Weltweite Berühmtheit erlangte Aurora nicht nur, weil die mehr als 30 Opfer der offenbar gezielt eingeschleusten Malware so prominent waren. Auch die unter anderem von US-Außenministerin Clinton geäußerten Schuldzuweisungen in Richtung der chinesischen Regierung hatten es in sich. Auch das von Aurora befallene Unternehmen Google sah den Verursacher der mit viel technischer Raffinesse umgesetzten Attacke in China.

 

Nun scheinen sich die Schöpfer von Aurora zurück zu melden. Jedenfalls fanden die Antivirenexperten von Symantec genügen Anzeichen für diese Vermutung, wie sie in einem Blog-Eintrag schreiben. Symanec analysierte eine PDF-Datei, die zum Missbrauch einer Lücke im Adobe Reader erstellt und per E-Mail versandt wurde. Der Angriff hebelt dabei offenbar auch die Windows-eigenen Schutzmechanismen DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) aus. Ist der Angriff erfolgreich, legt der Prozess eine mit einem gestohlenen Zertifikat signierte Datei im Temp-Ordner ab. Dieses File lädt dann in der Folge weiteren Schadcode aus dem Web nach.

 

Sowohl der Aufbau dieses Downloaders als auch die Machart der in verschiedenen Sprachen verschickten E-Mails, an denen die modifizierte PDF-Datei hing, lassen die Symantec-Experten vermuten, dass die gleichen Hintermänner am Werk sind wie seinerzeit bei Aurora: Die Angriffsmuster ähneln einander stark. Außerdem legen die Sendezeiten der E-Mails nahe, dass die am 08. September bekannt gewordene Lücke  zu diesem Zeitpunkt schon mindestens eine Woche lang aktiv missbraucht wurde.

 

Ein weiterer Hinweis ist es, der die Symantec-Forscher endgültig überzeugte: Auf einem offenbar in Chinas Shandong-Provinz befindlichen Computer wurden diverse, jeweils einmalige Varianten des PDFs entdeckt. Als Sicherheitsexperten seinerzeit den Ursprung von Aurora recherchieren wollten, endete ihre Spur genau dort – in der Shandong-Provinz. Ob sich die zurück gekehrten Aurora-Macher auch diesmal wieder prominente Unternehmen als Opfer auserkoren haben, verrät der Symantec-Blogeintrag jedoch nicht.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.