Malware-Aktivität im März 2012

Der März in Zahlen

Im Laufe des Monats wurden auf den Computern der Anwender von Kaspersky-Produkten:

  • über 370 Millionen Schadprogramme entdeckt und unschädlich gemacht, von denen 200 Millionen (55 %) Infektionsversuche über das Internet waren
  • über 42 Millionen schädliche URLs entdeckt

Duqu

Unsere Untersuchungen im Falle des Trojaners Duqu laufen bereits seit sechs Monaten. Im März fanden wir heraus, in welcher Sprache das Programmgerüst des Trojaners geschrieben ist. Möglich war dies dank der Hilfe der internationalen Programmierer-Community, die uns einige hundert Hinweise zuschickte.

Das Framework von Duqu wurde in C programmiert und mit Hilfe von MSVC 2008 mit den Optionen „/O1″ und „/Ob1″ kompiliert. Bei der Entwicklung wurde höchstwahrscheinlich die eigene, objektorientierte Erweiterung der Sprache С verwendet, die für gewöhnlich „ОО С“ heißt. Die ereignisorientierte Architektur wurde als Teil des Frameworks oder im Rahmen der Erweiterung ОО С entwickelt. Der Code für die Kommunikation mit der Steuerzentrale könnte einem anderen Projekt entlehnt und daraufhin an die Aufgaben von Duqu angepasst worden sein. Wir nehmen an, dass Profis die Schadsoftware entwickelt und dabei die Arbeiten von Programmierern der „alten Schule“ eingesetzt haben. Der Ansatz, den die Autoren von Duqu verwendeten, ist normalerweise bei seriösen Software-Projekten anzutreffen, aber so gut wie nie bei Schadprogrammen. Das ist ein weiterer Hinweis darauf, dass Duqu wie auch Stuxnet einzigartige Entwicklungen sind, die sich von allen anderen Schadprogrammen abheben.

Wenn in ein Projekt so viele Mittel investiert werden wie in die Entwicklung von Duqu und Stuxnet, kann man die Operation nicht einfach aufgeben und beenden. Im März wurde ein neuer Treiber „in freier Wildbahn“ entdeckt, der praktisch denen gleicht, die früher in Duqu verwendet wurden. Allerdings wurden die schon bekannten Treiber am 3. November 2010 und am 17. Oktober 2011 erstellt, der neue Treiber hingegen am 23. Februar 2012. Das bedeutet, dass die Duqu-Autoren nach viermonatiger Pause zu ihrem Projekt zurückgekehrt sind.

Der neue Duqu-Treiber stimmt bezüglich der Funktionalität mit den vorhergehenden bekannten Versionen überein. Die Unterschiede im Code sind unbedeutend, doch scheinen Fehler korrigiert worden zu sein, um die Erkennung der Datei zu verhindern. Das Hauptmodul von Duqu, das mit diesem Treiber in Verbindung steht, wurde nicht entdeckt.

Weitere Informationen zu den Opfern von Duqu und uns bekannten Modifikationen finden Sie in unserem Blog.

Kampf gegen Cyberkriminalität

Zerschlagung des zweiten Hlux/Kelihos-Botnetzes

Gemeinsam mit dem CrowdStrike Intelligence Team, Dell SecureWorks und dem Honeynet Project gelang es Kaspersky Lab, das zweite Hlux/Kelihos-Botnetz unschädlich zu machen. Dieses Botnetz nennen Experten Kelihos.B, was unterstreicht, dass bei seinem Aufbau die zweite modifizierte Variante des Original-Bots verwendet wurde.

Am 21. März begannen wir einen speziellen Sinkhole-Router in das Botnetz einzuschleusen. Das Ziel: Die infizierten Maschinen sollten ausschließlich mit dem von uns ausgewählten Router kommunizieren. Eine Woche nach Beginn der Operation standen mehr als 116.000 Bots mit unserem Sinkhole-Router in Verbindung. Auf diese Weise konnten wir den Botnetz-Inhabern die Kontrolle über die infizierten Rechner entziehen.

In diesem Fall versuchen die Botmaster in der Regel, die Kontrolle wiederzuerlangen, indem sie eine neue Version des Bots herausgeben und neue Rechner in das Botnetz aufnehmen. Das geschah auch im September 2011 nach der Neutralisierung des ersten Hlux/Kelihos-Botnetzes. Und auch diesmal war es wieder so.

Kelihos.C, eine neue und dritte Version des Bots, bemerkten wir einige Tage nach Beginn der Sinkhole-Aktion. Allem Anschein nach waren die Botmaster bereit, ihr Zombie-Netzwerk zu jedem beliebigen Zeitpunkt zu neutralisieren und neu aufzubauen. In Kelihos.C stellten wir ebenso wie in Kelihos.B eine Veränderung der RSA-Schlüssel fest, die zur Chiffrierung einiger Mitteilungsstrukturen verwendet werden.

Angesichts der schnellen Herausgabe einer neuen Version des Bots durch die Inhaber des Botnetzes äußerten sich einige Experten skeptisch bezüglich der Effektivität der Sinkhole-Methode. Trotzdem sind wir der Meinung, dass wir den Botnetz-Betreibern das Leben erheblich erschweren. Darüber hinaus gibt es in der Architektur und dem Protokoll der neuen Bot-Versionen keine wesentlichen Veränderungen, so dass wir das Spiel erfolgreich fortsetzen können. Von einem endgültigen Sieg über das Botnetz können wir aber erst sprechen, wenn die Betreiber dingfest gemacht wurden.

Angriff auf ZeuS und seinen Herrn

Mitte März führte Microsoft zusammen mit dem Zahlungsdienstleister NACHA und der nicht-staatlichen Organisation FS-ISAC, die die Interessen amerikanischer Finanzfirmen vertritt, eine erfolgreiche Attacke gegen Botmaster durch, die den Namen „Operation b71“ erhielt. Auf richterlichen Beschluss wurde eine Reihe von Servern übernommen, bei denen es sich um Steuerungszentren der aktivsten und größten Botnetze handelte, die auf dem Schädling ZeuS basieren.

Microsoft war zudem darauf aus, die Personen ausfindig zu machen, die an der Entwicklung und Verbreitung von ZeuS und ähnlicher Trojaner wie etwa SpyEye und Ice-IX beteiligt waren (letzterer wurde auf der Grundlage von ZeuS entwickelt).

Microsoft reichte eine Sammelklage gegen 39 unbekannte Personen ein, die an der Entwicklung des Schadcodes und dem Aufbau von Botnetzen beteiligt sind. Bleibt zu hoffen, dass die Strafverfolgungsbehörden der USA die Initiative von Microsoft aufgreifen und die gemeinsamen Aktionen mit den Strafverfolgungsbehörden anderer Länder dazu führen, dass die Cyberkriminellen gefunden und vor Gericht gestellt werden. Denn nur solche Maßnahmen können die Schäden eingrenzen, die durch den Einsatz von Bank-Trojanern entstehen. Nach Schätzungen von Microsoft betragen die durch ZeuS, SpyEye und Ice-IX verursachten Verluste bereits etwa eine halbe Milliarde US-Dollar.

Inhaftierung von Cyberkriminellen, die mit Carberp arbeiten

Die russischen Strafverfolgungsbehörden haben in Zusammenarbeit mit der Forschungsgruppe Group-IB gegen eine kriminelle Gruppe von Personen ermittelt, die am Diebstahl von Geld mit Hilfe des bekannten Bank-Trojaners Carberp beteiligt waren. Nach Angaben eines russischen Pressedienstes gehörten 8 Personen zu dieser Gruppe, die Kunden Dutzender russischer Banken um ungefähr 60 Millionen Rubel erleichterte (etwas mehr als 1,5 Millionen Euro). Am Ende der Ermittlungen stand die Verhaftung der Cyberkriminellen.

In Russland gibt es selten Nachrichten über die Verhaftung von Cyberkriminellen, deshalb ist diese Nachricht umso erfreulicher. Allerdings geht es bei diesen Ermittlungen um eine einzelne Gruppe, die den fertigen Carberp-Code verwendete und zudem die Dienste eines Partnernetzes für dessen Verbreitung in Anspruch nahm. In einer offiziellen Erklärung heißt es, dass die inhaftierte Gruppe aus Botmastern bestand sowie aus so genannten Money Mules, die das Geld für die Cyberkriminellen von Geldautomaten abhoben. Daher bleiben die Autoren des Trojaners und die Betreiber des Partnerprogramms auf freiem Fuß. Der Trojaner Carberp wird weiterhin in speziellen Foren verkauft und das bedeutet, dass andere Gruppen ihn nach wie vor verwenden und auch künftig verwenden werden. Zum gegenwärtigen Zeitpunkt verfolgen wir insbesondere die Aktivität verschiedener Carberp-Botnetze. Ob sie einer einzelnen oder mehreren verschiedenen Gruppen zuzuordnen sind, ist uns nicht bekannt.

