• IT-Karriere:
  • Services:

Operation Volatile Cedar: Spionagesoftware aus dem Libanon

Die Malware der Operation Volatile Cedar ist nicht leicht aufzuspüren, auch wenn sie sich nicht mit ausgereifter Spionagesoftware vergleichen lässt - denn die Angreifer setzen sie nur gezielt ein und entwickeln sie akribisch weiter.

Artikel veröffentlicht am ,
Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon.
Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon. (Bild: Las Bozych Cedrów, CC BY-SA 3.0)

Klasse statt Masse: Die vermutlich seit drei Jahren laufende Operation Volatile Cedar ist trotz mittelmäßiger Malware nur sehr schwer aufzuspüren. Denn die Angreifer überwachen die von ihnen angegriffenen Rechner durchgängig und können so auf Enttarnungsversuche schnell reagieren. Die Kampagne lasse sich mindestens bis 2012 zurückverfolgen, hat Michael Shalyt vom IT-Sicherheitsunternehmen Check Point zu Golem.de gesagt. Hinweise in der Spionagesoftware lassen vermuten, dass die Gruppe aus dem Libanon agiert.

Inhalt:
  1. Operation Volatile Cedar: Spionagesoftware aus dem Libanon
  2. Vom Webserver in interne Netz

Den Kern der Spionagesoftware nennt Check Point Explosive. Die Zeichenkette taucht in der von dem Unternehmen analysierten Malware auf. Volatile Cedar lässt sich mit explosive Zeder übersetzen, in Anspielung auf den Baum, der die Nationalflagge des Libanon ziert. Die Experten bei Check Point fanden nicht nur IP-Adressen von C&C-Servern, die in dem kleinen Land stehen, sondern auch Hinweise auf dessen Zeitzone GMT +2, in der die Mitglieder der Gruppe normalerweise von 8 bis 17 Uhr an der Spionagesoftware arbeiten. Auch in der Malware entdeckte DNS-Einträge konnten in den Libanon zurückverfolgt werden.

Angreifer mit politischem Hintergrund

Die angegriffenen Rechner deuten auf ein politisches Interesse der Mitglieder der Gruppe Volatile Cedar hin: Neben Rüstungs- waren auch Telekommunikationsunternehmen und Medien in mindestens zehn Ländern Opfer der Angriffe, etwa in den USA, Kanada, der Türkei, in Israel und auch im Libanon selbst. Details zu den angegriffenen Zielen wollte Shaylat nicht nennen. Er geht aber davon aus, dass die Gruppe zumindest Unterstützung von einer staatlichen Organisation erhält. Der Libanon ist nicht nur seit Ausbruchs des Bürgerkriegs in Syrien in einer prekären geopolitischen Lage. Dort ist die Hisbollah beheimatet, und auch Israel dürfte weiterhin seinen Einfluss geltend machen. Eine eindeutige Zuordnung sei aber gegenwärtig nicht möglich, sagte Shalyt zu Golem.de.

Zunächst suchen die Mitglieder der Operation Volatile Cedar nach verwundbaren Webservern in den von ihnen anvisierten Unternehmen oder Einrichtungen. Gezielte Angriffe per Phishing führen sie nicht durch. Der Webserver wird erst automatisiert und später manuell nach Schwachstellen geprüft. Gelingt der Einbruch, sammelt der in Explosive integrierte Keylogger dort eingegebene Passwörter. Ein beigelegter Port Scanner verschafft den Angreifern eine erste Übersicht über die Netzwerkinfrastruktur.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Vom Webserver in interne Netz 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


Macbook Pro 16 Zoll - Test

Das Macbook Pro 16 stellt sich in unserem Test als eine echte Verbesserung dar. Das liegt auch daran, dass Apple einen Schritt zurückgeht, das Butterfly-Keyboard fallenlässt und die physische Escape-Taste zurückbringt.

Macbook Pro 16 Zoll - Test Video aufrufen
Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

    •  /