VOLLTEXTSUCHE
News, 15.07.2015
Warnung vor Wirtschaftsspionage in der D-A-CH-Region
Cyberspionage-Gruppe „Wild Neutron“ wieder aktiv
Kaspersky Lab warnt vor Cyberspionage auf Top-Niveau: Nach Auskunft des IT-Security-Spezialisten ist die auf Wirtschaftsspionage spezialisierte Hacker-Gruppe „Wild Neutron“ nach knapp einem Jahr Inaktivität mit neuer Wucht zurückgekehrt.
Unter anderem im Visier der Cyberkriminellen: Rechtskanzleien, M&A-Unternehmen und IT-Unternehmen (Grafik: Kaspersky Lab)
Unter anderem im Visier der Cyberkriminellen: Rechtskanzleien, M&A-Unternehmen und IT-Unternehmen (Grafik: Kaspersky Lab)
Im Jahr 2013 attackierte die Hackergruppe „Wild Neutron“ – auch als „Jripbot” oder „Morpho” bekannt – einige hochrangige Firmen, darunter Apple, Facebook, Twitter und Microsoft. Anschließend verschwanden die Wild-Neutron-Angreifer für fast ein Jahr von der Bildfläche. Ende des Jahres 2013 beziehungsweise Anfang des Jahres 2014 wurden die Attacken fortgesetzt und liefen bis in das Jahr 2015 weiter. Eine neue Kaspersky-Analyse zeigt, dass mittels eines gestohlenen, gültigen Codeverifizierungszertifikats sowie einer unbekannten Lücke im Flash Player weltweit die Systeme von Unternehmen und Privatpersonen infiziert und kritische Unternehmensinformationen gestohlen werden.

Kaspersky Lab konnte bisher Zielobjekte in elf Ländern identifizieren:  neben Deutschland, Österreich und der Schweiz auch in Frankreich, Russland, Palästina, Slowenien, Kasachstan, den Vereinigten Arabische Emiraten, Algerien sowie den USA.

Attackiert wurden Anwaltssozietäten, Unternehmen im Bitcoin-Umfeld, Investmentgesellschaften, einige in M&A-Geschäfte (Mergers & Acquisitions) involvierte Firmen, IT-Unternehmen, Firmen innerhalb der Gesundheits- und Immobilien-Branche sowie Einzelpersonen.

Die Attacke scheint nicht von Nationalstaaten unterstützt zu werden. Es handelt sich wohl eher um einen mächtigen Akteur für Wirtschaftsspionage. Darauf deuten die Nutzung von Zero-Day-Exploits, Multi-Plattform-Malware sowie andere Technologien hin.

„Bei Wild Neutron handelt es sich um eine erfahrene und ziemlich vielseitige Gruppe, die seit 2011 aktiv ist und seitdem mindestens einen Zero-Day-Exploit, maßgeschneiderte Malware sowie Tools für Windows und OS X nutzt“, so Costin Raiu, Director Global Research and Analysis Team bei Kaspersky Lab. „Obwohl die Gruppe in der Vergangenheit einige der bekanntesten Unternehmen der Welt angegriffen hat, hat sie es geschafft, sich über zuverlässige Sicherheitsprozesse im Hintergrund zu halten.

Dass die Gruppe große IT-Unternehmen, Spyware-Entwickler (FlexiSPY), Foren von Dschihadisten (das „Ansar Al-Mujahideen English Forum”) sowie Bitcoin-Unternehmen im Visier hat, weist auf flexible und unübliche Interessen hin.“

Das Angriffsszenario

Über welchen Weg die Erstinfektion stattfindet, ist noch unklar. Es gibt allerdings klare Anzeichen dafür, dass die Opfer über ein Kit infiziert werden, das ein unbekanntes Flash-Player-Exploit über kompromittierte Webseiten ausnutzt. Das Exploit liefert ein Malware-Dropper-Paket an das Opfersystem aus.

In den von Kaspersky Lab beobachteten Attacken war der Dropper mit einem legitimen Codeverifizierungszertifikat signiert. So kann die Malware die Entdeckung von einigen Schutzlösungen umgehen. Das bei den Wild-Neutron-Angriffen genutzte Zertifikat scheint von einem beliebten Anbieter für Unterhaltungselektronik gestohlen worden zu sein und ist nun annulliert worden.

Ist der Dropper im System, installiert er ein Backdoor-Modul, das sich grundsätzlich nicht von anderen Remote Access Tools (RATs) unterscheidet. Allerdings sticht die Sorgfalt der Angreifer heraus, die Adressen der verwendeten Command-and-Control-Server (C&C) sowie die Wiederherstellungsfähigkeit nach einer C&C-Abschaltung zu verbergen. Die C&C-Server sind ein wichtiger Bestandteil einer gefährlichen Infrastruktur; sie sind die Basis für die auf den Opfermaschinen befindliche Schadsoftware. Spezielle in der Malware eingebaute Funktionen unterstützen die Angreifer dabei, ihre Infrastruktur vor einer möglichen C&C-Abschaltung zu schützen.

Mysteriöse Herkunft

Der Ursprung der Angreifer bleibt ein Rätsel. Bei einigen Samples beinhaltet die verschlüsselte Konfiguration die Zeichenfolge „La revedere” („Auf Wiedersehen” auf Rumänisch), um das Ende der C&C-Kommunikation zu kennzeichnen. Zudem haben die Experten von Kaspersky Lab eine weitere nichtenglische Zeichenfolge entdeckt, die eine lateinische Übersetzung des russischen Wortes „Успешно“ („uspeshno“, deutsch: „erfolgreich“) darstellt.

Die Produkte von Kaspersky Lab entdecken und blockieren die Schädlinge von Wild Neutron unter den folgenden Bezeichnungen:  „Trojan.Win32.WildNeutron.gen“, „Trojan.Win32.WildNeutron.*“, „Trojan.Win32.JripBot.*“ sowie „Trojan.Win32.Generic“. Eine detaillierte Analyse zu Wild Neutron ist auf der Website securelist.com abrufbar.
WEITERE NEWS AUS DIESER KATEGORIE
NACHRICHTEN AUS ANDEREN RESSORTS
Erfolgsfaktor Datensicherheit und Datenschutz
Gleich wie gut ein Unternehmen technologisch gegen Cyberkriminalität abgesichert ist: Die letzte ... mehr

SUCHE
Volltextsuche





Profisuche
Anzeige
PRESSEFORUM MITTELSTAND
Pressedienst
LETZTE UNTERNEHMENSMELDUNGEN
BRANCHENVERZEICHNIS
Branchenverzeichnis
Kostenlose Corporate Showrooms inklusive Pressefach
Kostenloser Online-Dienst mit hochwertigen Corporate Showrooms (Microsites) - jetzt recherchieren und eintragen! Weitere Infos/kostenlos eintragen
Anzeige
BUSINESS-SERVICES
© novo per motio KG