Attacken auf einzelne Computer

Attacken auf Heimanwender

„Körperloser“ Bot

Mitte März entdeckten die Fachleute von Kaspersky Lab eine einzigartige Attacke, bei der Cyberkriminelle ein Schadprogramm verwendeten, das funktioniert, ohne dabei Dateien auf dem infizierten System zu erstellen.

Für die Verbreitung des Schadcodes wurde ein Teaser-Netzwerk eingesetzt, zu dem eine Reihe populärer russischer Nachrichtenseiten gehören. Zusammen mit einem der Teaser wurde im JS-Skript ein iframe geladen, der die Anwender auf eine schädliche Seite mit einem Java-Exploit umleitete, die sich in der Domainzone .eu befindet.

Im Gegensatz zu klassischen Drive-by-Attacken wurde das Schadprogramm nicht auf die Festplatte geladen, sondern arbeitete ausschließlich im Arbeitsspeicher des Computers. Der Schädling ging dabei vor wie ein Bot und schickte die Suchanfragen und den Browser-Verlauf des Anwenders an den Server der Cyberkriminellen. Enthielten die gesendeten Daten Informationen über die Benutzung von Online-Banking-Systemen, wurde auf dem befallenen Computer der Trojaner Lurk installiert, der auf den Diebstahl vertraulicher Daten für den Zugriff auf Online-Banking-Systeme verschiedener russischer Banken spezialisiert ist.

Dieser Angriff richtete sich gegen russische Anwender. Allerdings schließen wir nicht aus, dass dasselbe Exploit und derselbe „körperlose“ Bot auch gegen die Bewohner anderer Länder eingesetzt werden können. Sie könnten mit Hilfe ähnlicher Banner- oder Teaser-Netze in den entsprechenden Ländern verbreitet werden.

Damit hatten wir es zum ersten Mal mit einer seltenen Art von Schädling zu tun – den so genannten „körperlosen“ Schadprogrammen. Derartige Programme existieren nicht in Form einer Datei auf der Festplatte, sondern ausschließlich im Arbeitsspeicher des infizierten Computers, was die Erkennung durch Antiviren-Programmen erheblich erschwert.

Auch wenn „körperlose“ Programme nur bis zum Neustart des Betriebssystems funktionieren, ist die Wahrscheinlichkeit doch recht hoch, dass der Anwender erneut auf einer infizierten Webseite landet.

Die Experten von Kaspersky Lab weisen darauf hin, dass der einzige wirksame Schutz vor Schadprogrammen, die Sicherheitslücken ausnutzen, in der sofortigen Installation aktueller Updates besteht. In diesem Fall empfehlen wir zur Beseitigung der Java-Schwachstelle CVE-2011-3544 den Patch von Oracle, der unter www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html zum Download bereit steht.

Diebstahl von Zertifikaten

Immer häufiger haben wir es mit signierten Schadprogrammen zu tun. Mitte März wurden wieder einmal Schadprogramme entdeckt, die mit echten Zertifikaten signiert waren – die Trojaner-Familie Mediyes. Sie enthielt eine Vielzahl von Dropper-Dateien, die zwischen Dezember 2011 und dem 7. März 2012 signiert wurden. In allen Fällen wurde ein Zertifikat benutzt, das von der Schweizer Firma Conpavi AG ausgegeben wurde. Dieses Unternehmen arbeitet mit Staatsorganen der Schweiz zusammen, etwa mit Kommunen und Kantonen.

Möglicherweise ist es Cyberkriminellen gelungen, einen oder mehrere Computer dieser Firma zu infizieren und das Zertifikat zu stehlen, das anschließend zum Signieren schädlicher Dateien genutzt wurde. (Auch ZeuS verfügt über eine solche Funktionalität – er sucht auf einem infizierten Computer nach Zertifikaten und schickt diese im Erfolgsfall an die Cybergangster.) In diesem Fall verheißt die Tatsache nichts Gutes, dass staatliche Stellen auf die eine oder andere Weise in den Vorfall verwickelt waren. Wer kann schon sagen, zu welchen anderen wichtigen Daten der Kommunalverwaltung sich die Kriminellen Zugriff verschafft haben.

Mediyes speichert seinen Treiber im Systemverzeichnis, der daraufhin eine schädliche Bibliothek in den Browser einschleust. Diese leitet Suchanfragen an Google, Yahoo und Bing auf den Server der Cyberkriminellen um, der als Antwort eine Liste mit Links des Partnerprogramms Search123 ausgibt, das nach dem Pay-per-Click-Prinzip funktioniert. Die schädliche Bibliothek imitiert Mausklicks des Anwenders auf diese Links, womit die Online-Betrüger Geld verdienen.

Schädliche Erweiterungen für Google Chrome

Anfang März entdeckten die Experten von Kaspersky Lab eine neue schädliche Erweiterung für den Browser Google Chrome. Die von unseren Fachleuten registrierte Attacke richtete sich gegen Facebook-Nutzer aus Brasilien. Allerdings hält die Verbrecher rein gar nichts davon ab, später auch Anwender aus anderen Ländern auf dieselbe Weise anzugreifen.

In Facebook wurden Links zu angeblich nützlichen Anwendungen verbreitet: „Ändere die Farbe Deiner Seite“, „Finde heraus, wer Dein Profil besucht hat“ oder „Wie ich einen Virus von meiner Facebook-Seite lösche“. Stimmte der Nutzer der Installation der Anwendung zu, so wurde der Browser auf die Webseite des offiziellen Internet-Shops von Chrome umgeleitet, wo als „Adobe Flash Player“ getarnt auch eine schädliche Erweiterung für Google Chrome lauerte.

Für den durchschnittlichen Anwender ist es nicht leicht, auf alle Feinheiten der neuen Anwendungen im Google Chrome Web Store zu achten. Der Anwender sieht die offizielle Google-Webseite und rechnet nicht damit, dass sich sein Rechner dort ein Schadprogramm einfangen kann. Das Problem liegt jedoch darin, dass praktisch jeder die Möglichkeit hat, eine Erweiterung für Google Chrome zu veröffentlichen. Zu diesem Zweck benötigt man lediglich ein Google-Konto. Anschließend kann man selbst erstellte Anwendungen im Chrome Web Store hochladen.

Nach Installation der schädlichen Erweiterung auf dem Computer erhielten die Cyberkriminellen die volle Kontrolle über den Facebook-Account des Opfers. In dem geschilderten Fall lud die Erweiterung nach der Installation ein schädliches Skript auf den Computer. Ging der Nutzer dann auf seine Facebook-Seite, fügte sich das schädliche Skript in den HTML-Code der Seite ein.

Solche schädlichen Skripte nutzen die Seiten der Facebook-User insbesondere dazu aus, um auf anderen Facebook-Seiten, die die Cyberkriminellen vorgegeben haben, den Gefällt-mir-Button anzuklicken und um Mitteilungen auf der Seite des betroffenen Anwenders zu platzieren. Darunter waren angeblich im Namen des Anwenders verschickte Mitteilungen, die die Installation der schädlichen Erweiterung empfahlen.

Google löschte die schädliche Anwendung sehr schnell, nachdem Kaspersky Lab das Unternehmen über den Vorfall informiert hatte. Allerdings haben die Cyberkriminellen bereits neue, ähnliche Erweiterungen erstellt und wiederum im Google Chrome Web Store platziert.

MS12-020 RDP Exploit

Im März veröffentliche Microsoft einen Patch, der eine kritische Sicherheitslücke im Terminal-Services-Dienst schließt, der auch als Remote Desktop bekannt ist. Die Sicherheitslücke erwies sich als extrem kritisch. Sie gehört zu einer Kategorie von Schwachstellen zur Ausnutzung des Speichers nach seiner Leerung. Die Sicherheitslücke befand sich im Code, der im Nullring funktioniert, das heißt der Code wurde mit Rechten des lokalen Systems ausgeführt.

Die ursprüngliche Sicherheitslücke entdeckte der Forscher Luigi Auriemma. Er erstellte ein Netzpaket, das den Remote Desktop außer Gefecht setzte (Denial of Service). Der Experte übermittelte detaillierte Informationen an die entsprechende Abteilung von Microsoft. Wer daraufhin in den Besitz dieser Informationen gelangte, bleibt wohl auf ewig ein Rätsel. Es wurde lediglich bekannt, dass sie irgendwie ins World Wide Web geriet, so dass potenzielle Angreifer anstelle allgemein gehaltener Formulierungen von Microsoft nun ein praktisches Beispiel für die Ausnutzung einer Sicherheitslücke im Remote Desktop in Händen hielten.

