Abo
  • Services:

Darkhotel gehackt

In einem anderen Fall soll ein Akteur Angriffswerkzeuge einer bekannten Gruppe genutzt haben, um Angriffe zu starten. Eine Darkhotel genannte Gruppe - üblicherweise Südkorea zugeschrieben - nutzt seit Jahren unter anderem Exploits für Adobes Flashplayer, um Watering-Hole-Angriffe durchzuführen, bei denen bestimmte Webseiten im Umfeld der Opfer mit Malware infiziert werden. Damit soll eine indirekte Infektion mit Malware ohne den Versand von zum Beispiel Phishing-Mails erreicht werden.

Stellenmarkt
  1. Hays AG, Weissach
  2. TÜV SÜD Gruppe, München

Bei verschiedenen Operationen fanden die Forscher Ähnlichkeiten in den Angriffsmethoden - jedoch auf unterschiedliche Ziele. Sie gehen davon aus, dass eine zweite Gruppe mit dem Namen Scarcruft eine der Watering-Hole-Seiten von Darkhotel ebenfalls hacken konnte und die dort hinterlegten Angriffswerkzeuge für eigene Zwecke nutzte. Eine eindeutige Attribution vorzunehmen, erscheint vor diesem Hintergrund sehr problematisch.

Dass Angreifer gezielt falsche Spuren legen können, ist lange bekannt. Es ist zudem nicht einfach, falsche Fährten zu legen um eine False-Flag-Operation glaubhaft durchzuführen. Trotzdem zeigen die Beispiele, dass viele der Faktoren, die bei der Attribution eines Angriffs genutzt werden, sehr genau betrachtet werden müssen.

Verwirrung um Turla-Gruppe

Als Beispiel nannte Guerrero-Saade aktuelle Untersuchungen zu einer Gruppe, die Ähnlichkeiten mit der russischen Turla-Gruppe aufwies. Weil diese aber lange Zeit eine andere Infrastruktur und andere Code-Samples verwendet habe, sei die Community fast soweit gewesen, dahinter eine neue, bislang unbekannte Gruppe zu vermuten. Dann aber sei die Gruppe zu einigen bekannten Taktiken zurückgekehrt und doch als Turla identifiziert worden.

Je größer die Bandbreite an verfügbaren Tools für einen angreifenden Akteur ist, desto leichter kann dieser eine Erkennung anhand normalerweise verwendeter Indikatoren für einen Einbruch (Indicators of Compromise, IoC) umgehen. Am ehesten könnten bei der Identifikation von Mustern nach Angaben von Kaspersky noch Yara-Regeln helfen, also Beschreibungen bestimmter Muster in Text oder Binärcode.

Mit den Ergebnissen der Studie sehen die Autoren auch ein Ende der aus ihrer Sicht übertriebenen Darstellung der Aktionen von APTs. Nicht alle Bedrohungen und erfolgreichen Angriffe seien tatsächlich ein herausragender, langanhaltender Angriff. Als wirkliche APT-Gruppen bezeichnet Kaspersky demnach nur Equation, Regin, Duqu und Careto. Eine weitere bedeutsame Gruppe sei Project Sauron. Verschiedene Sicherheitsfirmen verwenden für die Gruppen oft ihre eigenen Namen, was der Übersichtlichkeit in diesem ohnehin komplexen Feld nicht immer guttut. Hilfe kann dieses Google Doc bieten.

 Wenn der Energetic Bear mit Zählpixeln überwacht wird
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Top-Angebote
  1. (heute u. a. Dual DT 210 Plattenspieler 77,00€ statt 111,99€)
  2. (heute u. a. Beyerdynamic DTX 910 Kopfhörer, NZXT H700i Gehäuse, HP Notebook)
  3. (u. a. Canon EOS 2000D + Objektiv 18-55 mm für 299€ statt 394€ im Vergleich)
  4. ab 119,99€

bombinho 09. Okt 2017

Dass den Russen immer viel zugeschrieben wird, ist ja mittlerweile zum Standardverfahren...

Vögelchen 07. Okt 2017

überlege ich mir, ob ich nicht einen Beil-Handel eröffnen sollte! Der Bedarf scheint ja...


Folgen Sie uns
       


FritzOS 7 - Test

FritzOS 7 steckt voller sinnvoller Neuerungen: Im Test gefallen uns der einfach einzurichtende WLAN-Gastzugang und die praktische Mesh-Übersicht. Nachholbedarf gibt es aber noch bei der NAS-Funktion.

FritzOS 7 - Test Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  2. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor
  3. NAND und DRAM Samsung scheint künstlich Flash-Preise hoch zu halten

    •  /