Cyberkriminelle leiten Datenverkehr um
Unternehmensdaten mit Hilfe von Google Developers und Hurricane Electric gestohlen
"Operation Poisoned Hurricane" von FireEye deckt neue kriminelle Vorgehensweise auf
(22.09.14) - FireEye, Spezialistin für den Schutz von Unternehmen vor bisher unbekannten Cyberangriffen, hat im März 2014 verdächtigen Traffic versteckten Command-and-Control-Datenverkehr entdeckt, der sich als erste Spur der koordinierten Kampagne "Operation Poisoned Hurricane" herausstellen sollte.
Das weltweite Sensoren-Netzwerk von FireEye versetzt die Mitarbeiter der FireEye Labs in die Lage, neuartige Taktiken von Urhebern fortschrittlicher Bedrohungen entdecken und ihre Kunden vor diesen schützen zu können. Durch dieses Netzwerk wurden sie auf ausgehenden Datenverkehr mehrerer Systeme aufmerksam. Diese Systeme waren mit dem Remote-Access-Tool (RAT) "Kaba" infiziert, einer Variante des bekannten Fernwartungstools "PlugX".
Ziele des Angriffes wurden sowohl in den USA als auch in Asien entdeckt und sind in erster Linie Internet-Infrastruktur-Provider, Medienunternehmen, Finanzinstitute und eine asiatische Regierungsorganisation.
Die Angreifer verwendeten legitime digitale Zertifikate für die verwendeten Tools und Techniken, um den Command-and-Control-Datenverkehr zwischen Malware und Server zu verschleiern. Sie nutzten dazu Google Developers und den Domain Name Service (DNS) des amerikanischen Unternehmens Hurricane Electric. In beiden Fällen waren die Cyberkriminellen in der Lage, den Datenverkehr unbemerkt umzuleiten. Im Fall von Hurricane Electric konnten sie kostenlose Nutzerkonten anlegen, mit denen Auflösungen zu beliebigen bereits registrierten Domänen möglich waren.
So erweckten die Verbindungen den Anschein, sie würden zu bekannten Webseiten wie adobe.com, update.adobe.com und outlook.com bestehen.
Auch erfahrenen Netzwerk-Administratoren erschienen diese Datenströme als legitim. Insgesamt konnte FireEye mindestens 18 solcher Domain-Namen feststellen, die bei dieser Kampagne von einem einzigen Angreifer zur Tarnung genutzt wurden. Die von den Urhebern dieser Bedrohung verwendete Malware war mit einem legitimen digitalen Zertifikat ausgestattet und erweckte auch aufgrund dessen keinen Verdacht.
Sowohl Google als auch Hurricane wurden von FireEye informiert und entfernten die Mechanismen aus ihrem Service, die die kriminellen Handlungen ermöglicht hatten.
Die Vorgehensweise zeigt einmal mehr, dass Cyberkriminelle immer wieder neue Wege suchen und finden, um ihre Ziele zu verfolgen. (FireEye: ma)
FireEye: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.