Im Internet meldeten sich schnell eine Menge Interessenten an einem funktionierenden Exploit für diese Sicherheitslücke: Die einen suchten einen Exploit zur Durchführung von Attacken, die anderen wollten die Existenz des Exploits bestätigt wissen und die Welt vor der Gefahr warnen. Einige Forscher bereiteten sich schon auf eine Epidemie von Netzwürmern vor, die diese Sicherheitslücke ausnutzen.

Entwickler eines Exploits ließen tatsächlich nicht lange auf sich warten: Es erschienen die ersten Versionen des Codes, die unbefugten entfernten Zugriff auf Windows-Computer über den Remote Desktop ermöglichten.

Ganz zu Beginn sah eine der Versionen übrigens aus wie ein Scherz:


Die Autorenschaft dieses Exploits wird dem Hacker Sabu zugeschrieben, einem Vertreter von Lulzsec, den seine Mitstreiter kürzlich beschuldigten, Informationen über andere Mitglieder der Gruppe an das FBI weitergeleitet zu haben, was zu deren Festnahme führte.

Wie man in dem Screenshot oben sieht, wurde der Exploit in der Sprache Python programmiert und verwendet das Modul freerdp. Doch es existiert kein öffentlich bekanntes Modul namens freerdp für Python. Es gibt eine freie, offene Umsetzung des Remote-Desktop-Protokolls, das als FreeRDP bekannt ist, allerdings stellen die Entwickler selbst keine Anleitung zur Verfügung, wie man freerdp mit Python umsetzt.

Das war tatsächlich ein Scherz und es war nicht der einzige.

Neue Umsetzungen des Exploits schossen wie Pilze aus dem Boden, allerdings ermöglichte nicht ein einziges davon die entfernte Ausführung von Code. Es erschien sogar eine auf diese Frage spezialisierte Webseite mit dem passenden Namen http://istherdpexploitoutyet.com (Übersetzung: „Gibt es inzwischen ein RDP-Exploit?”).

Uns ist bisher kein Exploit untergekommen, das eine entfernte Ausführung von Code über den Remote Desktop ermöglicht. Die meisten angebotenen Umsetzungen hatten keinen Effekt oder führten zum Systemabsturz und dem allgemein bekannten Blue Screen.

In jedem Fall raten wir allen Windows-Anwendern, zu überprüfen, ob sie den Remote Desktop nutzen. Wird er verwendet, muss so schnell wie möglich der Microsoft-Patch installiert werden. Generell sollte man aber auch darüber nachdenken, ob dieser Dienst auf dem jeweiligen System wirklich benötigt wird.

Wir werden auf jeden Fall mitteilen, wenn ein funktionierender Exploit erscheint, der eine entfernte Ausführung von Code ermöglicht. Bis es soweit ist, können Sie auf der Webseite http://rdpcheck.com überprüfen, ob Ihr Rechner für eine potentielle RDP-Attacke anfällig ist.

Bedrohungen für den Mac

Im Laufe des gesamten Monats März beobachteten wir eine ungewöhnlich rege Aktivität von Schadprogrammen für MacOS.

Das wohl Aufsehen erregendste Ereignis ist die vom Unternehmen AlienVault Labs entdeckte Spam-Versendung an die Adresse tibetanischer Organisationen, in der Links auf das Exploit Java.CVE-2011-3544.ms verbreitet wurden. Dieses Exploit wird auf Computern in Abhängigkeit vom jeweiligen Betriebssystem installiert. In diesem Fall wurde auf Macs der Schädling Backdoor.OSX.Lasyr.a installiert, auf Windows-Rechnern dagegen Trojan.Win32.Inject.djgs. (Der Trojaner war mit einem abgelaufenen Zertifikat signiert, das von der chinesischen Firma „WoSign Code Signing Authority“ ausgegeben worden war). Wir weisen darauf hin, dass die Cyberkriminellen bei der Durchführung von Attacken ein und dieselben Server für die Steuerung beider Schadprogramme nutzten.

