Trend Micro warnt: Remote-Access-Trojaner FAKEM lässt kriminellen Netzwerkverkehr wie legitimen Datenverkehr aussehen. [...]
Gezielte Angriffe oder Advanced Persistent Threats (APTs) sind vor allem dann erfolgreich, wenn sie den Empfang von Befehlen und den Versand von gestohlenen Informationen möglichst lange im allgemeinen Datenstrom eines Unternehmensnetzes verbergen. Beliebtes Mittel bei gezielten Angriffen sind so genannte Remote-Access-Trojaner (RAT), mit denen sich Verzeichnisse durchsuchen, Dateien übertragen, Screenshots erstellen und das Mikrofon oder die Webkamera einschalten lassen. Einer davon heißt FAKEM. Vor kurzem von Trend Micro entdeckte Varianten tarnen sich als Windows Messenger- und Yahoo! Messenger-Datenverkehr.
FAKEM scheint seit September 2009 von Online-Gangstern eingesetzt zu werden. Sämtliche neu entdeckte Varianten haben die Zielcomputer mittels so genannter Spear-Phishing-E-Mail-Nachrichten und Social-Engineering-Taktiken infiziert. Das heißt, dass nur ganz bestimmte Personen in einem Unternehmen verseuchte Nachrichten empfangen haben, deren Interessen zuvor gezielt – zum Beispiel über deren Einträge auf sozialen Netzwerken – ausspioniert wurden. Einmal eingenistet, ist FAKEM in der Regel erst dann wieder zu entdecken, wenn er Kontakt mit den kriminellen Hintermännern aufnimmt und seine Beute versendet. Doch angesichts der Datenmengen im Netzwerkverkehr gleich dies der berüchtigten Suche nach dem Nadel im Heuhaufen – eine Aufgabe, die durch neue Tarntechniken immer weiter erschwert wird.
Die Unternehmen müssen ihre Sicherheitskonzepte überdenken und möglichst flexible Verteidigungsmechanismen gegen gezielte und gut getarnte Angriffe einsetzen. Big-Data-Analysen und Korrelationstechniken, die auch Ereignisse und Informationen jenseits des Unternehmensnetzes für ihre Untersuchungen berücksichtigen, kommt dabei eine besondere Bedeutung zu, so die Ratschläge von Trend Micro.
Be the first to comment