Über Monate hinweg sollen chinesische Hacker das interne Netzwerk der New York Times angegriffen und ausgespäht haben.
Die Angreifer infiltrierten die eMail Accounts von mehreren Reportern, welche an einer Story über die Familie des damaligen chinesischen Premierministers arbeiteten und konnten im weiteren Verlauf die Passwörter jedes Mitarbeiters der New York Times stehlen.
Die Angriffe begannen, als die NYT im Oktober 2012 einen Artikel über den damaligen Premier Wen Jiabao und das Vermögen seiner Familie vorbereitete. Die NYT war bereits vorgewarnt, als der verantwortlichen Redaktion seitens der chinesischen Regierung “Konsequenzen” im Falle eines möglichen Artikels über Jiabao angekündigt wurde. Als dann am 25. Oktober der Bericht veröffentlicht wurde und die NYT von ihrem Netzwerkbetreiber AT&T über ungewöhnlichen Datenverkehr in ihrem Netzwerk unterichtet wurde, schaltete man die Sicherheitsagentur Mandiant zum analysieren der Attacke ein.
Offenbar setzte der Angriff bereits Wochen früher ein und richtete sich mittels Spear Phishing zuerst gegen die Mailaccounts des leitenden Shanghaier Redakteurs David Barboza und des Leiters des Südasiatischen Büros Jim Yardley. Der Angriff setzte 45 verschiedene Tools ein, darunter auch Remote Access Tools, welche den Hackern den Zugang zum gesamten Netzwerk der NYT ermöglichten. Nur in einem einzigen Fall wurde von den auf den Rechnern Sicherheitslösungen Alarm geschlagen, ansonsten blieb die Unterwanderung des Netzwerkes quasi unbemekt von der eingesetzten Antivirensoftware.
Bemerkenswert ist hier die Entscheidung der NYT, nicht sofort Gegenmassnahmen einzuleiten, sondern das FBI zu informieren und mit Hilfe der Sicherheitsagentur Mandiant den Angriff zu analysieren, um die Aktivitäten der Eindringlinge zu beobachten und die verwendeten Sicherheitslücken zu analysieren. So wurden erst mit Abschluss der Analyse alle verwendeten Command&Control Server blockiert und die Einfallstore im Netzwerk geschlossen.
Auch wenn nicht bewiesen werden kann, dass es sich hierbei um einen koordinierten Angriff staatlicher chinesischer Stellen handelt, so waren die Aktivitäten laut AT&T typisch für frührere Angriffe, von denen man bereits annahm, dass sie vom chinesischen Millitär ausgingen. Zudem begannen die Angriffe recht pünktlich morgens um 8 Uhr chinesischer Zeit und gingen über die typische Dauer eines Arbeitstages. Die Angreifer benutzten ein Botnet von kompromittierten Rechnern auf US-Universitäten um die Herkunft ihres Angriffes zu verschleiern. Von einem vermutlich per Spear-Phising übernommenen Account konnten sie weitere Rechner im Netzwerk der New York Times infizieren und so nach und nach Malware im Netzwerk installieren, bis sie zu den Domain Controllern vordringen und Tabellen mit Benutzer- und -Passwortdaten in ihren Besitz bringen konnten.
Laut New York Times wurden keine Kundendaten kompromittiert, die Hacker hatten offenbar auch kein Interesse daran die Infrastruktur komplett lahmzulegen. Sie suchten nach dem Namen von Informaten, die mit dem Bericht von David Barboza in Zusammenhang gebracht werden können.
Eine ähnliche Vorgehensweise konnte bei dem 2009 erfolgten Hack von Coca-Cola beobachtet werden, der 2012 vom Finanznachrichtendienst Bloomberg an die Öffentlichkeit gebracht wurde. Damals wurden dem Unternehmen sensible Daten im Vorfeld einer geplanten Übernahme des chinesischen Getränkeherstellers Huiyuan Juice Group gestohlen – der Milliarden-Deal platzte wenige Tage später.
Spear-Phishing baut auf das Vertrauen der Opfer, oder nutzt gezielt allgemeine Schwächen wie Neugier, Angst oder andere persönliche Gefühle. Etwa Vertrauen darauf, dass eine Mail mit einem zu öffnendem Anhang von einem Geschäftspartner kommt, oder die Neugier dass der USB-Stick welchen man morgens auf dem Parkplatz findet wichtige Daten enthält. Hier kann nicht oft genug vor Gefahren gewarnt werden. Jeder Mitarbeiter muss sich seiner Verantwortung im Umgang mit Daten bewusst sein und für Bedrohungen von ausserhalb sensibilisiert werden.
