure nicht nur die falsche Person Jia Tan auf. Sie setzt auch angebliche Drittpersonen ein, um Druck auf den Projektverantwortlichen aufzubauen. Das sei «der verrückteste Angriff», mit dem er sich je befasst habe, schreibt der italienische IT-Sicherheitsforscher Emanuele De Lucia. Der komplexe Einsatz von «Social Engineering» entspreche dem Vorgehen staatlicher Gruppen. „Eine wirklich beeindruckende Leistung der Angreifer.“

Der Angriff zeigt auch die unbefriedigende Situation bei der Entwicklung von Open-Source-Software. Obwohl solche offene Software von vielen Unternehmen – darunter auch große Tech-Firmen – eingesetzt wird, hängt die Weiterentwicklung und Verbesserung der Programme von einzelnen Personen ab.

Dass die Entwickler oft freiwillig arbeiten oder zumindest nicht angemessen entschädigt werden, hat den Angriff möglicherweise begünstigt. Allerdings finden Geheimdienste auch Mittel und Wege für gleichartige Angriffe bei kommerziellen Softwareanbietern. Im bekannten Fall von Solarwinds gelang es einem russischen Dienst, über eine Netzwerkmanagement-Software rund 18 000 Netzwerke zu infizieren.

Die hochprofessionellen Angriffe auf die «xz Utils» zeigen, dass gewisse Nachrichtendienste mit großem Aufwand betrieben werden, um langfristig Zugang zu IT-Systemen zu erhalten. Solche Operationen werden nicht nur von Russland oder China durchgeführt, sondern auch von den USA oder von Großbritannien.

Und die Dienste dürften damit auch Erfolg haben. Denn dass die Hintertüre nur durch Zufall entdeckt wurde, heisst auch: Solche Operationen werden in vielen Fällen wohl gar nie entdeckt – oder zumindest erst nach langer Zeit.