Abo
  • Services:
Anzeige
Poseidon mit seinem Dreizack
Poseidon mit seinem Dreizack (Bild: Hans Andersen/CC-BY-SA 3.0)

Zahlreiche multinationale Unternehmen betroffen

Den Experten von Kaspersky Labs sind mindestens 35 Opfer dieses Vorgehens bekannt, meist multinationale Konzerne etwa aus Brasilien, Frankreich oder den Vereinigten Arabischen Emiraten. Ihnen zufolge wurden einzelne Unternehmen nur gehackt, um Informationen zu erlangen, die sich anschließend für weitere Angriffe verwenden lassen. Meist wird auch deren technische Infrastruktur verwendet, um Angriffe möglichst gut verschleiern zu können, wie beispielsweise im Fall der illegitimen Nutzung der Satelliten-Kommunikation.

Anzeige

Nachdem ein Spear-Phishing-Angriff gelungen ist, geht ein Angriff in die nächste Phase über. Die Täter nutzen bei der erwähnten Analyse der Netzwerkumgebung bereits frühzeitig ein Erkennungssystem für Antiviren-Programme, in ihrer Liste befinden sich laut den Sicherheitsexperten zwölf weitverbreitete Antiviren-Programme. Zudem prüfen sie die Gruppenrichtlinienobjekte und schauen sich nach Software-Sperren und Freigaben um, um anschließend gezielt Software nachzuladen oder Lücken in vorliegenden Softwarefreigaben zu nutzen.

Die Angreifer scheinen aus einem ganzen Arsenal von kriminellen Tools schöpfen zu können - von Windows 98 bis hin zu Windows 10 haben sie Tools, die eine Rechteausweitung (privilege escalation) ermöglichen. Die Angreifer nutzen Build-Scripts, welche on-the-fly Textdateien verwenden und aus ihnen Programme machen. Dieses Vorgehen wurde vermutlich gewählt, um immer wieder nur eine ausführbare Datei "unauffindbar" für Antiviren-Programme zu machen.

Die Experten gehen aufgrund des Umfangs der Tools und der Wahl von über fünf verschiedenen Programmiersprachen davon aus, dass es sich nicht um eine einzelne Person, sondern zumindest um eine größere Personengruppe handeln muss - allerdings sei es kein Staat, denn die Angreifer suchen nicht nach geheimen Informationen, sondern scheinen die direkte Verwertung von Informationen für Geld (etwa Kontodaten) zu bevorzugen. Sind diese Informationen einmal erlangt, tauchen die Angreifer und Tools meist vollständig ab. Sämtliche Dateien werden gelöscht und nur einzelne Open-Source-Tools bleiben auf den betroffenen Systemen übrig, aus dessen Konfiguration sich rekonstruieren lässt, dass die Systeme einmal gehackt waren.

Windows 98 wird noch aktiv exploitet

Trotz des vorsichtigen Vorgehens der Angreifer konnten die Experten den Tätern zumindest etwas auf die Schliche kommen. Die Täter scheinen langjährige Erfahrung im Bereich von Windows-Netzwerken zu haben, denn sie nutzen Payloads, die auf Windows-98-Systeme anwendbar sind. Laut den Experten wurde dieses Vorgehen gewählt, da den Angreifern vorab bekannt war, dass in lateinamerikanischen Ländern und Organisationen solche Systeme immer noch verwendet werden. Auch weitere Spuren in Quellcodes oder den Spear-Phishing-E-Mails deuten auf Angreifer aus dem portugiesischen Sprachraum, etwa Brasilien, hin.

Die Gruppe sei immer noch aktiv und könne in jedem Moment zuschlagen, so die Experten. Zudem scheinen die Täter immer wieder Sicherheitskonferenzen wie die Blackhat zu beobachten. Denn einige Techniken, die auf solchen Konferenzen vorgestellt wurden, ließen sich nach einigen Monaten in den Tools der Gruppe finden. Fraglich, wann und wo die Gruppe das nächste Mal zuschlägt. In jedem Fall wird sie - wie in der Vergangenheit auch - versuchen, unerkannt zu bleiben.

 Poseidon-Gruppe: Über ein Jahrzehnt internationale Cyberattacken

eye home zur Startseite
Tim Schäfers 12. Feb 2016

Vielen Dank für den Hinweis - da ist uns in der Tat ein Fehler unterlaufen. Seit gestern...

Tim Schäfers 10. Feb 2016

Das sind weder Vermutungen noch Tatsachen - sondern Erfahrungswerte aus früheren Fällen...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Frankfurt am Main
  2. PTV GROUP, Karlsruhe
  3. FILIADATA GmbH, Karlsruhe
  4. State Street Global Exchange, Frankfurt


Anzeige
Top-Angebote
  1. 39,99€
  2. 219,00€
  3. 15,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Hoversurf

    Hoverbike Scorpion-3 ist ein Motorradcopter

  2. Rubbelcard

    Freenet-TV-Guthabenkarten gehen in den Verkauf

  3. Nintendo

    Interner Speicher von Switch offenbar schon jetzt zu klein

  4. Noch 100 Tage

    Unitymedia schaltet Analogfernsehen schrittweise ab

  5. Routerfreiheit

    Tagelange Störung bei Aktivierungsportal von Vodafone

  6. Denverton

    Intel plant Atom C3000 mit bis zu 16 Goldmont-CPU-Kernen

  7. Trotz Weiterbildung

    Arbeitslos als Fachinformatiker

  8. Klage gegen Steuernachzahlung

    Apple beruft sich auf europäische Grundrechte

  9. 3D Studio

    Nvidia spendiert Qt Hunderttausende Zeilen Code

  10. Horizon Zero Dawn im Test

    Abenteuer im Land der Maschinenmonster



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

  1. Re: Tolles Ding

    Sharra | 00:35

  2. Re: Fachinformatiker/DevOp (Linux) in München...

    count | 00:32

  3. Re: "Zertifizierung als Linux-Administrator"

    divStar | 00:31

  4. Re: wie soll das verlängern überhaupt ohne i-net...

    das_mav | 00:29

  5. Re: Radikaler Gedanke

    torrbox | 00:26


  1. 18:30

  2. 18:14

  3. 16:18

  4. 15:53

  5. 15:29

  6. 15:00

  7. 14:45

  8. 14:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel