Abo
  • Services:
Anzeige
Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon.
Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon. (Bild: Las Bozych Cedrów, CC BY-SA 3.0)

Operation Volatile Cedar: Spionagesoftware aus dem Libanon

Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon.
Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon. (Bild: Las Bozych Cedrów, CC BY-SA 3.0)

Die Malware der Operation Volatile Cedar ist nicht leicht aufzuspüren, auch wenn sie sich nicht mit ausgereifter Spionagesoftware vergleichen lässt - denn die Angreifer setzen sie nur gezielt ein und entwickeln sie akribisch weiter.

Anzeige

Klasse statt Masse: Die vermutlich seit drei Jahren laufende Operation Volatile Cedar ist trotz mittelmäßiger Malware nur sehr schwer aufzuspüren. Denn die Angreifer überwachen die von ihnen angegriffenen Rechner durchgängig und können so auf Enttarnungsversuche schnell reagieren. Die Kampagne lasse sich mindestens bis 2012 zurückverfolgen, hat Michael Shalyt vom IT-Sicherheitsunternehmen Check Point zu Golem.de gesagt. Hinweise in der Spionagesoftware lassen vermuten, dass die Gruppe aus dem Libanon agiert.

Den Kern der Spionagesoftware nennt Check Point Explosive. Die Zeichenkette taucht in der von dem Unternehmen analysierten Malware auf. Volatile Cedar lässt sich mit explosive Zeder übersetzen, in Anspielung auf den Baum, der die Nationalflagge des Libanon ziert. Die Experten bei Check Point fanden nicht nur IP-Adressen von C&C-Servern, die in dem kleinen Land stehen, sondern auch Hinweise auf dessen Zeitzone GMT +2, in der die Mitglieder der Gruppe normalerweise von 8 bis 17 Uhr an der Spionagesoftware arbeiten. Auch in der Malware entdeckte DNS-Einträge konnten in den Libanon zurückverfolgt werden.

Angreifer mit politischem Hintergrund

Die angegriffenen Rechner deuten auf ein politisches Interesse der Mitglieder der Gruppe Volatile Cedar hin: Neben Rüstungs- waren auch Telekommunikationsunternehmen und Medien in mindestens zehn Ländern Opfer der Angriffe, etwa in den USA, Kanada, der Türkei, in Israel und auch im Libanon selbst. Details zu den angegriffenen Zielen wollte Shaylat nicht nennen. Er geht aber davon aus, dass die Gruppe zumindest Unterstützung von einer staatlichen Organisation erhält. Der Libanon ist nicht nur seit Ausbruchs des Bürgerkriegs in Syrien in einer prekären geopolitischen Lage. Dort ist die Hisbollah beheimatet, und auch Israel dürfte weiterhin seinen Einfluss geltend machen. Eine eindeutige Zuordnung sei aber gegenwärtig nicht möglich, sagte Shalyt zu Golem.de.

Zunächst suchen die Mitglieder der Operation Volatile Cedar nach verwundbaren Webservern in den von ihnen anvisierten Unternehmen oder Einrichtungen. Gezielte Angriffe per Phishing führen sie nicht durch. Der Webserver wird erst automatisiert und später manuell nach Schwachstellen geprüft. Gelingt der Einbruch, sammelt der in Explosive integrierte Keylogger dort eingegebene Passwörter. Ein beigelegter Port Scanner verschafft den Angreifern eine erste Übersicht über die Netzwerkinfrastruktur.

Vom Webserver in interne Netz 

eye home zur Startseite



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, München
  2. Isar Kliniken GmbH, München
  3. Daimler AG, Sindelfingen
  4. B. Braun Melsungen AG, Melsungen


Anzeige
Top-Angebote
  1. 699,00€ inkl. Versand statt 899,00€
  2. u. a. Corsair mechanische Tastatur, Razer Mamba Maus, Sennheiser Headset)

Folgen Sie uns
       


  1. IEEE 802.11ax

    Broadcom bietet Chip-Plattform für das nächste 5-GHz-WLAN

  2. Alternativer PDF-Reader

    ZDI nötigt Foxit zum Patchen von Sicherheitslücken

  3. Elektro-Cabriolet

    Vision Mercedes-Maybach 6 mit 500 km Reichweite

  4. Eufy Genie

    Ankers Echo-Dot-Konkurrenz kostet 50 Euro

  5. Kaby Lake Refresh

    Intel bringt 15-Watt-Quadcores für Ultrabooks

  6. Indiegames

    Erfahrungen mit der zufallsgenerierten Apokalypse

  7. Microsoft

    Hungrige Dinos, schicke Konsolen und die Sache mit Age 4

  8. Hollywoodstudios

    Apple will Kinofilme kurz nach der Premiere streamen

  9. I.D. Buzz

    VW baut den Elektro-Bulli

  10. Animationstechnologie

    Remedy Games verwendet Motion Matching in P7



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

Google Home auf Deutsch im Test: "Tut mir leid, ich verstehe das nicht"
Google Home auf Deutsch im Test
"Tut mir leid, ich verstehe das nicht"
  1. Kompatibilität mit Sprachassistenten Trådfri-Update kommt erst im Herbst
  2. Smarte Lampen Ikeas Trådfri wird kompatibel mit Echo, Home und Homekit
  3. Lautsprecher-Assistent Google Home ab 8. August 2017 in Deutschland erhältlich

Mercedes S-Klasse im Test: Das selbstfahrende Auto ist schon sehr nahe
Mercedes S-Klasse im Test
Das selbstfahrende Auto ist schon sehr nahe
  1. Erste Tests Autonome Rollstühle sollen Krankenhäuser erobern
  2. Autonomes Fahren Fiat Chrysler kooperiert mit BMW und Intel
  3. 3M Verkehrsschilder informieren autonom fahrende Autos

  1. Re: Ist "aktuellen Film früh sehen" wirklich so...

    Niaxa | 10:22

  2. Re: was macht das ding denn jetzt konkret?

    albert992 | 10:21

  3. Re: Autoplay...

    razer | 10:20

  4. Re: Wieso immer Luxus-/Sportwagen?

    photoliner | 10:19

  5. Re: 80km was soll man den damit

    catdeelay | 10:19


  1. 10:06

  2. 09:47

  3. 09:26

  4. 09:06

  5. 09:00

  6. 08:48

  7. 08:19

  8. 07:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel