https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Operation_Shady_RATOperation Shady RAT - Versionsgeschichte2026-06-01T15:23:39ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Operation_Shady_RAT&diff=2373599&oldid=previmported>Catullus26 am 22. März 2026 um 11:37 Uhr2026-03-22T11:37:14Z<p></p>
<p><b>Neue Seite</b></p><div>'''Operation Shady RAT''' (engl.; etwa „zwielichtige Ratte“<ref>{{Internetquelle | url=http://www.sueddeutsche.de/digital/cyber-kriminalitaet-us-firma-will-groesste-hacker-attacke-der-geschichte-entdeckt-haben-1.1127481 | werk=Süddeutsche Zeitung Online| datum = 3. August 2011 | titel =Cyber-Kriminalität: US-Firma will größte Hacker-Attacke der Geschichte entdeckt haben |abruf=2011-08-04}}</ref> oder „verborgener Fernzugriff“) ist die Bezeichnung für [[Hacker (Computersicherheit)|Hackerangriffe]], bei denen von etwa 2006 bis 2011 weltweit mindestens 72 Unternehmen, Organisationen und Regierungen systematisch ausgespäht wurden. [[Dmitri Alperovitch]], ein Mitarbeiter des US-amerikanischen Computersicherheitsunternehmens [[McAfee]], prägte die Bezeichnung, die auf den englischsprachigen Begriff ''Remote Access Tool'' ([[Fernwartung|Fernzugriffssoftware]]) Bezug nimmt.<br />
<br />
== Aufdeckung ==<br />
Am 2. August 2011, zum Beginn der [[Black Hat Briefings|„Black Hat“-Konferenz]] in [[Las Vegas]],<ref name="faz1">{{Internetquelle | url=https://www.faz.net/aktuell/technik-motor/digital/72-regierungen-firmen-und-einrichtungen-betroffen-bislang-groesste-serie-von-hacker-angriffen-entdeckt-11111054.html | werk=FAZ.net| datum = 3. August 2011 | titel =Bislang größte Serie von Hacker-Angriffen entdeckt |abruf=2015-03-04}}</ref> veröffentlichte Dmitri Alperovitch in einem offiziellen [[Blog]] von McAfee einen vierzehnseitigen Bericht,<ref name="Alpero1">{{Internetquelle| url=http://www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf| autor=Dmitri Alperovitch| titel=Revealed: Operation Shady Rat| sprache=en|abruf=2011-08-04| format=PDF; 5,0&nbsp;MB| archiv-url=https://web.archive.org/web/20110804083836/http://www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf| archiv-datum=2011-08-04 }}</ref> in dem er die seit März 2011<ref name="faz1" /> bei McAfee bekannten Fakten zusammenfasste, 72 Ziele der Hackerangriffe auflistete, und eine grafische Aufbereitung der Angriffe seit 2006 anbot. Er klassifizierte sie, wie die [[Internet Explorer#Operation Aurora|Operation Aurora]] und die [[Operation Night Dragon]], die von China ausgingen,<ref>{{Internetquelle | url=http://www.sueddeutsche.de/digital/mcafee-bericht-ueber-gigantische-cyber-attacke-die-spur-fuehrt-nach-china-1.1127694 | werk=Süddeutsche Zeitung Online| datum = 3. August 2011 | titel =Die Spur führt nach China|abruf=2011-08-04}}</ref> als ''[[Advanced Persistent Threat]]''<ref>McAfee definiert den Begriff als Cyberspionage oder -Sabotage, die von einem Nationalstaat ausgeht und sich in ihren Motiven von den politischen, kriminellen oder finanziellen Motiven nicht staatlich gelenkter Cyberkrimineller unterscheidet. {{Internetquelle| url=http://www.networkworld.com/news/2011/020111-advanced-persistent-threat.html?page=1| werk=Networkworld| datum=1. Februar 2011| titel=What is an 'Advanced Persistent Threat,' anyway?| sprache=en|abruf=2011-08-05| archiv-url=https://web.archive.org/web/20120512163121/http://www.networkworld.com/news/2011/020111-advanced-persistent-threat.html?page=1| archiv-datum=2012-05-12 }}</ref> und damit als größere Bedrohung für Staaten und Unternehmen, als sie etwa von Gruppen wie [[Anonymous (Kollektiv)|Anonymous]] oder [[LulzSec]] ausgehe.<ref name="Alpero1" /><ref>{{Internetquelle | url=http://www.n-tv.de/technik/Der-schlimmste-Hacker-ist-ein-Staat-article3966796.html | werk=n-tv| datum = 3. August 2011 | titel =Schlimmster Hacker ist ein Staat|abruf=2011-08-04}}</ref> Alperovitch informierte die amerikanische Regierung, den Kongress und Strafverfolgungsbehörden von seiner Entdeckung.<ref name="ZDNet" /><br />
