Gezielte Attacke: Hacker greifen Rüstungsfirmen in Indien und Japan sowie Tibet-Aktivisten an

Trend Micro sieht Angriffswelle und Verbindungen zu anderen Attacken

Tags: LuckyCat Redux Hacker Angriffswelle Social-Engineering #Sicherheitsluecke #Social #Cybercrime #Hacker #LuckyCat

Hallbergmoos, 30. März 2012. Trend Micro hat eine Angriffswelle auf Unternehmen in Indien und Japan sowie Tibet-Aktivisten analysiert. Dabei handelt es sich um 90 gezielte Angriffe, die zumindest teilweise von Hackern in China ausgehen. Insgesamt wurden 233 Rechner von Firmen und Einrichtungen aus dem militärischen Bereich und Branchen wie Luft- und Raumfahrt, Energiewirtschaft, Fertigung und Schiffsbau erfolgreich infiziert. Von dort aus sind die Hacker immer tiefer in die Firmennetze eingedrungen und haben sie ausspioniert. Auch Einzelpersonen, die sich für die politischen Belange Tibets einsetzen, wurden attackiert. Besonders schlimm: Die Opfer haben es ihren Angreifern zu leicht gemacht, indem sie bekannte Sicherheitslücken nicht rechtzeitig geschlossen haben.

Abweichend zu ersten Berichten über gezielte Angriffe auf militärische Forschungseinrichtungen in Indien, die auf Informationen des Sicherheitsanbieters Symantec zurückgehen, haben die Forscher von Trend Micro festgestellt, dass weit mehr Unternehmen und Branchen betroffen sind. Darüber hinaus haben sich die Angreifer nicht auf Indien beschränkt, sondern auch japanische Unternehmen sowie Einzelpersonen gezielt ausspioniert. Zweitens haben die Trend Micro-Untersuchungen ergeben, dass man trotz des zielgerichteten Vorgehens der Hacker von Kampagnen sprechen muss statt von Einzelaktionen. Indem mehrere Firmenangehörige über Social Engineering-Methoden geködert werden, steigt die Wahrscheinlichkeit, ein Opfer zu finden und sich erfolgreich im Unternehmensnetz einzunisten. Zudem bestehen Verbindungen zwischen der „LuckyCat Redux“ genannten Kampagne und anderen Angriffswellen wie das noch immer aktive Shadow Network oder Duojeen, Sharksrv und Comfoo.

Obwohl die Hacker Tarn- und Anonymisierungswerkzeuge wie Tor oder Tunnelier verwendeten, ist es Trend Micro gelungen, einige davon zu identifizieren. Darunter befinden sich in China ansässige Personen, die sich in einschlägigen Untergrundforen mit den Tarnnamen „dang0102“ oder „scuhkr“ alias „lolibaso“ ausweisen. Ein weiterer Hacker aus der Gruppe ist ein ehemaliger Student und Mitarbeiter des Instituts für Sicherheit der Universität Sichuan, der in der Vergangenheit mehrere Artikel über das Ausnutzen von Sicherheitslücken publiziert hat. Durch die Entdeckung einer zur Angriffssimulation benutzten Raubkopie des Betriebssystems Windows XP in chinesischer Sprache sowie auf Chinesisch abgefasster Instant Messages erhielten die Trend Micro-Forscher weitere Hinweise auf den chinesischen Ursprung von LuckyCat Redux.

Die Online-Spione haben ein weit verzweigtes Netz an Befehls- und Kontrollservern errichtet, um ihre Spuren bestmöglich zu verwischen und die Verbindung zu den infizierten Systemen möglichst ausfallsicher zu machen. Während ein Teil dieser Server China zugeordnete IP-Adressen aufweisen, stehen einige davon offensichtlich in den USA.

Handlungsbedarf auch bei deutschen Unternehmen

"Die Analyse dieser gezielten Angriffe zeigt deutlich, dass die Online-Wirtschaftsspionage eine neue Qualität erreicht hat. Die Unternehmen werden nicht nur gezielt, sondern systematisch und über einen längeren Zeitraum mit wechselnden Methoden angegriffen. Solche Angriffe sind immer schwerer abzuwehren. Damit gerät jeder Marktführer, jeder Technologieführer und jedes Unternehmen, das mit wichtigen Infrastrukturen wie Stromnetzen zu tun hat, ins Visier der Wirtschaftsspione", erklärt Martin Rösler, Director Threat Research bei Trend Micro. "Die deutsche Wirtschaft muss sich dringend darauf einstellen und geeignete Gegenmaßnahmen ergreifen - technisch und organisatorisch."

Sicherheitslücken als Einfallstor

Der Test der Hacker eines Windows XP-Systems trägt wahrscheinlich dem Umstand Rechnung, dass diese Betriebssystemversion in vielen Unternehmen immer noch vorherrscht. Darüber hinaus aber fällt es insbesondere großen Firmen aus Aufwands- und Kostengründen schwer, ihre zum Teil in die Tausende gehende Zahl an Windows-Rechnern regelmäßig durch Sicherheitsaktualisierungen zu schützen. Insofern bietet sich nicht nur den gewöhnlichen Online-Kriminellen, sondern auch den Hintermännern gezielter Angriffe eine große Angriffsfläche. Diese hatten es unter anderem auf die Sicherheitslücke CVE-2010-3333 abgesehen, die über speziell präparierte E-Mail-Nachrichten im Rich Text Format (RTF) die Ausführung von Schadcode möglich macht. Zwar hat Microsoft dieser Sicherheitslücke schon seit November 2010 geschlossen, doch offensichtlich wurde auf vielen Rechnern die Korrektur nicht eingespielt.

Virtuelles Patchen und Ereignisanalyse als Gegenmittel

Gezielte Angriffe werden niemals vollständig auszuschließen sein. Dennoch können Unternehmen viel gegen das damit verbundene Risiko tun. Erstens können sie durch die Technik des virtuellen Patchens ihre Endpunkte weit früher und auch kostengünstiger absichern, als dies mit den normalen Sicherheitsaktualisierungen möglich ist. Trend Micro bietet seinen Kunden hierfür insbesondere zwei Lösungen: ‚Deep Security‘ sowie ,OfficeScan‘ mit dem ‚Intrusion Defense Firewall-Plugin‘.

Zudem sollten Unternehmen zunehmend in der Kategorie der Spionageaufklärung und -abwehr denken und handeln. Spionagesoftware, die sich erfolgreich eingenistet hat, lässt sich entdecken, wenn sie aktiv wird und damit beginnt, Daten zu senden. Dafür müssen Ereignisse aus allen Bereichen des Netzwerks inklusive SIEM-Plattformen analysiert und für die Analyse miteinander korreliert werden. Möglich wird dies mit der Trend Micro-Lösung Deep Discovery. Auch Integritätschecks, wie sie Deep Security durchführt, helfen beim Aufspüren gezielter Angriffe.

Trend Micro veröffentlicht White Paper

Die Sicherheitsforscher von Trend Micro haben LuckyCat Redux im Detail analysiert und ihre Forschungsergebnisse in einem aktuellen White Paper veröffentlicht.