„Operation Poisoned Hurricane“: Datenklau mittels Google Developers und Hurricane Electric

Security-Spezialist FireEye hat im März 2014 verdächtigen Traffic – versteckten Command-and-Control-Datenverkehr – entdeckt, der sich als erste Spur der koordinierten Kampagne "Operation Poisoned Hurricane" herausstellen sollte. [...]

"Operation Poisoned Hurricane": Datenklau mit ausgeklügelter Methode (c) Angela Parszyk - pixelio.de
"Operation Poisoned Hurricane": Datenklau mit ausgeklügelter Methode

FireEye wurde durch sein weltweites Sensoren-Netzwerk auf ausgehenden Datenverkehr mehrerer Systeme aufmerksam. Diese Systeme waren mit dem Remote-Access-Tool (RAT) Kaba infiziert, einer Variante des bekannten Fernwartungstools PlugX. Ziele des Angriffes wurden sowohl in den USA als auch in Asien entdeckt und sind in erster Linie Internet-Infrastruktur-Provider, Medienunternehmen, Finanzinstitute und eine asiatische Regierungsorganisation.

Die Angreifer verwendeten legitime digitale Zertifikate für die verwendeten Tools und innovative Techniken, um den Command-and-Control-Datenverkehr zwischen Malware und Server zu verschleiern. Sie nutzten dazu Google Developers und den Domain Name Service (DNS) des amerikanischen Unternehmens Hurricane Electric. In beiden Fällen waren die Cyberkriminellen in der Lage, den Datenverkehr unbemerkt umzuleiten. Im Fall von Hurricane Electric konnten sie kostenlose Nutzerkonten anlegen, mit denen Auflösungen zu beliebigen bereits registrierten Domänen möglich waren. So erweckten die Verbindungen den Anschein, sie würden zu bekannten Webseiten wie adobe.com, update.adobe.com und outlook.com bestehen.

Auch erfahrenen Netzwerk-Administratoren erschienen diese Datenströme als legitim. Insgesamt konnte FireEye mindestens 18 solcher Domain-Namen feststellen, die bei dieser Kampagne von einem einzigen Angreifer zur Tarnung genutzt wurden. Die von den Urhebern dieser Bedrohung verwendete Malware war mit einem legitimen digitalen Zertifikat ausgestattet und erweckte auch aufgrund dessen keinen Verdacht.

Sowohl Google als auch Hurricane wurden von FireEye informiert und entfernten die Mechanismen aus ihrem Service, die die kriminellen Handlungen ermöglicht hatten.

Die Vorgehensweise, die FireEye entdeckt hat, zeigt einmal mehr, dass Cyberkriminelle immer wieder neue Wege suchen und finden, um ihre Ziele zu verfolgen.

Weitere Informationen zur „Operation Poisoned Hurricane“, eine detaillierte Beschreibung der Verwendung von Google Code und Hurricane Electric sowie Tipps für CISOs finden Sie im Original-Blogbeitrag von FireEye. (pi)


Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*