Abo
  • IT-Karriere:

Operation Volatile Cedar: Spionagesoftware aus dem Libanon

Die Malware der Operation Volatile Cedar ist nicht leicht aufzuspüren, auch wenn sie sich nicht mit ausgereifter Spionagesoftware vergleichen lässt - denn die Angreifer setzen sie nur gezielt ein und entwickeln sie akribisch weiter.

Artikel veröffentlicht am ,
Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon.
Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon. (Bild: Las Bozych Cedrów, CC BY-SA 3.0)

Klasse statt Masse: Die vermutlich seit drei Jahren laufende Operation Volatile Cedar ist trotz mittelmäßiger Malware nur sehr schwer aufzuspüren. Denn die Angreifer überwachen die von ihnen angegriffenen Rechner durchgängig und können so auf Enttarnungsversuche schnell reagieren. Die Kampagne lasse sich mindestens bis 2012 zurückverfolgen, hat Michael Shalyt vom IT-Sicherheitsunternehmen Check Point zu Golem.de gesagt. Hinweise in der Spionagesoftware lassen vermuten, dass die Gruppe aus dem Libanon agiert.

Inhalt:
  1. Operation Volatile Cedar: Spionagesoftware aus dem Libanon
  2. Vom Webserver in interne Netz

Den Kern der Spionagesoftware nennt Check Point Explosive. Die Zeichenkette taucht in der von dem Unternehmen analysierten Malware auf. Volatile Cedar lässt sich mit explosive Zeder übersetzen, in Anspielung auf den Baum, der die Nationalflagge des Libanon ziert. Die Experten bei Check Point fanden nicht nur IP-Adressen von C&C-Servern, die in dem kleinen Land stehen, sondern auch Hinweise auf dessen Zeitzone GMT +2, in der die Mitglieder der Gruppe normalerweise von 8 bis 17 Uhr an der Spionagesoftware arbeiten. Auch in der Malware entdeckte DNS-Einträge konnten in den Libanon zurückverfolgt werden.

Angreifer mit politischem Hintergrund

Die angegriffenen Rechner deuten auf ein politisches Interesse der Mitglieder der Gruppe Volatile Cedar hin: Neben Rüstungs- waren auch Telekommunikationsunternehmen und Medien in mindestens zehn Ländern Opfer der Angriffe, etwa in den USA, Kanada, der Türkei, in Israel und auch im Libanon selbst. Details zu den angegriffenen Zielen wollte Shaylat nicht nennen. Er geht aber davon aus, dass die Gruppe zumindest Unterstützung von einer staatlichen Organisation erhält. Der Libanon ist nicht nur seit Ausbruchs des Bürgerkriegs in Syrien in einer prekären geopolitischen Lage. Dort ist die Hisbollah beheimatet, und auch Israel dürfte weiterhin seinen Einfluss geltend machen. Eine eindeutige Zuordnung sei aber gegenwärtig nicht möglich, sagte Shalyt zu Golem.de.

Zunächst suchen die Mitglieder der Operation Volatile Cedar nach verwundbaren Webservern in den von ihnen anvisierten Unternehmen oder Einrichtungen. Gezielte Angriffe per Phishing führen sie nicht durch. Der Webserver wird erst automatisiert und später manuell nach Schwachstellen geprüft. Gelingt der Einbruch, sammelt der in Explosive integrierte Keylogger dort eingegebene Passwörter. Ein beigelegter Port Scanner verschafft den Angreifern eine erste Übersicht über die Netzwerkinfrastruktur.

Vom Webserver in interne Netz 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 135,00€ (Bestpreis!)
  2. (u. a. The Elder Scrolls Online: Elsweyr für 15,99€, Diablo 3 Battlechest für 17,49€, Iratus...
  3. 99,00€
  4. (u. a. 49-Zoll-TV für 399,99€, High-Resolution-Kopfhörer für 159,99€, Alpha 5100...

Folgen Sie uns
       


Raspberry Pi 4B - Test

Der Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuem Pi-Modell trotz bemerkenswerter Merkmale nicht.

Raspberry Pi 4B - Test Video aufrufen
Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

Whatsapp: Krankschreibung auf Knopfdruck
Whatsapp
Krankschreibung auf Knopfdruck

Ein Hamburger Gründer verkauft Arbeitsunfähigkeitsbescheinigungen per Whatsapp. Ist das rechtens? Ärztevertreter warnen vor den Folgen.
Von Miriam Apke

  1. Medizin Schadsoftware legt Krankenhäuser lahm
  2. Medizin Sicherheitslücken in Beatmungsgeräten
  3. Gesundheitsdaten Gesundheitsapps werden beliebter, trotz Datenschutzbedenken

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

    •  /