Abo
  • Services:
Anzeige
Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon.
Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon. (Bild: Las Bozych Cedrów, CC BY-SA 3.0)

Operation Volatile Cedar: Spionagesoftware aus dem Libanon

Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon.
Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon. (Bild: Las Bozych Cedrów, CC BY-SA 3.0)

Die Malware der Operation Volatile Cedar ist nicht leicht aufzuspüren, auch wenn sie sich nicht mit ausgereifter Spionagesoftware vergleichen lässt - denn die Angreifer setzen sie nur gezielt ein und entwickeln sie akribisch weiter.

Anzeige

Klasse statt Masse: Die vermutlich seit drei Jahren laufende Operation Volatile Cedar ist trotz mittelmäßiger Malware nur sehr schwer aufzuspüren. Denn die Angreifer überwachen die von ihnen angegriffenen Rechner durchgängig und können so auf Enttarnungsversuche schnell reagieren. Die Kampagne lasse sich mindestens bis 2012 zurückverfolgen, hat Michael Shalyt vom IT-Sicherheitsunternehmen Check Point zu Golem.de gesagt. Hinweise in der Spionagesoftware lassen vermuten, dass die Gruppe aus dem Libanon agiert.

Den Kern der Spionagesoftware nennt Check Point Explosive. Die Zeichenkette taucht in der von dem Unternehmen analysierten Malware auf. Volatile Cedar lässt sich mit explosive Zeder übersetzen, in Anspielung auf den Baum, der die Nationalflagge des Libanon ziert. Die Experten bei Check Point fanden nicht nur IP-Adressen von C&C-Servern, die in dem kleinen Land stehen, sondern auch Hinweise auf dessen Zeitzone GMT +2, in der die Mitglieder der Gruppe normalerweise von 8 bis 17 Uhr an der Spionagesoftware arbeiten. Auch in der Malware entdeckte DNS-Einträge konnten in den Libanon zurückverfolgt werden.

Angreifer mit politischem Hintergrund

Die angegriffenen Rechner deuten auf ein politisches Interesse der Mitglieder der Gruppe Volatile Cedar hin: Neben Rüstungs- waren auch Telekommunikationsunternehmen und Medien in mindestens zehn Ländern Opfer der Angriffe, etwa in den USA, Kanada, der Türkei, in Israel und auch im Libanon selbst. Details zu den angegriffenen Zielen wollte Shaylat nicht nennen. Er geht aber davon aus, dass die Gruppe zumindest Unterstützung von einer staatlichen Organisation erhält. Der Libanon ist nicht nur seit Ausbruchs des Bürgerkriegs in Syrien in einer prekären geopolitischen Lage. Dort ist die Hisbollah beheimatet, und auch Israel dürfte weiterhin seinen Einfluss geltend machen. Eine eindeutige Zuordnung sei aber gegenwärtig nicht möglich, sagte Shalyt zu Golem.de.

Zunächst suchen die Mitglieder der Operation Volatile Cedar nach verwundbaren Webservern in den von ihnen anvisierten Unternehmen oder Einrichtungen. Gezielte Angriffe per Phishing führen sie nicht durch. Der Webserver wird erst automatisiert und später manuell nach Schwachstellen geprüft. Gelingt der Einbruch, sammelt der in Explosive integrierte Keylogger dort eingegebene Passwörter. Ein beigelegter Port Scanner verschafft den Angreifern eine erste Übersicht über die Netzwerkinfrastruktur.

Vom Webserver in interne Netz 

eye home zur Startseite



Anzeige

Stellenmarkt
  1. AMETRAS rentconcept GmbH, Ravensburg oder Ettlingen (Home-Office möglich)
  2. Interhyp Gruppe, München
  3. über ifp - Personalberatung Managementdiagnostik, Westdeutschland
  4. Sika Deutschland GmbH, Stuttgart


Anzeige
Spiele-Angebote
  1. 299,00€
  2. 44,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Tipps für IT-Engagement in Fernost


  1. Kaby Lake

    Intel stellt neue Chips für Mini-PCs und Ultrabooks vor

  2. Telefonnummern für Facebook

    Threema profitiert von Whatsapp-Datenaustausch

  3. Browser

    Google Cast ist nativ in Chrome eingebaut

  4. Master of Orion im Kurztest

    Geradlinig wie der Himmelsäquator

  5. EU-Kommission

    Apple soll 13 Milliarden Euro an Steuern nachzahlen

  6. Videocodec

    Für Netflix ist H.265 besser als VP9

  7. Weltraumforschung

    DFKI-Roboter soll auf dem Jupitermond Europa abtauchen

  8. World of Warcraft

    Sechste Erweiterung Legion ist online

  9. Ripper

    Geldautomaten-Malware gibt bis zu 40 Scheine aus

  10. Europäische Union

    Irlands Steuervorteile für Apple sollen unzulässig sein



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Avegant Glyph aufgesetzt: Echtes Kopfkino
Avegant Glyph aufgesetzt
Echtes Kopfkino

Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

  1. Bis die Leute merken, dass Threema keinen Desktop...

    dantist | 15:00

  2. Re: Mittelfristig wird sich die freie Variante...

    Salzbretzel | 15:00

  3. Re: Datenschutz / Täterschutz

    PyCoder | 14:58

  4. Re: Ohhhh blockieren wir jetzt AdBlocker?

    SoniX | 14:55

  5. Re: Macs mit zeitgemäßer Hardware

    JanZmus | 14:54


  1. 15:01

  2. 14:57

  3. 14:24

  4. 14:00

  5. 12:59

  6. 12:31

  7. 12:07

  8. 11:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel