2. September 2014 pi/Rudolf Felser

„Operation Poisoned Hurricane“: Datenklau mittels Google Developers und Hurricane Electric

Security-Spezialist FireEye hat im März 2014 verdächtigen Traffic – versteckten Command-and-Control-Datenverkehr – entdeckt, der sich als erste Spur der koordinierten Kampagne "Operation Poisoned Hurricane" herausstellen sollte. [...]

FireEye wurde durch sein weltweites Sensoren-Netzwerk auf ausgehenden Datenverkehr mehrerer Systeme aufmerksam. Diese Systeme waren mit dem Remote-Access-Tool (RAT) Kaba infiziert, einer Variante des bekannten Fernwartungstools PlugX. Ziele des Angriffes wurden sowohl in den USA als auch in Asien entdeckt und sind in erster Linie Internet-Infrastruktur-Provider, Medienunternehmen, Finanzinstitute und eine asiatische Regierungsorganisation.

Die Angreifer verwendeten legitime digitale Zertifikate für die verwendeten Tools und innovative Techniken, um den Command-and-Control-Datenverkehr zwischen Malware und Server zu verschleiern. Sie nutzten dazu Google Developers und den Domain Name Service (DNS) des amerikanischen Unternehmens Hurricane Electric. In beiden Fällen waren die Cyberkriminellen in der Lage, den Datenverkehr unbemerkt umzuleiten. Im Fall von Hurricane Electric konnten sie kostenlose Nutzerkonten anlegen, mit denen Auflösungen zu beliebigen bereits registrierten Domänen möglich waren. So erweckten die Verbindungen den Anschein, sie würden zu bekannten Webseiten wie adobe.com, update.adobe.com und outlook.com bestehen.

Auch erfahrenen Netzwerk-Administratoren erschienen diese Datenströme als legitim. Insgesamt konnte FireEye mindestens 18 solcher Domain-Namen feststellen, die bei dieser Kampagne von einem einzigen Angreifer zur Tarnung genutzt wurden. Die von den Urhebern dieser Bedrohung verwendete Malware war mit einem legitimen digitalen Zertifikat ausgestattet und erweckte auch aufgrund dessen keinen Verdacht.

Sowohl Google als auch Hurricane wurden von FireEye informiert und entfernten die Mechanismen aus ihrem Service, die die kriminellen Handlungen ermöglicht hatten.

Die Vorgehensweise, die FireEye entdeckt hat, zeigt einmal mehr, dass Cyberkriminelle immer wieder neue Wege suchen und finden, um ihre Ziele zu verfolgen.

Weitere Informationen zur „Operation Poisoned Hurricane“, eine detaillierte Beschreibung der Verwendung von Google Code und Hurricane Electric sowie Tipps für CISOs finden Sie im Original-Blogbeitrag von FireEye. (pi)


Mehr Artikel

News

KI in der Softwareentwicklung

4. Oktober 2024

Der “KI Trend Report 2025” von Objectbay liefert Einblicke, wie generative KI entlang des Software Engineering Lifecycle eingesetzt wird. Dafür hat das Linzer Softwareentwicklungs-Unternehmen 9 KI-Experten zu ihrer Praxiserfahrung befragt und gibt Einblicke, wie der Einsatz von KI die IT-Branche verändert wird. […]

News

F5-Studie enthüllt Lücken im Schutz von APIs

3. Oktober 2024

APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. […]

News

VINCI Energies übernimmt Strong-IT

3. Oktober 2024

VINCI Energies übernimmt Strong-IT in Innsbruck und erweitert damit das Leistungsspektrum seiner ICT-Marke Axians. Strong-IT schützt seit mehr als zehn Jahren Unternehmen gegen digitale Bedrohungen, während Axians umfassende IT-Services einbringt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*