Diese Attacke war nicht das einzige Beispiel für die Verwendung von Schadprogrammen bei Attacken auf tibetanische Organisationen. Bereits eine Woche später wurde in einer ähnlichen Spam-Versendung eine DOC-Datei entdeckt, die Kaspersky Lab als Exploit.MSWord.CVE-2009-0563.a aufgenommen hat. Dieses Exploit infizierte Computer unter MacOS X mit dem Schadprogramm Backdoor.OSX.MaControl.a. Bemerkenswert ist, dass dieser Schädling seine Befehle für die infizierten Computer vom Server freetibet2012.xicp.net erhielt, der sich auf chinesischem Gebiet befindet.

Im Laufe des März wurde auch eine neue Modifikation des Schadprogramms Backdoor.OSX.Imuler entdeckt, über die wir in unserer Monatsanalyse für September 2011 berichteten. Schadprogramme dieser Familie nutzen den Deckmantel von Dateien mit sicheren Erweiterungen. Im Zuge der März-Attacken versendeten die Online-Kriminellen Spam-Mitteilungen mit erotischen Bildern, mit der Erweiterung .jpg sowie als Bilder getarnte ausführbare schädliche Dateien.

Eine weitere Neuheit im März sind die Schadprogramme der Familie Trojan-Downloader.OSX.Flashfake, die im vergangenen Monat Twitter als Steuerungsserver nutzten. Zur Verbreitung dieser Schadprogramme nutzten die Cyberkriminellen 200.000 gehackte WordPress-Blogs.

Mobile Bedrohungen

Banktrojaner für Android

Vor ungefähr eineinhalb Jahren wurde die mobile Version des zu trauriger Berühmtheit gelangten Trojaners ZeuS entdeckt, die den Namen ZitMo (ZeuS-in-the-Mobile) erhielt. Das Hauptziel des Trojaners war der Diebstahl mobiler TAN-Codes (mTAN), die von der Bank per SMS auf das Telefon des Kunden geschickt werden. Das Segment derartiger mobiler Bedrohungen entwickelte sich weiter, doch bis zum März 2012 wurde nicht ein einziges schädliches Programm für mobile Geräte entdeckt, das direkt die Zugangsdaten (Login/Passwort) von Online-Banking-Systemen stiehlt.

Mitte März wurde ein Schadprogramm entdeckt, das nicht nur auf den Diebstahl von SMS mit mTAN spezialisiert ist, sondern auch von SMS mit Daten, die zur Autorisierung beim Online-Banking notwendig sind. Dieses Programm führt Kaspersky Lab unter der Bezeichnung Trojan-SMS.AndroidOS.Stealer.a.

Ein Nutzer, der diese schädliche Anwendung startet, sieht ein Fenster, das angeblich der Generierung von Token dient (zufälligen Zahlen). Dazu wird der Anwender aufgefordert, das für die Autorisierung im Online-Banking-System notwendige Passwort einzugeben. Daraufhin generiert der Schädling ein gefälschtes Token und die vom Anwender eingegebenen Daten werden zusammen mit der IMEI- und IMSI-Nummer an eine Telefonnummer und einen entfernten Server der Cyberkriminellen geschickt. Darüber hinaus ist das Schadprogramm in der Lage, bestimmte Befehle von dem entfernten Server entgegenzunehmen (die im Wesentlichen mit dem Diebstahl von mTANs zusammenhängen).

Wir hatten das Erscheinen eines derartigen Schädlings erwartet, doch einige Details waren dennoch besonders interessant: Alle Samples des Schädlings, die wir untersuchten, richten sich gegen Kunden spanischer Banken. Einer der entfernten Server, mit dem das Schadprogramm arbeitet, befand sich jedoch in der Domain-Zone .ru. Zudem werden die gestohlenen Daten an eine russische Telefonnummer gesendet. Diese Merkmale lassen den Schluss zu, dass russischsprachige Malware-Autoren an der Entwicklung des Schadprogramms beteiligt waren.

Attacken auf Netzwerke von Unternehmen und großen Organisationen

Weltraumspionage

Im März wurden einige Attacken gegen staatliche Einrichtungen zur Weltraumforschung bekannt.

In erster Linie ist ein Bericht über einen Vorfall von Interesse, in den die NASA verwickelt ist. Dieser Bericht wurde vom Generalinspektor der NASA auf einer Anhörung im Komitee für Wissenschaft, Weltraum und Technologien des Kongresses der USA vorgelegt.