<br />
== Bewertung ==<br />
Während Alperovitch die mit ''Operation Shady RAT'' beschriebenen Angriffe als „beispiellos“ bezeichnete, den Datenverlust als wirtschaftliche Bedrohung von Unternehmen oder ganzen Ländern einschätzte und auch die Frage nach der nationalen Sicherheit aufwarf,<ref name="Alpero1" /> waren die Sicherheitsforscher anderer Unternehmen wie [[NortonLifeLock|Symantec]], [[Kaspersky Lab|Kaspersky]] und [[Dell]] SecureWorks in ihren Beurteilungen zurückhaltender. Einzelheiten über das Ausmaß des Datenverlustes seien noch nicht bekannt und die technische Versiertheit der Angreifer nicht so hoch, wie zunächst angenommen. Der Symantec-Forscher Hon Lau bewertete die ''Operation Shady RAT'' zwar als „signifikant“, aber nur als „einen von vielen Angriffen, die täglich stattfinden“.<ref>{{Internetquelle | url=http://www.computerworld.com/s/article/9218910/_Shady_RAT_hacking_claims_overblown_say_security_firms | werk=Computerworld| datum = 5. August 2011 | titel ='Shady RAT' Hacking Claims Overblown, Say Security Firms|sprache=en|abruf=2011-08-07}}</ref><ref name="gulli1">{{Internetquelle | url=http://www.gulli.com/news/16790-sicherheitsforscher-shady-rat-wird-ueberschaetzt-2011-08-06 | werk=gulli.com| datum = 6. August 2011 | titel =Sicherheitsforscher: "Shady RAT" wird überschätzt | archiv-url=https://archive.today/20130125021814/http://www.gulli.com/news/16790-sicherheitsforscher-shady-rat-wird-ueberschaetzt-2011-08-06 | archiv-datum=2013-01-25 |abruf=2011-08-07}}</ref> [[Jewgeni Walentinowitsch Kasperski|Jewgeni Kasperski]] fasste zusammen, die Attacke sei überbewertet worden und verdiene nicht viel Beachtung. Sie sei mit kostengünstiger Software nicht von einem Staat, sondern von Kriminellen durchgeführt worden.<ref>{{Internetquelle | url=https://www.heise.de/newsticker/meldung/Kaspersky-laestert-ueber-McAfees-schaebige-Ratte-1325314.html | werk=Heise.de| datum = 18. August 2011 | titel =Kaspersky lästert über McAfees "schäbige Ratte" |abruf=2011-08-20}}</ref><ref>{{Internetquelle | url=http://eugene.kaspersky.com/2011/08/18/shady-rat-shoddy-rat/ | werk=Blog von Jewgeni Kasperski| datum = 18. August 2011 | titel =Shady RAT: Shoddy RAT |sprache=en|abruf=2011-08-20}}</ref><br />
<br />
== Vorgehensweise der Angreifer ==<br />
2009 hatte McAfee einen zentralen Steuerungsserver identifiziert, auf dem sich Protokolle der Angriffe fanden<ref name="faz1" /> und bis zur Mitte des Jahres 2006 nachverfolgt werden konnten. Möglicherweise hatten sie bereits früher begonnen und dauerten im Sommer 2011 noch an.<ref name="ZDNet" /> Die Zugänge zu den jeweiligen Rechnersystemen wurden mit Hilfe von [[Phishing|Spear-Phishing]]-E-Mails erreicht.<ref name="Alpero1" /> Dabei werden [[E-Mail]]s, die im Gegensatz zu anderen Phishing-Mails in ihrer korrekt wirkenden Aufmachung kaum von einer legitimen Nachricht unterschieden werden können, an Adressaten versandt, die bereits Zugang zum anzugreifenden Netz haben. Sie enthalten [[Malware]], die dafür sorgt, dass der Angreifer den nunmehr infizierten Rechner von außen steuern kann.<ref>{{Internetquelle | url=https://www.heise.de/newsticker/meldung/Profi-Hacker-spionieren-weltweit-im-grossen-Stil-Regierungen-und-Industrie-aus-1317529.html | werk=Heise.de| datum = 3. August 2011 | titel =Profi-Hacker spionieren weltweit im großen Stil Regierungen und Industrie aus |abruf=2011-08-04}}</ref> Einer Analyse des Softwarehauses [[NortonLifeLock|Symantec]] zufolge wurden mit den E-Mails zunächst Dateianhänge verschickt, die das Interesse der Benutzer weckten und in gängigen Formaten gehalten waren. Sie enthielten Schadcode in Form von [[Trojanisches Pferd (Computerprogramm)|Trojanischen Pferden]], der die befallenen Rechner zum Herunterladen von Bildern veranlasste, in denen mittels [[Steganographie]] weitere Befehle zum Fernzugriff verborgen waren.<ref>{{Internetquelle | url=http://www.symantec.com/connect/blogs/truth-behind-shady-rat | werk=Symantec Security Response Blog| datum = 5. August 2011 | titel =The Truth Behind the Shady RAT |sprache=en|abruf=2011-08-05}}</ref><br />
<br />
== Angegriffene Organisationen ==<br />
Mindestens 72 Organisationen wurden angegriffen; von vielen weiteren nahm McAfee das an, ohne sie exakt identifizieren zu können. Unter ihnen finden sich Behörden der [[Vereinigte Staaten|Vereinigten Staaten]], [[Kanada]]s, [[Indien]]s, asiatischer Staaten, des Verbandes Südostasiatischer Nationen ([[ASEAN]]), der [[Vereinte Nationen|Vereinten Nationen]], des [[IOC|Internationalen Olympischen Komitees]], sowie verschiedene Unternehmen, eines davon in Deutschland. Mehrheitlich, in 49 Fällen, richteten sich die Angriffe gegen amerikanische Ziele.<ref name="Alpero1" /><ref>{{Internetquelle | url=https://www.welt.de/print/welt_kompakt/print_politik/article13525021/Groesste-Serie-von-Hackerangriffen-aufgedeckt.html | werk=Welt online| datum = 4. August 2011 | titel =Größte Serie von Hackerangriffen aufgedeckt |abruf=2011-08-04}}</ref> Der Schwerpunkt lag auf der Elektronik- und Rüstungsindustrie.<ref>{{Internetquelle |autor=Kai Schmerer |url=https://www.zdnet.de/41555411/operation-shady-rat-protokoll-der-cyber-spionage/#image=1 |titel=Operation Shady RAT: Protokoll der Cyber-Spionage |werk=zdnet.de |datum=2011-08-03 |abruf=2024-03-06}}</ref> Die Angreifer bewegten sich zwischen einem und 28 Monaten in den gehackten Systemen.<ref name="zeit1" /><br />
<br />
Bei den gestohlenen bzw. widerrechtlich kopierten Daten soll es sich Alperovitch zufolge unter anderem um Geheiminformationen der betroffenen Regierungen, [[Quellcode]]s für Software, Pläne zur Öl- und Gasförderung, Vertragstexte und E-Mails handeln. Das Volumen sei im [[Petabyte]]bereich anzusiedeln.<ref name="Alpero1" /> Ein Petabyte entspricht der Speicherkapazität von 250 handelsüblichen Festplatten zu je vier Terabyte.<br />
<br />
== Mögliche Täter ==<br />
Bei McAfee wurde vermutet, dass die Cyberangriffe von staatlichen Stellen ausgingen, ohne jedoch konkret zu werden.<ref name="zeit1">{{Internetquelle | url=http://www.zeit.de/digital/internet/2011-08/Internet-Hackerangriff-Datenraub | werk=Zeit online| datum = 3. August 2011 | titel =Systematischer Hacker-Angriff auf Regierungen und Firmen |abruf=2011-08-04}}</ref> Sie unterschieden sich, so Alperovitch, durch ihre Suche nach Geheimnissen und geistigem Eigentum von der üblichen Motivation Cyberkrimineller, die einen schnellen finanziellen Gewinn anstrebten. Das Interesse an Informationen aus westlichen und asiatischen Olympischen Komitees und der [[Weltantidopingagentur]] im Zusammenhang mit den [[Olympische Sommerspiele 2008|Olympischen Sommerspielen 2008]] spreche für einen Staat im Hintergrund, da sich diese Informationen nicht direkt in geschäftlichen Erfolg umsetzen ließen.<ref name="Alpero1" /> Jim Lewis vom Washingtoner ''[[Center for Strategic and International Studies]]'' vermutete, [[China]], der Ausrichter der Olympiade 2008, stehe hinter den Attacken.<ref name="faz1" /><ref>{{Internetquelle | url=https://www.washingtonpost.com/national/national-security/report-identifies-widespread-cyber-spying/2011/07/29/gIQAoTUmqI_story.html?hpid=z2 | werk=The Washington Post| datum = 3. August 2011 | titel =Report on ‘Operation Shady RAT’ identifies widespread cyber-spying |sprache=en|abruf=2011-08-04}}</ref> Dem Malware-Forscher Joe Stewart von Dell SecureWorks gelang es, einen chinesischen Ursprung zu bestätigen. Er entdeckte, dass die Angreifer ein zehn Jahre altes Programm namens ''HTran'' (''HUC Packet Transmit Tool'') benutzten, das ein chinesischer Hacker entwickelt hatte, um die Herkunft von Angriffen aus China verschleiern zu können. Ob die chinesische Regierung in die Angriffe verwickelt war, bleibt weiterhin offen.<ref name="gulli1" /><ref>{{Internetquelle|url=http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/231300171/apt-attackers-used-chinese-authored-hacker-tool-to-hide-their-tracks.html?itc=edit_stub|werk=darkreading.com|datum=3. August 2011|titel=APT Attackers Used Chinese-Authored Hacker Tool To Hide Their Tracks|sprache=en|abruf=2011-08-07|archiv-url=https://archive.today/20120729071502/http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/231300171/apt-attackers-used-chinese-authored-hacker-tool-to-hide-their-tracks.html?itc=edit_stub|archiv-datum=2012-07-29|offline= }}</ref><ref>{{Internetquelle | url=http://www.secureworks.com/research/threats/htran/ | werk=Dell SecureWorks| datum = 3. August 2011 | titel =HTran and the Advanced Persistent Threat | sprache=en|abruf=2011-08-07}}</ref><br />
<br />
== Reaktionen ==<br />
Eine Stellungnahme der chinesischen Regierung blieb aus, jedoch dementierten regierungsnahe Medien wie die Zeitung [[Renmin Ribao]] eine staatliche Täterschaft Chinas.<ref>{{Internetquelle| url=http://www.nzz.ch/aktuell/digital/china-weist-vorwuerfe-zurueck-1.11788052| werk=NZZ Online| datum=5. August 2011| titel=China weist Vorwürfe zurück|abruf=2011-08-06| archiv-url=https://web.archive.org/web/20140715200911/http://www.nzz.ch/aktuell/digital/china-weist-vorwuerfe-zurueck-1.11788052| archiv-datum=2014-07-15| offline= }}</ref><ref>{{Internetquelle | url=http://www.reuters.com/article/2011/08/05/us-china-cyberattacks-idUSTRE7740C420110805 | hrsg=Reuters| datum = 5. August 2011 | titel =China paper scoffs at suggestion Beijing is hacking villain|sprache=en|abruf=2011-08-06}}</ref> Eine Woche nach der Aufdeckung der Cyberattacken teilte die chinesische Regierung mit, sie selbst sei im Jahr 2010 Opfer einer halben Million derartiger Angriffe gewesen, von denen fast fünfzehn Prozent über [[IP-Adresse]]n aus den USA erfolgt seien. Das jeweilige Herkunftsland der Angriffe ließe sich jedoch nicht mit Sicherheit aus der Zuordnung der IP-Adressen ermitteln.<ref>{{Internetquelle | url=http://www.zdnet.de/news/41555580/china-war-2010-ziel-von-500-000-cyberattacken.htm | werk=ZDNet| datum = 10. August 2011 | titel =China war 2010 Ziel von 500.000 Cyberattacken |abruf=2011-08-20}}</ref><br />
<br />
Die kanadische Ministerin für staatliche Bauvorhaben und öffentlichen Dienst, [[Rona Ambrose]], kündigte drei Tage nach der ersten Veröffentlichung über die ''Operation Shady RAT'' an, die über 100 staatlichen E-Mailsysteme auf 20 zu reduzieren und 3000 Netzwerke zusammenführen zu wollen. Sie versprach sich davon sowohl eine Minderung der möglichen Angriffsfläche, als auch eine Einsparung von Kosten.<ref name="ZDNet">{{Internetquelle | url=http://www.zdnet.de/news/41555457/reaktion-auf-shady-rat-kanada-will-staatliche-it-zusammenfuehren.htm | werk=ZDNet| datum = 5. August 2011 | titel =Reaktion auf "Shady RAT": Kanada will staatliche IT zusammenführen |abruf=2011-08-05}}</ref> Auch [[Janet Napolitano]], die [[Ministerium für Innere Sicherheit der Vereinigten Staaten|Ministerin für Innere Sicherheit]] der Vereinigten Staaten, bestätigte, den Bericht von McAfee überprüfen zu lassen.<ref>{{Internetquelle | url=http://www.foxnews.com/scitech/2011/08/04/us-cybercops-caught-flat-footed-by-massive-global-cyberattack/ | werk=Fox News| datum = 4. August 2011 | titel =U.S. Cybercops Caught Flat-Footed by Massive Global Cyberattack |sprache=en|abruf=2011-08-06}}</ref> Weiterhin begannen das [[Büro der Vereinten Nationen in Genf]] und die Weltdopingagentur, zu überprüfen, ob die beschriebenen Hackerangriffe stattgefunden hätten. Letztere gab aber an, ein ausgefeiltes Sicherheitssystem zu besitzen. Es bestünde kein Grund, anzunehmen, dass Hacker Zugriff auf sensitive Daten gehabt hätten.<ref>{{Internetquelle | url=http://www.thenationonlineng.net/2011/index.php/news-update/14695-un-investigates-alleged-cyber-attack.html | werk=The Nation Online| datum = 4. August 2011 | titel =UN investigates alleged cyber attack | sprache=en|abruf=2011-08-06}}</ref><ref>{{Internetquelle | url=http://www.velonation.com/News/ID/9291/WADA-disputes-McAfee-report-that-its-system-was-hacked-for-a-total-of-14-months.aspx | werk=VeloNation| datum = 4. August 2011 | titel =WADA disputes McAfee report that its system was hacked for a total of 14 months|sprache=en|abruf=2011-08-06}}</ref><br />
<br />
In Deutschland ließ das [[Bundesamt für Sicherheit in der Informationstechnik]] verlauten, den Bericht Alperovitchs zu prüfen. [[Dieter Kempf]], Präsident des Branchenverbandes [[Bitkom]] der deutschen IT-Branche, forderte einen Ausbau des im Juni 2011 neu eingerichteten [[Nationales Cyber-Abwehrzentrum|Nationalen Cyber-Abwehrzentrums]] und eine engere Zusammenarbeit zwischen der Wirtschaft und staatlichen Stellen.<ref>{{Internetquelle | url=http://www.ftd.de/it-medien/medien-internet/:spur-nach-china-der-grosse-hack/60086974.html?page=4 | werk=Financial Times Deutschland| datum = 3. August 2011 | titel =Der große Hack |abruf=2011-08-05|archiv-url=https://archive.today/20120803035411/http://www.ftd.de/it-medien/medien-internet/:spur-nach-china-der-grosse-hack/60086974.html?page=4|archiv-datum=2012-08-03}}</ref><ref name="zeit1" /> Die [[DATEV]] dementierte, zu den Zielen der Angriffe gehört zu haben.<ref>{{Internetquelle | url=http://www.golem.de/1108/85495.html | werk=Golem.de| datum = 4. August 2011 | titel =DATEV: Von Operation Shady Rat nicht betroffen |abruf=2011-08-05}}</ref><br />
<br />
== Siehe auch ==<br />
* [[Cyberkrieg]]<br />
* [[Technologiediebstahl]]<br />
<br />
== Weblinks ==<br />
* [http://www.spiegel.de/netzwelt/web/0,1518,778126,00.html Cyber-Attacke „Shady Rat“ – Die Methoden der Mega-Hacker] [[Spiegel Online]], 3. August 2011<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Cyberattacke]]<br />
[[Kategorie:2000er]]<br />
[[Kategorie:Phishing]]</div>imported>Catullus26