Aktuelles, Branche - geschrieben von cp am Dienstag, Juni 4, 2013 23:48 - noch keine Kommentare
Datendiebstahl und Überwachung: NetTraveler-Toolkit infizierte 350 hochrangige Opfer weltweit
Cyberspionage-Kampagne gegen regierungsnahe Organisationen und Forschungsinstitute
[datensicherheit.de, 04.06.2013] Kaspersky Lab veröffentlicht Analyseergebnisse einer neuerlichen Cyberspionage-Kampagne [1]. Dabei wurde die Schadprogrammfamilie NetTraveler für APT-Attacken (Advanced Persistent Threat) [2] genutzt. Insgesamt wurden 350 hochrangige Opfer aus 40 Ländern kompromittiert. Die NetTravler-Gruppe infizierte Opfer aus verschiedenen Einrichtungen des privaten und öffentlichen Bereichs, unter anderem Regierungsinstitutionen, Botschaften, die Öl- und Gasindustrie, Forschungseinrichtungen, die Rüstungsindustrie sowie Aktivisten.
Aus dem Report von Kaspersky Lab geht hervor, dass die Angreifer bereits seit 2004 aktiv sind. Der Höhepunkt der Cyberspionage-Kampagne war zwischen 2010 und 2013.
NetTraveler-Toolkit: Karte der Opfer
Die NetTraveler-Gruppe hat es in jüngster Zeit vor allem auf Informationen aus den Bereichen der Weltraumforschung, Nanotechnologie, Energieproduktion, Nuklearenergie, Lasertechnologie, Medizin und Kommunikation abgesehen.
Infizierungsmethode: ausgeklügeltes Spear-Phishing
Die Angreifer infizierten ihre Opfer, indem sie ausgeklügelte Spear-Pishing-Mails [3] versandten. Die E-Mails enthielten schädliche Microsoft-Office-Dokumente, die mit zwei sehr komplexen Schwachstellen-Exploits (CVE-2012-0158 und CVE-2010-3333) [4] ausgestattet waren. Auch wenn Microsoft bereits Patches für diese Schwachstellen veröffentlicht hat, werden diese nach wie vor für zielgerichtete Attacken missbraucht und haben sich als sehr wirksam erwiesen.
Die Dateibezeichnungen der schädlichen Anhänge, die bei der Spear-Phishing-Attacke benutzt wurden, veranschaulichen, dass die NetTraveler-Gruppe keine Mühen gescheut hat, um hochrangige Zielobjekte zu infizieren. Die bemerkenswertesten Dateibezeichnungen waren: „Army Cyber Security Policy 2013.doc“, „Report – Asia Defense Spending Boom.doc“, „Activity Details.doc“, „His Holiness the Dalai Lama´s visit to Switzerland day 4” und “Freedom of Speech.doc”.
Volumen der gestohlenen Daten
Die Kaspersky-Experten analysierten verschiedene Comand-and-Control-Server (C&C), die von der NetTraveler-Gruppe genutzt wurden, um zusätzliche Malware auf die infizierten Maschinen zu installieren und gestohlene Daten heraus zu filtern. Kaspersky Lab geht davon aus, dass das auf den C&C-Servern von NetTraveler liegende gestohlene Datenvolumen mehr als 22 Gigabyte beträgt.
Die von den infizierten Maschinen gefilterten Daten beinhalteten typischerweise Dateisystemprotokolle, Keylogger-Informationen und verschiedene Dokumente, unter anderem PDFs, Excel- und Word-Dateien. Zudem war das NetTraveler-Toolkit in der Lage, zusätzliche Informationen stehlende Spionage-Malware, darunter Backdoor-Programme, zu installieren. Darüber hinaus konnte das Programm so angepasst werden, dass weitere kritische Informationen wie Konfigurationsdetails für Applikationen oder CAD-Dateien gestohlen werden konnten.
Globale Infizierungsstatistiken: auch Opfer in Deutschland und Österreich
Auf Basis der Kaspersky-Analysen der C&C-Daten von NetTraveler wurden insgesamt 350 Opfer in 40 Ländern weltweit infiziert [5], unter anderem in Deutschland, Österreich, den USA, Kanada, Großbritannien, Russland, Chile, Marokko, Griechenland, Belgien, der Ukraine, Litauen, Weißrussland, Australien, Hongkong, Japan, China, der Mongolei, Iran, Türkei, Indien, Pakistan, Südkorea, Thailand, Katar, Kasachstan und Jordanien.
Kaspersky Lab hat auf Grundlage der C&C-Server-Daten auch das Kaspersky Security Network (KSN) zu Rate gezogen [5], um zusätzliche lokale Infizierungsstatistiken zu erhalten. Dabei taucht Deutschland in der Top-Ten der vom KSN entdeckten Opfer auf. Die Rangliste setzt sich wie folgt zusammen: Mongolei, Russland, Indien, Kasachstan, Kirgisistan, China, Tadschikistan, Südkorea, Spanien und Deutschland.
Weitere Erkenntnisse: Einige Opfer auch von Roter Oktober betroffen
Die Kaspersky-Experten identifizierten sechs Opfer, die sowohl von NetTraveler als auch von Roter Oktober infiziert wurden. Die Cyberspionage-Kampagne Roter Oktober wurde im Januar dieses Jahres von Kaspersky Lab aufgedeckt [6]. Obwohl keine direkte Verbindung zwischen den NetTraveler-Angreifern und den Hintermännern von Roter Oktober festzustellen ist, deutet der Fakt, dass bestimmte Opfer von beiden Cyberspionagekampagnen betroffen waren, auf Folgendes hin: Die hochrangigen Opfer wurden von verschiedenen Akteuren ins Visier genommen, weil ihre Informationen für die Angreifer wohl als sehr wertvoll erschienen.
Die Kaspersky-Produkte entdecken und neutralisieren die von NetTraveler-Toolkit genutzten schädlichen Programme und deren Varianten inklusive der Versionen „Trojan-Spy.Win32.TravNet“ und „Downloader.Win32.NetTraveler“. Zudem erkennen die Kaspersky-Lösungen die bei der Spear-Phishing in Word-Office verwendeten Exploits als „Exploit.MSWord.CVE-2010-333“ und „Exploit.Win32.CVE-2012-0158“.
Weitere Informationen zum Thema:
securelist.com, 04.06.2013
„NetTraveler is Running!“ – Red Star APT Attacks Compromise High-Profile Victims
[1] http://www.securelist.com/en/blog/8105/NetTraveler_is_Running_Red_Star_APT_Attacks_Compromise_High_Profile_Victims
[2] http://de.wikipedia.org/wiki/Advanced_Persistent_Threat
[3] http://de.wikipedia.org/wiki/Spear_Phishing
[4] http://technet.microsoft.com/en-us/security/bulletin/ms12-027 und http://technet.microsoft.com/en-us/security/bulletin/MS10-087
[5] Ausführliche Informationen über das KSN sind in einem Whitepaper aufgeführt.
[6] http://newsroom.kaspersky.eu/de/texte/detail/article/operation-roter-oktober-cyberspionage-angriff-auf-regierungsorganisationen-und-diplomatische/?no_cache=1
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Okt 4, 2024 18:53 - noch keine Kommentare
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
weitere Beiträge in Branche
- Hacker nehmen verstärkt Rentner ins Visier
- Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren