Wenn der Energetic Bear mit Zählpixeln überwacht wird

Ein Beispiel der Forscher betrifft die Gruppe Energetic Bear, die der russischen Regierung zugeschrieben wird. Energetic Bear ist vor allem im Infrastrukturbereich aktiv und hat diverse Ziele in der Öl- und Gasindustrie angegriffen. Um die Operationen zu steuern, wird nach Angaben der Forscher ein Netzwerk aus gehackten Webseiten als Command-und-Control-Infrastruktur genutzt (C2-Infrastruktur).

Stellenmarkt
  1. Mitarbeiter im Service Desk (m/w/d)
    Techniklotsen GmbH, Bielefeld
  2. Product Designer UX/UI (m/f/d)
    ToolTime GmbH, Berlin
Detailsuche

Über ein Managementportal soll es der Gruppe außerdem möglich gewesen sein, die gewonnenen Informationen auszulesen oder Angriffe zu steuern. Für eine begrenzte Zeit soll aber ein weiterer Akteur diese Infrastruktur infiltriert haben. Über ein Zählpixel wurden Informationen über die Aktivität der Webseiten ausgelesen.

Die gesammelten Informationen seien dann an einen Server nach China weitergeleitet worden. Mit dem Fingerprinting dieser Spionageaktion lässt sich nach Angaben von Kaspersky nicht viel Geld verdienen - es sei daher unwahrscheinlich, dass gewöhnliche Kriminelle solchen Aufwand betrieben. Die Firma geht daher davon aus, dass ein anderer Geheimdienst versucht habe, die Aktivitäten des APT zu überwachen und dabei eine möglicherweise in die Irre führende Spur nach China gelegt habe.

Backdoor in Nettraveler-Operation

In einem anderen Fall entdeckte Kaspersky auf Servern der Nettraveler-Gruppe eine Backdoor, die dort vermutlich von einem anderen mächtigen Akteur platziert wurde. Nettraveler hatte rund neun Jahre lang gezielt Regierungen und Forschungsinstitute ausspioniert.

  • Karte der Nettraveler-Opfer (Bild: Kasperksy Lab)
  • Chart zu den Nettraveler-Opfern (Bild: Kasperksy Lab)
Chart zu den Nettraveler-Opfern (Bild: Kasperksy Lab)
Golem Akademie
  1. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    21.–24. Februar 2022, virtuell
  2. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    03.–04. Februar 2022, Virtuell
Weitere IT-Trainings

Bei der Backdoor handelt es sich nach Angaben der Sicherheitsfirma um eine modifizierte svchost.exe. Der Code sei in Assembler geschrieben und dann in eine ausführbare Visual-C-Datei implantiert worden, vermutlich um eine Erkennung durch Antivirenprogramme zu erschweren.

Über die entsprechende Infrastruktur hätten die Angreifer die Operationen der Gruppe nicht nur beobachten, sondern auch manipulieren können. Außerdem seien sie in der Lage, zahlreiche Informationen zu kopieren und damit eigene Angriffe durchzuführen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Geheimdienste: Wenn Hacker Hacker hacken, scheitert die AttributionDarkhotel gehackt 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Aktuell auf der Startseite von Golem.de
Lego Star Wars UCS AT-AT aufgebaut
"Das ist kein Mond, das ist ein Lego-Modell"

Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
Ein Praxistest von Oliver Nickel

Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
Artikel
  1. Kryptowährung im Fall: Bitcoin legt rasante Talfahrt hin
    Kryptowährung im Fall
    Bitcoin legt rasante Talfahrt hin

    Am Samstag setzte sich der Absturz des Bitcoin fort. Ein Bitcoin ist nur noch 34.200 US-Dollar wert. Auch andere Kryptowährungen machen Verluste.

  2. eStream: Airstream-Wohnwagen mit eigenem Elektroantrieb
    eStream
    Airstream-Wohnwagen mit eigenem Elektroantrieb

    Der Wohnwagen Airstream eStream besitzt einen eigenen Elektroantrieb nebst Akku. Das entlastet das Zugfahrzeug und eröffnet weitere Möglichkeiten.

  3. Andromeda: Dieses Microsoft-Smartphone-Betriebssystem erschien nie
    Andromeda
    Dieses Microsoft-Smartphone-Betriebssystem erschien nie

    Erstmals ist ein Blick auf Andromeda möglich - das Smartphone-Betriebssystem, das Microsoft bereits vor einigen Jahren eingestellt hat.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 120,95€ • Alternate (u.a. AKRacing Master Pro Deluxe 449,98€) • Seagate FireCuda 530 1 TB (PS5) 189,90€ • RTX 3070 989€ • The A500 Mini 189,90€ • Intel Core i9 3.7 459,50€ • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /