Malware-Aktivität im Oktober 2011

Der Oktober in Zahlen

Im Laufe des Monats wurden auf den Computern der Anwender von Kaspersky-Produkten:

  • 161.003.697 Netzattacken abgewehrt
  • 72.207.273 Infizierungsversuche über das Web blockiert
  • 205.822.404 Schadprogramme entdeckt und unschädlich gemacht (Versuche einer lokalen Infektion)
  • 80.900.079 heuristische Vorfälle gezählt

Neue Programme und Technologien der Cyberkriminellen

Duqu – die Reinkarnation von Stuxnet

Das mit Abstand Aufsehen erregendste Ereignis im Oktober war für die Antiviren-Industrie ohne Zweifel die Entdeckung des Trojaners Duqu. Eine von Experten des ungarischen Forschungslabors Crysys durchgeführte Analyse brachte eine Menge Übereinstimmungen im Code des Trojaners mit dem Code des Wurms Stuxnet ans Licht, der als erster bekannter Vertreter einer „Cyberwaffe“ gilt. Die Ähnlichkeit zwischen den beiden Schadprogrammen ist frappierend und könnte deshalb als Beleg dafür gelten, dass entweder ein und dieselbe Gruppe hinter der Entwicklung der Schadprogramme steckt oder die Entwickler von Duqu den Quellcode von Stuxnet verwendet haben (der entgegen anders lautenden Gerüchten niemals öffentlich zugänglich war).

Im Gegensatz zu Stuxnet verfügt Duqu über keine Funktionalität zum Interagieren mit Industriesystemen. Stuxnet enthielt Code für Veränderungen der Funktionsparameter von Hochfrequenzmotoren und wurde vermutlich entwickelt, um Zentrifugen in einer iranischen Urananreicherungsanlage außer Betrieb zu setzen. Die Duqu-Dateien, die in Ungarn im Zuge einer Untersuchung des ersten bekannt gewordenen Vorfalls entdeckt wurden, enthielten neben dem Hauptmodul, das die Funktionsfähigkeit des Trojaners gewährleistet und für die Kommunikation mit dem Steuerungsserver verantwortlich ist, ein zusätzliches trojanisches Spionage-Modul. Dieses Modul kann zum Beispiel Tastatureingaben abfangen, Screenshots anfertigen und Informationen über das System sammeln. Anschließend kann der Trojaner die gestohlenen Daten an den Steuerungsserver weitergeben, der sich zum Zeitpunkt der Analyse in Indien befand. Die eindeutige Ausrichtung des Schädlings auf Industriespionage und nicht auf Industriesabotage (wie im Falle von Stuxnet) warf sofort eine Unmenge an Fragen über das tatsächliche Ziel von Duqu auf.

Im Laufe ihrer Ermittlungen gelang es den Experten von Kaspersky Lab, nicht nur neue Opfer von Duqu auszumachen (größtenteils im Iran – eine weitere Parallele zu Stuxnet), sondern sie entdeckten auch neue, vorher unbekannte Duqu-Dateien. Dadurch wird unsere These bekräftigt, dass die Betreiber von Duqu ihre „Operation“ noch nicht beendet haben und die Opfer ihrer zielgerichteten Attacken im Gegensatz zu den massenhaften Stuxnet-Infektionen sorgfältig auswählten. Bei jedem der angegriffenen Ziele wurde eine bestimmte Auswahl von Dateien des Trojaners eingesetzt. Wahrscheinlich verwendeten die Cyberkriminellen dabei auch zusätzliche Module, neben dem bereits erwähnten trojanischen Spionage-Modul auch Module mit jeder beliebigen anderen Funktionalität.

Die Untersuchungen laufen weiter und wir hoffen, die Situation in unserem nächsten Monatsbericht genauer beleuchten zu können.

Attacken auf einzelne Anwender

Bundestrojaner: Die Grenze des Zulässigen

Im Oktober wirbelte die Entdeckung eines staatlichen Untersuchungsprogramms in Deutschland jede Menge Staub auf. Das Backdoor wurde von der deutschen Polizei bei ihren Ermittlungen zum Abhören von VoIP-Gesprächen und zum Abfangen von Mitteilungen auf Computern von Verdächtigen eingesetzt. Die vom Chaos Computer Club (CCC) durchgeführten Untersuchungen, an denen im weiteren Verlauf auch Experten von Kaspersky Lab in Deutschland beteiligt waren, zeigten, dass der Trojaner sowohl auf das Abfangen von Skype-Mitteilungen ausgerichtet ist, als auch auf alle gängigen Browser, verschiedene Instant-Messaging-Systeme und VoIP-Programme – ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster und Yahoo! Messenger. Zudem wurde festgestellt, dass das Backdoor auch auf 64-Bit-Versionen von Windows läuft.

Die Geschichte von R2D2 hat erneut die Frage über die Existenz so genannter „Regierungstrojaner“ und die Rechtmäßigkeit ihres Einsatzes aufgeworfen. Wie viele andere Antiviren-Anbieter auch, vertritt Kaspersky Lab in dieser Frage eine klare und feste Position: Wir spüren grundsätzlich alle Schadprogramme auf, unabhängig davon, von wem und zu welchem Zweck sie entwickelt wurden. Und wir werden dies auch weiterhin tun.

Mobile Bedrohungen: Android auf Führungsposition

Statistik

Im Oktober gab es eine recht wichtige Entwicklung in der Welt der mobilen Bedrohungen. Laut unseren statistischen Daten überstieg die Gesamtzahl der Schädlinge für Android die Zahl der Schädlinge für die Plattform J2ME (Java 2 Micro Edition). Symbian wurde diesbezüglich bereits im Sommer von Android eingeholt. Wir erinnern daran, dass im Laufe der letzten zwei Jahre Malware für J2ME dominiert hat. Über die Gründe http://www.viruslist.com/de/analysis?pubid=200883666#2 dafür haben wir schon häufig berichtet und gehen daher an dieser Stelle nicht näher darauf ein. Doch allein die Tatsache, dass die Zahl der Schädlinge für Android derart schnell und deutlich gestiegen ist, zeigt, dass sich die Aufmerksamkeit der Virenschreiber in der näheren Zukunft stark auf dieses Betriebssystem konzentrieren wird.

Kommen wir zu den Zahlen: Zum Ende des Monats hatten wir 1.916 Schadprogramm-Varianten für Android entdeckt, die sich auf 92 Familien verteilen. Was die Plattform J2ME betrifft, so wurden insgesamt 60 Familien mit 1.610 Varianten gefunden. Das Verhältnis der Modifikationen, die für alle mobilen Plattformen entdeckt wurden, ergibt in der grafischen Darstellung folgendes Bild:


Gesamtzahl aller bis Oktober 2011 jemals entdeckten mobilen Bedrohungen:
4.053 Modifikationen in 289 Familien

Antammi

Leider sind schon recht häufig Schadprogramme im Android Market aufgetaucht. Im Oktober löschte der App-Shop aufgrund einer entsprechenden Benachrichtigung von Kaspersky Lab einen neuen Schädling, den Kaspersky Lab unter der Bezeichnung Trojan-Spy.AndroidOS.Antammi.b führt.

Anwendungen zum Herunterladen von Klingeltönen findet man im Android Market massenweise. Auch Antammi.b, das sich an russischsprachige Nutzer richtet, enthält eine solche Funktionalität (und zwar gegen kostenpflichtige SMS), doch obendrein stiehlt es praktisch alle persönlichen Daten des Anwenders: seine Kontakte (die beispielsweise auf die Speicherkarte in die Datei /sdcard/bestringtones/contacts.txt kopiert werden), das SMS-Archiv, die GPS-Koordinaten und so weiter. Anschließend schickt das Schadprogramm Informationen über seine Arbeit an ein Gmail-Postfach und lädt die gestohlenen Daten auf einen Server.

Antammi.b erschien Anfang September im offiziellen Android Market und schaffte es während seiner dortigen Lebensdauer, mehr als 5.000 Endgeräte zu infizieren.

MacOS-Bedrohungen: Neue Funktionalität

Mitte Oktober entdeckten wir eine neue Version des Trojaners Trojan-Downloader.OSX.Flashfake.d unter MacOS X. Die Hauptfunktionalität dieses Schädlings besteht im Herunterladen von Dateien und blieb unverändert. Wie gehabt tarnt er sich als Konfigurationsdatei des Adobe Flash Player. Allerdings wurde in dem Programm eine für OS-X-Schädlinge neue Funktionalität umgesetzt.

Vor zwei Jahren stattete Apple sein Betriebssystem MacOS X mit Xprotect aus, einem System zum Schutz vor Malware. Im Prinzip handelt es sich dabei um einen einfachen Signatur-Scanner, der seit einigen Monaten täglich überprüft, ob Updates der Antiviren-Datenbanken verfügbar sind. Trojan-Downloader.OSX.Flashfake.d kann den Schutz von Xprotect außer Kraft setzen, indem er seine Hauptdatei zerstört. Daraufhin kann das Schutzsystem keine Updates mehr von Apple empfangen, wodurch die Effektivität von Xprotect gegen Null geht. Der integrierte Schutz lässt sich deshalb deaktivieren, weil die Programmierer einen Selbstschutz-Mechanismus schlicht nicht vorgesehen haben.

Einmal auf dem Computer gestartet, schützt sich die Schaddatei Trojan-Downloader.OSX.Flashfake.d auf diese Weise nicht nur selbst vor dem Entfernen, sondern macht das System auch für andere Schadprogramme angreifbar, die von dem integrierten Schutz eigentlich erkannt werden sollten. Daher ist dieser Trojaner gefährlicher als andere Vertreter der OS-X-Schädlinge.


Zunahme von OS-X-Schädlingen im Jahr 2011 (Statistik nach Modifikationen)

Das Erscheinen neuer Schadprogramme unter MacOS X hängt in erster Linie mit der wachsenden Popularität von Apple-Computern zusammen. Leider sind die Nutzer von MacOS X bezüglich der Sicherheit ihrer Systeme allzu nachlässig und längst nicht auf jedem Computer ist Antiviren-Software installiert. Die von den integrierten Schutzmechanismen verwendeten Technologien sind veraltet. Daher sind Apple-Computer eine leichte Beute für Virenschreiber.

Attacken auf Netzwerke von Unternehmen und großen Organisationen

Japan: Im Visier der Hacker

Den Anfang machen die neuen Daten über die im August durchgeführte Attacke auf das japanische Unternehmen Mitsubishi Heavy Industries, über die wir in unserem letzten Report berichteten.

Bei den Ermittlungen der Tokioter Polizei wurden auf den 83 Computern, die Zielscheibe des Angriffs waren, etwa 50 verschiedene Schadprogramme gefunden. Auf einem dieser Rechner wurden allein 28 Schädlinge entdeckt. Zudem wurden über 300.000 Kontaktaufnahmen der Cyberkriminellen mit den infizierten Systemen nachgewiesen. Die Suche nach den Angriffsquellen förderte einen weiteren infizierten Computer zutage, der der Society of Japanese Aerospace Companies (SJAC) gehört. Von diesem Computer aus schickten die Hacker die schädlichen Mails an ihre Opfer bei Mitsubishi Heavy Industries und Kawasaki Heavy Industries. Mit dem Computer selbst setzten sich die Angreifer über einen anonymen Proxy-Server in den USA in Verbindung und verwischten so sorgfältig alle Spuren, die ihren Aufenthaltsort verraten könnten. Japanische Experten halten allerdings an ihrer Version von der„chinesischen Herkunft der Hacker fest.

Ursprünglich hieß es, keine vertraulichen Informationen seien gestohlen worden. Doch nach der fast einmonatigen Untersuchung des Vorfalls gelangten Informationen darüber an die Presse, dass es den Hackern doch gelungen sei, Daten über die Entwicklung von Düsenjägern sowie Pläne von Atomkraftwerken zu stehlen.

Das Land kam im Oktober erneut in die Schlagzeilen, als eine zielgerichtete Attacke auf die Mitglieder des Unterhauses des japanischen Parlaments sowie auf eine Reihe von japanischen Auslandsvertretungen auf der ganzen Welt aufgedeckt wurde. Es stellte sich heraus, dass 32 Computer im Parlament infiziert waren und sich die Hacker Zugriff auf interne Dokumente und die gesamte elektronische Korrespondenz der Parlamentarier verschaffen konnten (und sicherlich auch verschafft haben). Die Viren wurden auch auf Computern in japanischen Botschaften in Frankreich, Holland, Myanmar, den USA, Kanada, China und Südkorea gefunden. Die Schadprogramme kommunizierten mit zwei Servern in China, die von Cyberkriminellen bereits früher bei Attacken gegen Google verwendet worden waren.

USA: Neue Details zu alten Vorfällen

Im Oktober wurden in den USA im Rahmen einer Sonderanhörung im Kongress Details über eine Vielzahl von Attacken publik, die unter anderem auch mit dem Hack des Unternehmens RSA im März dieses Jahres zusammenhängen. Die bereitgestellten Informationen zeigen, dass noch einige hundert verschiedene Unternehmen auf der ganzen Welt Opfer ähnlicher Vorfälle und Attacken derselben Hacker-Gruppe werden könnten. Wir erinnern daran, dass diese Experten den Ursprung der Bedrohung eindeutig auf China festlegen.