Eine bei der NASA durchgeführte Untersuchung brachte eine Attacke vom November 2011 ans Tageslicht, in deren Verlauf die Angreifer von chinesischen IP-Adressen aus vollständigen Zugriff auf das Netzwerk des Jet Propulsion Laboratory (JPL) erhielten. Zudem wurden im gleichen Jahr 47 zielgerichtete Angriffe auf die NASA durchgeführt, von denen 13 erfolgreich waren. Die Gesamtzahl der Vorfälle, die mit nicht berechtigtem Zugriff auf das Netz der Behörde oder mit schädlichen Programmen in Verbindung stehen, wird für die Zeit von 2010 bis 2011 auf mehr als 5.400 Fälle unterschiedlichen Ausmaßes geschätzt.

Außer den Hackerattacken hat die NASA unter dem regelmäßigen Verlust von Notebooks mit vertraulichen Informationen zu leiden. Seit 2009 gingen fast 50 Notebooks verloren – der Fall des im März verkauften Laptops eingeschlossen, der Informationen über die Steuerungsalgorithmen der internationalen Weltraumstationen enthielt.

Die Japanische Raumfahrtagentur JAXA veröffentlichte Ermittlungsergebnisse zu einem Fall vom Sommer 2011, der jedoch erst im Januar 2012 aufgedeckt wurde.

Im Juli 2011 erhielt ein JAXA-Mitarbeiter eine E-Mail, die eine schädliche Datei enthielt. Die Antiviren-Software auf seinem Computer war nicht aktualisiert, so dass das System infiziert werden konnte. Die Angreifer erhielten dadurch Zugriff auf alle Informationen, die auf dem Computer gespeichert waren und waren zudem potenziell in der Lage, die Informationen auf dem Bildschirm des Mitarbeiters zu beobachten. Glücklicherweise befanden sich nach Angaben der Agentur keinerlei geheime Informationen auf dem Computer. Obgleich dieser Computer Zugriff auf die Arbeit des H-II Transfer Vehicle (HTV) hatte, konnten die Angreifer nicht darauf zugreifen.

Eine weiterführende Analyse brachte ebenfalls keine Hinweise darauf, dass die gestohlenen Autorisierungsdaten für den Zugriff auf andere Systeme der JAXA und NASA genutzt wurden. Als eher unwesentlichen Verlust kann man den Diebstahl von zirka 1.000 E-Mail-Adressen der Agentur einschätzen.

Geografische Darstellung des Infektionsrisikos beim Surfen im Internet


Top 10 der Länder, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

1 Russland 55,50% 0
2 Armenien 49,30% 1
3 Kasachstan 47,80% 1
4 Weißrussland 47,10% 1
5 Aserbaidschan 46,30% 1
6 Ukraine 43,30% 1
7 Sudan 41,00% neu
8 Usbekistan 40,30%
9 Elfenbeinküste 39,90% -7

Top 10 der Länder, in denen die Computer dem geringsten Risiko einer Infektion über das Internet ausgesetzt sind

1 Taiwan 10,10%
2 Benin 12,60% 1
3 Japan 12,90% -1
4 Hong Kong (chinesische Sonderverwaltungszone) 12,90% 2
5 Macau (chinesische Sonderverwaltungszone) 13,60% 2
6 Burkina Faso 14% neu
7 Myanmar 14,80% neu
8 Neuseeland 15% 1
9 Puerto Rico 15,30% neu
10 Dänemark 15,50% -2

Top 10 der Länder, auf deren Ressourcen Schadprogramme platziert sind


Top 10 der Internet-Schädlinge

1 Schädliche URLs 85,71% 0
2 Trojan.Script.Iframer 4,03% 0
3 Trojan.Script.Generic 2,74% 1
4 Trojan.Win32.Generic 0,30% 1
5 Trojan-Downloader.Script.Generic 0,28% -1
6 Trojan-Downloader.JS.JScript.ag 0,26% neu
7 Trojan-Downloader.JS.JScript.ai 0,19% neu
8 Trojan.JS.Popupper.aw 0,18% 2
9 Trojan.JS.Iframe.zy 0,15% neu
10 Trojan-Downloader.JS.JScript.ax 0,14% neu

Verteilung der Exploits nach angegriffenen Anwendungen


Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.