Abo
  • Services:
Anzeige
Poseidon mit seinem Dreizack
Poseidon mit seinem Dreizack (Bild: Hans Andersen/CC-BY-SA 3.0)

Zahlreiche multinationale Unternehmen betroffen

Den Experten von Kaspersky Labs sind mindestens 35 Opfer dieses Vorgehens bekannt, meist multinationale Konzerne etwa aus Brasilien, Frankreich oder den Vereinigten Arabischen Emiraten. Ihnen zufolge wurden einzelne Unternehmen nur gehackt, um Informationen zu erlangen, die sich anschließend für weitere Angriffe verwenden lassen. Meist wird auch deren technische Infrastruktur verwendet, um Angriffe möglichst gut verschleiern zu können, wie beispielsweise im Fall der illegitimen Nutzung der Satelliten-Kommunikation.

Anzeige

Nachdem ein Spear-Phishing-Angriff gelungen ist, geht ein Angriff in die nächste Phase über. Die Täter nutzen bei der erwähnten Analyse der Netzwerkumgebung bereits frühzeitig ein Erkennungssystem für Antiviren-Programme, in ihrer Liste befinden sich laut den Sicherheitsexperten zwölf weitverbreitete Antiviren-Programme. Zudem prüfen sie die Gruppenrichtlinienobjekte und schauen sich nach Software-Sperren und Freigaben um, um anschließend gezielt Software nachzuladen oder Lücken in vorliegenden Softwarefreigaben zu nutzen.

Die Angreifer scheinen aus einem ganzen Arsenal von kriminellen Tools schöpfen zu können - von Windows 98 bis hin zu Windows 10 haben sie Tools, die eine Rechteausweitung (privilege escalation) ermöglichen. Die Angreifer nutzen Build-Scripts, welche on-the-fly Textdateien verwenden und aus ihnen Programme machen. Dieses Vorgehen wurde vermutlich gewählt, um immer wieder nur eine ausführbare Datei "unauffindbar" für Antiviren-Programme zu machen.

Die Experten gehen aufgrund des Umfangs der Tools und der Wahl von über fünf verschiedenen Programmiersprachen davon aus, dass es sich nicht um eine einzelne Person, sondern zumindest um eine größere Personengruppe handeln muss - allerdings sei es kein Staat, denn die Angreifer suchen nicht nach geheimen Informationen, sondern scheinen die direkte Verwertung von Informationen für Geld (etwa Kontodaten) zu bevorzugen. Sind diese Informationen einmal erlangt, tauchen die Angreifer und Tools meist vollständig ab. Sämtliche Dateien werden gelöscht und nur einzelne Open-Source-Tools bleiben auf den betroffenen Systemen übrig, aus dessen Konfiguration sich rekonstruieren lässt, dass die Systeme einmal gehackt waren.

Windows 98 wird noch aktiv exploitet

Trotz des vorsichtigen Vorgehens der Angreifer konnten die Experten den Tätern zumindest etwas auf die Schliche kommen. Die Täter scheinen langjährige Erfahrung im Bereich von Windows-Netzwerken zu haben, denn sie nutzen Payloads, die auf Windows-98-Systeme anwendbar sind. Laut den Experten wurde dieses Vorgehen gewählt, da den Angreifern vorab bekannt war, dass in lateinamerikanischen Ländern und Organisationen solche Systeme immer noch verwendet werden. Auch weitere Spuren in Quellcodes oder den Spear-Phishing-E-Mails deuten auf Angreifer aus dem portugiesischen Sprachraum, etwa Brasilien, hin.

Die Gruppe sei immer noch aktiv und könne in jedem Moment zuschlagen, so die Experten. Zudem scheinen die Täter immer wieder Sicherheitskonferenzen wie die Blackhat zu beobachten. Denn einige Techniken, die auf solchen Konferenzen vorgestellt wurden, ließen sich nach einigen Monaten in den Tools der Gruppe finden. Fraglich, wann und wo die Gruppe das nächste Mal zuschlägt. In jedem Fall wird sie - wie in der Vergangenheit auch - versuchen, unerkannt zu bleiben.

 Poseidon-Gruppe: Über ein Jahrzehnt internationale Cyberattacken

eye home zur Startseite
Tim Schäfers 12. Feb 2016

Vielen Dank für den Hinweis - da ist uns in der Tat ein Fehler unterlaufen. Seit gestern...

Tim Schäfers 10. Feb 2016

Das sind weder Vermutungen noch Tatsachen - sondern Erfahrungswerte aus früheren Fällen...



Anzeige

Stellenmarkt
  1. VPV Versicherungen, Stuttgart
  2. Endress+Hauser Conducta GmbH+Co. KG, Gerlingen (bei Stuttgart)
  3. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  4. cmxKonzepte GmbH & Co. KG, deutschlandweit (Home-Office)


Anzeige
Top-Angebote
  1. 14,99€
  2. (u. a. Harmony Elite 174,99€, kabellose Mäuse ab 27,99€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Sony

    Playstation 4 Pro spielt mp4-Videodateien jetzt in 4K ab

  2. Laptop-Verbot

    Terroristen basteln offenbar an explosiven iPads

  3. IoT

    Software-AG-Partner wird zur Tochter

  4. Navigationsgerät Chris

    Das Smartphone im Auto mit Sprache und Gesten bedienen

  5. Natilus

    Startup entwickelt Transportdrohne in Flugzeuggröße

  6. Gegen Verlegerverbände

    El País warnt vor europäischem Leistungsschutzrecht

  7. Verschlüsselung

    Schwachstellen in zahlreichen VoIP-Anwendungen entdeckt

  8. iPhone

    Die TSMC soll Apples A11-Chip im 10-nm-Verfahren produzieren

  9. New Pound Coin

    Neue Pfund-Münze nutzt angeblich geheime Sicherheitsfunktion

  10. HP Elite Slice im Kurztest

    So müsste ein Mac Mini aussehen!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
In eigener Sache: Golem.de sucht Marketing Manager (w/m)
In eigener Sache
Golem.de sucht Marketing Manager (w/m)
  1. In eigener Sache Golem.de geht auf Jobmessen
  2. In eigener Sache Golem.de kommt jetzt sicher ins Haus - per HTTPS
  3. In eigener Sache Unterstützung für die Schlussredaktion gesucht!

Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Synlight: Wie der Wasserstoff aus dem Sonnenlicht kommen soll
Synlight
Wie der Wasserstoff aus dem Sonnenlicht kommen soll
  1. Energieversorgung Tesla nimmt eigenes Solarkraftwerk in Hawaii in Betrieb

  1. Re: In Deutschland sicher zuallerletzt

    Niaxa | 15:40

  2. Das gleiche Problem wie der Tansrapid: Die Weichen

    YaelSchlichting | 15:39

  3. Re: Es würden schon genug offene Kassen reichen.

    theonlyone | 15:37

  4. Re: Intel NUCs???

    Der_Hausmeister | 15:36

  5. Re: Wenn man kein Amazonkonto hat?

    theonlyone | 15:33


  1. 15:12

  2. 14:45

  3. 14:23

  4. 14:00

  5. 13:55

  6. 13:35

  7. 13:20

  8. 13:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel