"Operation Poisoned Hurricane": Datenklau mittels Google Developers und Hurricane Electric "Operation Poisoned Hurricane": Datenklau mittels Google Developers und Hurricane Electric - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


02.09.2014 pi/Rudolf Felser

"Operation Poisoned Hurricane": Datenklau mittels Google Developers und Hurricane Electric

Security-Spezialist FireEye hat im März 2014 verdächtigen Traffic – versteckten Command-and-Control-Datenverkehr – entdeckt, der sich als erste Spur der koordinierten Kampagne "Operation Poisoned Hurricane" herausstellen sollte.

"Operation Poisoned Hurricane": Datenklau mit ausgeklügelter Methode

"Operation Poisoned Hurricane": Datenklau mit ausgeklügelter Methode

© Angela Parszyk - pixelio.de

FireEye wurde durch sein weltweites Sensoren-Netzwerk auf ausgehenden Datenverkehr mehrerer Systeme aufmerksam. Diese Systeme waren mit dem Remote-Access-Tool (RAT) Kaba infiziert, einer Variante des bekannten Fernwartungstools PlugX. Ziele des Angriffes wurden sowohl in den USA als auch in Asien entdeckt und sind in erster Linie Internet-Infrastruktur-Provider, Medienunternehmen, Finanzinstitute und eine asiatische Regierungsorganisation.

Die Angreifer verwendeten legitime digitale Zertifikate für die verwendeten Tools und innovative Techniken, um den Command-and-Control-Datenverkehr zwischen Malware und Server zu verschleiern. Sie nutzten dazu Google Developers und den Domain Name Service (DNS) des amerikanischen Unternehmens Hurricane Electric. In beiden Fällen waren die Cyberkriminellen in der Lage, den Datenverkehr unbemerkt umzuleiten. Im Fall von Hurricane Electric konnten sie kostenlose Nutzerkonten anlegen, mit denen Auflösungen zu beliebigen bereits registrierten Domänen möglich waren. So erweckten die Verbindungen den Anschein, sie würden zu bekannten Webseiten wie adobe.com, update.adobe.com und outlook.com bestehen.

Auch erfahrenen Netzwerk-Administratoren erschienen diese Datenströme als legitim. Insgesamt konnte FireEye mindestens 18 solcher Domain-Namen feststellen, die bei dieser Kampagne von einem einzigen Angreifer zur Tarnung genutzt wurden. Die von den Urhebern dieser Bedrohung verwendete Malware war mit einem legitimen digitalen Zertifikat ausgestattet und erweckte auch aufgrund dessen keinen Verdacht.

Sowohl Google als auch Hurricane wurden von FireEye informiert und entfernten die Mechanismen aus ihrem Service, die die kriminellen Handlungen ermöglicht hatten.

Die Vorgehensweise, die FireEye entdeckt hat, zeigt einmal mehr, dass Cyberkriminelle immer wieder neue Wege suchen und finden, um ihre Ziele zu verfolgen.

Weitere Informationen zur "Operation Poisoned Hurricane", eine detaillierte Beschreibung der Verwendung von Google Code und Hurricane Electric sowie Tipps für CISOs finden Sie im Original-Blogbeitrag von FireEye. (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr

Hosted by:    Security Monitoring by: