2. September 2014 pi/Rudolf Felser

„Operation Poisoned Hurricane“: Datenklau mittels Google Developers und Hurricane Electric

Security-Spezialist FireEye hat im März 2014 verdächtigen Traffic – versteckten Command-and-Control-Datenverkehr – entdeckt, der sich als erste Spur der koordinierten Kampagne "Operation Poisoned Hurricane" herausstellen sollte. [...]

FireEye wurde durch sein weltweites Sensoren-Netzwerk auf ausgehenden Datenverkehr mehrerer Systeme aufmerksam. Diese Systeme waren mit dem Remote-Access-Tool (RAT) Kaba infiziert, einer Variante des bekannten Fernwartungstools PlugX. Ziele des Angriffes wurden sowohl in den USA als auch in Asien entdeckt und sind in erster Linie Internet-Infrastruktur-Provider, Medienunternehmen, Finanzinstitute und eine asiatische Regierungsorganisation.

Die Angreifer verwendeten legitime digitale Zertifikate für die verwendeten Tools und innovative Techniken, um den Command-and-Control-Datenverkehr zwischen Malware und Server zu verschleiern. Sie nutzten dazu Google Developers und den Domain Name Service (DNS) des amerikanischen Unternehmens Hurricane Electric. In beiden Fällen waren die Cyberkriminellen in der Lage, den Datenverkehr unbemerkt umzuleiten. Im Fall von Hurricane Electric konnten sie kostenlose Nutzerkonten anlegen, mit denen Auflösungen zu beliebigen bereits registrierten Domänen möglich waren. So erweckten die Verbindungen den Anschein, sie würden zu bekannten Webseiten wie adobe.com, update.adobe.com und outlook.com bestehen.

Auch erfahrenen Netzwerk-Administratoren erschienen diese Datenströme als legitim. Insgesamt konnte FireEye mindestens 18 solcher Domain-Namen feststellen, die bei dieser Kampagne von einem einzigen Angreifer zur Tarnung genutzt wurden. Die von den Urhebern dieser Bedrohung verwendete Malware war mit einem legitimen digitalen Zertifikat ausgestattet und erweckte auch aufgrund dessen keinen Verdacht.

Sowohl Google als auch Hurricane wurden von FireEye informiert und entfernten die Mechanismen aus ihrem Service, die die kriminellen Handlungen ermöglicht hatten.

Die Vorgehensweise, die FireEye entdeckt hat, zeigt einmal mehr, dass Cyberkriminelle immer wieder neue Wege suchen und finden, um ihre Ziele zu verfolgen.

Weitere Informationen zur „Operation Poisoned Hurricane“, eine detaillierte Beschreibung der Verwendung von Google Code und Hurricane Electric sowie Tipps für CISOs finden Sie im Original-Blogbeitrag von FireEye. (pi)


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*