Zudem wurden Attacken auf zwei amerikanische Satelliten in den Jahren 2007 bis 2008 eingeräumt. Unbekannte Hacker mischten sich wiederholt in die Arbeit der Forschungssatelliten Landsat-7 und Terra AM-1 ein. Es gibt keine offiziellen Informationen darüber, ob es den Hackern gelungen ist, irgendwelche Daten zu stehlen oder die Funktion der Satelliten zu beinträchtigen. Nach Angaben der amerikanischen Behörden spielen die angegriffenen Satelliten keine wesentliche Rolle bei der Wahrung der nationalen Sicherheit der USA, doch allein die Tatsache eines erfolgreichen Angriffs ist besorgniserregend. Wenn sich Hacker Zugriff auf die Steuerung eines Satelliten verschaffen, können sie diesen im Prinzip auch außer Betrieb setzen oder die durch ihn übertragenen Daten kompromittieren.

Insgesamt wurden vier Attacken registriert, in deren Verlauf Cyberkriminelle für einige Minuten Zugriff auf die Steuerung von Satelliten hatten. Vermutlich wurden die Attacken nach einem Hack der Computersysteme zur Steuerung der Satelliten in der Bodenstation in Norwegen möglich.

Vor diesem Hintergrund erscheint die Entdeckung eines Virus in den Steuerungssystemen unbemannter Flugzeuge in einer amerikanischen Basis eher kurios. Das trojanische Programm zum „Diebstahl von Anwenderkonten“ wurde im September auf externen Festplatten und Computern im Zentrum des Bodenkontrollsystems entdeckt, das ferngesteuerte Operationen unterstützt. Einer anonymen Quelle im Verteidigungsministerium der USA zufolge wurde der Trojaner für den Diebstahl der Nutzerkonten von mehreren Online-Games entwickelt und ist höchstwahrscheinlich zufällig ins System geraten, nicht jedoch als Folge einer zielgerichteten Attacke. Wie auch immer, auf jeden Fall demonstriert dieser Vorfall einmal mehr eine nachlässige Haltung gegenüber der Computersicherheit, die insbesondere in solchen Bereichen völlig unzulässig ist, in denen Sicherheitsfragen lebenswichtig sein können.

Top 10 im Oktober

Top 10 der Internet-Schädlinge

1 Malicious URL 82,47% 0
2 Trojan.Script.Iframer 2,25% +1
3 Trojan.Win32.Generic 1,41% +4
4 Trojan.Script.Generic 1,18% 0
5 Exploit.Script.Generic 1,03% +2
6 AdWare.Win32.Shopper.il 0,46% Neu
7 Trojan-Downloader.Script.Generic 0,46% +1
8 AdWare.Win32.Eorezo.heur 0,32% -3
9 Trojan.JS.Popupper.aw 0,27% Neu
10 AdWare.Win32.Shopper.jq 0,23% Neu

Top 10 der Länder, auf deren Ressourcen
Schadprogramme untergebracht sind

1 USA 25,43% 0
2 Russland 22,68% 0
3 Deutschland 10,46% 0
4 Niederlande 10,09% 0
5 Ukraine 7,52% +1
6 Vereinigtes Königreich 4,58% -1
7 Britische Jungferninseln 3,86% +1
8 China 3,35% -1
9 Japan 1,87% Neu
10 Rumänien 1,76% 0

Top 10 der schädlichen Hostings

1 stats1.in 16,59%
2 ru-download.in 8,61%
3 72.51.44.90 8,39%
4 e46l.cc 8,20%
5 adult-se.com 7,88%
6 rx-downloader.in 7,88%
7 lxtraffic.com 5,10%
8 literedirect.com 4,75%
9 au.imgfarm.com 4,48%
10 tizerplatform.com 3,79%

Top 10 der schädlichen Domain-Zonen

1 com 29549282
2 ru 11275285
3 in 3229968
4 info 2284435
5 net 2096213
6 org 1625163
7 me 1382158
8 tv 962598
9 cc 649231
10 biz 387681

Top 10 der Länder, in denen die Anwender-Computer dem
höchsten Risiko einer Infektion über das Internet ausgesetzt sind

1 Russland 36,9% 0
2 Armenien 33,7% 0
3 Weißrussland 31,0% 1
4 Irak 30,8% 5
5 Mongolei 30,2% Neu
6 Ukraine 28,8% 1
7 Sudan 27,7% 3
8 Kasachstan 26,9% -5
9 Südkorea 26,9% -1
10 Aserbaidschan 26,7% -4

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.