Thought Leadership
Entwickler:innen von Open-Source-Projekten haben begonnen, Software als Protest gegen Russland im Ukraine-Konflikt einzusetzen. Über Abhängigkeiten verbreiten sie Friedensbotschaften, aber auch bösartigen Code. Ein Vorgehen, das schwerwiegende Folgen für Organisationen haben kann.
Vor fünf Wochen startete Russland die Invasion der Ukraine. Seitdem zeigen Menschen weltweit ihre Solidarität mit der Ukraine. Neben dem Risiko für Leben und Eigentum direkt an der Front, konnten auch im Internet zunehmend Cyberrisiken festgestellt werden, die sowohl Unternehmen als auch Privatpersonen betreffen. Neben Betrugsmaschen, Desinformationskampagnen und neuen Wiper-Malware-Varianten (wie HermeticWiper, IsaacWiper und CaddyWiper), zeichnet sich nun ein weiterer Trend bei den Online-Auswirkungen des Russland-Kriegs ab: Protestware.
Der Begriff Protestware ist relativ neu entstanden und setzt sich aus den beiden Wörtern „Protest“ und „Software“ zusammen. Es handelt sich dabei um eine Software, die aus Protest gegen etwas oder gegen jemanden eingesetzt wird – in diesem Fall hauptsächlich gegen Russland und für die Ukraine.
So haben viele Open-Source-Entwickler:innen ihre Unterstützung für die Ukraine auf ihren offiziellen Webseiten zum Ausdruck gebracht, zum Beispiel in Form von Texten oder Bannern. Einige der Software-Aktivist:innen haben ihre Anwendungen zudem so geändert, dass sie derartige Unterstützungsbotschaften in die Benutzeroberfläche oder die README-Textdateien des Programms aufnehmen. Ein Paket namens es5-ext – ein Shim, das in ECMAScript 5- oder ECMAScript 6-Umgebungen verwendet werden kann – hat zum Beispiel eine neue Dependency namens postinstall.js erhalten. Diese zeigt einen Friedensappell mit Informationen über den Russland-Ukraine-Krieg an, sobald das Shim auf Systemen mit einer russischen IP-Adresse ausgeführt wird.
Einige Entwickler:innen kritisierten medikoo, den Programmierer hinter es5-ext und postinstall.js, da die Software npm aus ihrer Sicht kein geeigneter Ort für Politik sei. Ein Entwickler bezeichnete die Änderung am Shim sogar als Malware. Doch medikoo selbst blieb standhaft und sah bisher davon ab, die Abhängigkeit zu entfernen.
Protestware kann zu erheblichem Schaden führen
Nicht alle Software-Änderungen sind jedoch so harmlos. Mehrere Open-Source-Entwickler:innen haben ihre Projekte bereits ernsthaft sabotiert, indem sie Code hinzufügten, der im schlimmsten Fall verheerende Auswirkungen auf Systeme hat, die die Open-Source-Software herunterladen und ausführen.
Ein Beispiel: Anfang März wurde node-ipc, eine unter JavaScript-Programmierer:innen beliebte Abhängigkeit, aktualisiert und um einen Code erweitert, der laut dem Snyk-Sicherheitsforscher Liran Tal bedenklich hinsichtlich verdächtiger Aktivitäten und potenziellem Missbrauch des Quellcodes ist. Wenn die Versionen 10.1.1 und 10.1.2 auf Systemen in Russland oder Weißrussland ausgeführt werden, löschen sie Dateien vollständig von Rechnern und ersetzen sie durch ein Herz-Emoji.
Der node-ipc-Entwickler Brandon Nozaki Miller hat außerdem eine neue Bibliothek namens „peacenotwar“ entwickelt. Diese bietet die gleiche Wiper-Funktion wie das node-ipc-Paket. Miller fügte die Bibliothek als Dependency der node-ipc-Version 11.0.0 hinzu, sodass jedes Mal, wenn node-ipc aufgerufen wird, automatisch auch „peacenotwar“ ausgeführt wird. Einer der Payloads der Bibliothek besteht darin, eine Datei namens WITH-LOVE-FROM-AMERICA.txt auf dem Desktop und im OneDrive der betroffenen Nutzer:innen abzulegen.
Dasselbe tat Miller auch für die node-ipc-Version 9.2.2, die letzte stabile Version des Pakets, auf das sich viele Open-Source-Projekte stützen. Hier fügte er jedoch zusätzlich das beliebte Modul „colors“ als Abhängigkeit von diesem Paket hinzu. Auf diese Weise wurde bösartiger Code eingeschleust, der absichtlich erstellt wurde, um eine Endlosschleife in den Quellcode einzubauen und so einen Denial-of-Service (DoS) auf jedem node.js-Server auszulösen, der dieses Modul verwendet. Server, die die Version 9.2.2 verwenden, würden damit völlig unbrauchbar gemacht werden.
Das National Institute and Standards and Technology (NIST) der Vereinigten Staaten erkennt die bösartigen Paketversionen von node-ipc als Sicherheitslücke an, die als CVE-2022-23812 verfolgt wird.
Die russische Sberbank rät von Software-Updates ab
Aufgrund der neuen Bedrohung durch Protestware empfahl Russlands größte, staatliche Finanzinstitution Sberbank den russischen Bürger:innen, vorerst keine Software-Updates mehr zu installieren. In einer Pressemitteilung der Bank hieß es: „Wir fordern Nutzer auf, keine Software mehr zu aktualisieren, und Entwickler, die Kontrolle bei der Verwendung von externem Quellcode zu verschärfen. Wenn es dringend notwendig ist, Software zu verwenden, stellen Sie sicher, dass Sie alle heruntergeladenen Dateien mit einem Antivirenprogramm überprüfen, und wenn Sie den Code von jemand anderem in Ihren Programmen verwenden, führen Sie eine manuelle oder automatische Überprüfung durch, einschließlich der Einsicht in den Text des Quellcodes.“
Das Nationale Koordinationszentrum für Computerzwischenfälle (NKTsKI), eine russische Agentur für Cybersicherheit, hat angesichts der sabotierten Open-Source-Software ebenfalls eine Liste mit empfohlenen Richtlinien für IT-Risiken für russische Unternehmen und Organisationen veröffentlicht.
Neben russischen Unternehmen wurde auch bereits eine in Washington ansässige, amerikanische Nichtregierungsorganisation, die Menschenrechte in postsowjetischen Staaten überwacht, Opfer von Millers Protestware. Einem GitHub-Bericht zufolge stand die NGO mit 2.500 Hinweisgebern in Kontakt, die detaillierte Berichte über verschiedene Arten von Missbrauchsfällen in Belarus lieferten. Aufgrund der dort herrschenden Internetzensur wurde einer der Webdienste, die zur sicheren Kontaktaufnahme genutzt werden, auf Servern in Belarus gehostet. Eine Aktualisierung des Pakets mit dem Modul node-ipc auf einem Produktionsserver führte dazu, dass der maliziöse Code ausgeführt wurde – und über 30.000 Nachrichten und Dateien gelöscht wurden, in denen Kriegsverbrechen der russischen Armee in der Ukraine beschrieben wurden. Laut der NGO können die Daten nicht wiederhergestellt werden.
Fazit: Open-Source ist nicht der richtige Ort für Protest
Durch Protestware können Internetnutzer:innen aktiv Technik einsetzen, um ein Zeichen der Solidarität für die Ukraine zu setzen, Fehlinformationen der russischen Regierung zu bekämpfen oder sogar Nachrichten an die russische Bevölkerung zu übermitteln. Und doch ist – abgesehen von den jeweiligen Schöpfer:innen der oben geschilderten, bösartigen Pakete – kein anderer Entwickler und keine andere Entwicklerin zufrieden mit dem, was Protestware letztlich zu bieten hat. Die große Mehrheit der Open-Source-Entwickler:innen sieht das FOSS-Ökosystem (Free and Open Source Software) als politisch neutrale Infrastruktur an. Die meisten sind sich einig, dass es bessere Möglichkeiten gibt, ihre Unterstützung für ein Volk oder eine Sache zum Ausdruck zu bringen. Insbesondere für diejenigen, die beliebte Pakte mit Millionen von Downloads pflegen.
Protestware – egal, ob sie als gut- oder bösartig angesehen wird – erschüttert das Vertrauen in Open-Source-Entwickler:innen. Darüber hinaus hat die Vorgehensweise wieder einmal Ängste und Bedenken hinsichtlich der Sicherheit und Integrität der Software-Lieferkette geschürt. Dieser Protest in Form von Protestware hat letztlich also nicht Gutes gebracht.
Pieter Arntz, Malware Intelligence Researcher bei Malwarebytes, https://de.malwarebytes.com/
