Abo
  • Services:

Zahlreiche multinationale Unternehmen betroffen

Den Experten von Kaspersky Labs sind mindestens 35 Opfer dieses Vorgehens bekannt, meist multinationale Konzerne etwa aus Brasilien, Frankreich oder den Vereinigten Arabischen Emiraten. Ihnen zufolge wurden einzelne Unternehmen nur gehackt, um Informationen zu erlangen, die sich anschließend für weitere Angriffe verwenden lassen. Meist wird auch deren technische Infrastruktur verwendet, um Angriffe möglichst gut verschleiern zu können, wie beispielsweise im Fall der illegitimen Nutzung der Satelliten-Kommunikation.

Stellenmarkt
  1. Technische Universität Berlin, Berlin
  2. Hauni Maschinenbau GmbH, Hamburg

Nachdem ein Spear-Phishing-Angriff gelungen ist, geht ein Angriff in die nächste Phase über. Die Täter nutzen bei der erwähnten Analyse der Netzwerkumgebung bereits frühzeitig ein Erkennungssystem für Antiviren-Programme, in ihrer Liste befinden sich laut den Sicherheitsexperten zwölf weitverbreitete Antiviren-Programme. Zudem prüfen sie die Gruppenrichtlinienobjekte und schauen sich nach Software-Sperren und Freigaben um, um anschließend gezielt Software nachzuladen oder Lücken in vorliegenden Softwarefreigaben zu nutzen.

Die Angreifer scheinen aus einem ganzen Arsenal von kriminellen Tools schöpfen zu können - von Windows 98 bis hin zu Windows 10 haben sie Tools, die eine Rechteausweitung (privilege escalation) ermöglichen. Die Angreifer nutzen Build-Scripts, welche on-the-fly Textdateien verwenden und aus ihnen Programme machen. Dieses Vorgehen wurde vermutlich gewählt, um immer wieder nur eine ausführbare Datei "unauffindbar" für Antiviren-Programme zu machen.

Die Experten gehen aufgrund des Umfangs der Tools und der Wahl von über fünf verschiedenen Programmiersprachen davon aus, dass es sich nicht um eine einzelne Person, sondern zumindest um eine größere Personengruppe handeln muss - allerdings sei es kein Staat, denn die Angreifer suchen nicht nach geheimen Informationen, sondern scheinen die direkte Verwertung von Informationen für Geld (etwa Kontodaten) zu bevorzugen. Sind diese Informationen einmal erlangt, tauchen die Angreifer und Tools meist vollständig ab. Sämtliche Dateien werden gelöscht und nur einzelne Open-Source-Tools bleiben auf den betroffenen Systemen übrig, aus dessen Konfiguration sich rekonstruieren lässt, dass die Systeme einmal gehackt waren.

Windows 98 wird noch aktiv exploitet

Trotz des vorsichtigen Vorgehens der Angreifer konnten die Experten den Tätern zumindest etwas auf die Schliche kommen. Die Täter scheinen langjährige Erfahrung im Bereich von Windows-Netzwerken zu haben, denn sie nutzen Payloads, die auf Windows-98-Systeme anwendbar sind. Laut den Experten wurde dieses Vorgehen gewählt, da den Angreifern vorab bekannt war, dass in lateinamerikanischen Ländern und Organisationen solche Systeme immer noch verwendet werden. Auch weitere Spuren in Quellcodes oder den Spear-Phishing-E-Mails deuten auf Angreifer aus dem portugiesischen Sprachraum, etwa Brasilien, hin.

Die Gruppe sei immer noch aktiv und könne in jedem Moment zuschlagen, so die Experten. Zudem scheinen die Täter immer wieder Sicherheitskonferenzen wie die Blackhat zu beobachten. Denn einige Techniken, die auf solchen Konferenzen vorgestellt wurden, ließen sich nach einigen Monaten in den Tools der Gruppe finden. Fraglich, wann und wo die Gruppe das nächste Mal zuschlägt. In jedem Fall wird sie - wie in der Vergangenheit auch - versuchen, unerkannt zu bleiben.

 Poseidon-Gruppe: Über ein Jahrzehnt internationale Cyberattacken
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 2,99€
  2. 54,99€ mit Vorbesteller-Preisgarantie (Release 14.11.)
  3. 31,99€
  4. 39,99€ (Release 14.11.)

Tim Schäfers 12. Feb 2016

Vielen Dank für den Hinweis - da ist uns in der Tat ein Fehler unterlaufen. Seit gestern...

Tim Schäfers 10. Feb 2016

Das sind weder Vermutungen noch Tatsachen - sondern Erfahrungswerte aus früheren Fällen...


Folgen Sie uns
       


Biegbare OLEDs von Royole (Ifa 2018)

Die biegbaren Displays von Royole bieten auch an der Bruchkante ein sehr gutes Bild. Wann ein Endverbraucherprodukt mit einem derartigen flexiblen Bildschirm auf den Markt kommt, ist noch nicht bekannt.

Biegbare OLEDs von Royole (Ifa 2018) Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
    Elektroroller-Verleih Coup
    Zum Laden in den Keller gehen

    Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
    Ein Bericht von Friedhelm Greis

    1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
    2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
    3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

    Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
    Lenovo Thinkpad T480s im Test
    Das trotzdem beste Business-Notebook

    Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
    2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
    3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

      •  /