Abo
  • Services:
Anzeige
Poseidon mit seinem Dreizack
Poseidon mit seinem Dreizack (Bild: Hans Andersen/CC-BY-SA 3.0)

Zahlreiche multinationale Unternehmen betroffen

Den Experten von Kaspersky Labs sind mindestens 35 Opfer dieses Vorgehens bekannt, meist multinationale Konzerne etwa aus Brasilien, Frankreich oder den Vereinigten Arabischen Emiraten. Ihnen zufolge wurden einzelne Unternehmen nur gehackt, um Informationen zu erlangen, die sich anschließend für weitere Angriffe verwenden lassen. Meist wird auch deren technische Infrastruktur verwendet, um Angriffe möglichst gut verschleiern zu können, wie beispielsweise im Fall der illegitimen Nutzung der Satelliten-Kommunikation.

Anzeige

Nachdem ein Spear-Phishing-Angriff gelungen ist, geht ein Angriff in die nächste Phase über. Die Täter nutzen bei der erwähnten Analyse der Netzwerkumgebung bereits frühzeitig ein Erkennungssystem für Antiviren-Programme, in ihrer Liste befinden sich laut den Sicherheitsexperten zwölf weitverbreitete Antiviren-Programme. Zudem prüfen sie die Gruppenrichtlinienobjekte und schauen sich nach Software-Sperren und Freigaben um, um anschließend gezielt Software nachzuladen oder Lücken in vorliegenden Softwarefreigaben zu nutzen.

Die Angreifer scheinen aus einem ganzen Arsenal von kriminellen Tools schöpfen zu können - von Windows 98 bis hin zu Windows 10 haben sie Tools, die eine Rechteausweitung (privilege escalation) ermöglichen. Die Angreifer nutzen Build-Scripts, welche on-the-fly Textdateien verwenden und aus ihnen Programme machen. Dieses Vorgehen wurde vermutlich gewählt, um immer wieder nur eine ausführbare Datei "unauffindbar" für Antiviren-Programme zu machen.

Die Experten gehen aufgrund des Umfangs der Tools und der Wahl von über fünf verschiedenen Programmiersprachen davon aus, dass es sich nicht um eine einzelne Person, sondern zumindest um eine größere Personengruppe handeln muss - allerdings sei es kein Staat, denn die Angreifer suchen nicht nach geheimen Informationen, sondern scheinen die direkte Verwertung von Informationen für Geld (etwa Kontodaten) zu bevorzugen. Sind diese Informationen einmal erlangt, tauchen die Angreifer und Tools meist vollständig ab. Sämtliche Dateien werden gelöscht und nur einzelne Open-Source-Tools bleiben auf den betroffenen Systemen übrig, aus dessen Konfiguration sich rekonstruieren lässt, dass die Systeme einmal gehackt waren.

Windows 98 wird noch aktiv exploitet

Trotz des vorsichtigen Vorgehens der Angreifer konnten die Experten den Tätern zumindest etwas auf die Schliche kommen. Die Täter scheinen langjährige Erfahrung im Bereich von Windows-Netzwerken zu haben, denn sie nutzen Payloads, die auf Windows-98-Systeme anwendbar sind. Laut den Experten wurde dieses Vorgehen gewählt, da den Angreifern vorab bekannt war, dass in lateinamerikanischen Ländern und Organisationen solche Systeme immer noch verwendet werden. Auch weitere Spuren in Quellcodes oder den Spear-Phishing-E-Mails deuten auf Angreifer aus dem portugiesischen Sprachraum, etwa Brasilien, hin.

Die Gruppe sei immer noch aktiv und könne in jedem Moment zuschlagen, so die Experten. Zudem scheinen die Täter immer wieder Sicherheitskonferenzen wie die Blackhat zu beobachten. Denn einige Techniken, die auf solchen Konferenzen vorgestellt wurden, ließen sich nach einigen Monaten in den Tools der Gruppe finden. Fraglich, wann und wo die Gruppe das nächste Mal zuschlägt. In jedem Fall wird sie - wie in der Vergangenheit auch - versuchen, unerkannt zu bleiben.

 Poseidon-Gruppe: Über ein Jahrzehnt internationale Cyberattacken

eye home zur Startseite
Tim Schäfers 12. Feb 2016

Vielen Dank für den Hinweis - da ist uns in der Tat ein Fehler unterlaufen. Seit gestern...

Tim Schäfers 10. Feb 2016

Das sind weder Vermutungen noch Tatsachen - sondern Erfahrungswerte aus früheren Fällen...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Thalia Bücher GmbH, Berlin
  3. BST eltromat International Leopoldshöhe GmbH, Bielefeld
  4. über Hays AG, Karlsfeld


Anzeige
Blu-ray-Angebote
  1. 109,00€
  2. (u. a. John Wick, Leon der Profi, Auf der Flucht, Das Schweigen der Lämmer)
  3. (u. a. London Has Fallen, The Imitation Game, Lone Survivor, Olympus Has Fallen)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  2. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  3. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  4. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  5. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  6. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  7. Kein Internet

    Nach Windows-Update weltweit Computer offline

  8. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  9. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  10. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

  1. Re: Mensch Hauke

    Keepo | 11:32

  2. Diese ganzen angeblichen F2P sollte man genauer...

    ArchLInux | 11:32

  3. Re: mit Linux...

    Friedrich.Thal | 11:31

  4. Wenn man in jedem Satz...

    TodesBrote | 11:31

  5. Re: Seit zwei Wochen sehr zufrieden

    mfusel | 11:15


  1. 11:07

  2. 09:01

  3. 18:40

  4. 17:30

  5. 17:13

  6. 16:03

  7. 15:54

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel