Norman: Angriffe auf israelische und palästinensische Ziele blieben länger als ein Jahr unbemerkt

Malware-Angriffe aus dem Baukasten

15. November 2012, 7:55 Uhr | LANline/sis

Der norwegische Spezialist für IT-Security Norman erläutert, dass die Angriffe mit Schwerpunkt auf palästinensische und auf israelische Ziele seit über einem Jahr erfolgen. So erhalten Empfänger E-Mails, in deren Anhang sich ein Überwachungs-Tool befindet. Als Dokument getarnt, ermöglicht es Kriminellen den Diebstahl von Informationen und die Steuerung eines infizierten Rechners.

Mehr zum Thema:

Security-Lösung mit geringem Ressourcenbedarf für Windows 8

Unternehmen mit Kundenkontakt im Fokus der Cyber-Angreifer

Norman: Malware wächst Unternehmen über den Kopf

Norman: Online-Schutz im Doppelpack

Vor einigen Wochen hatten israelische Strafverfolgungsbehörden E-Mails fälschlicherweise als vom israelischen Generalstabschef Benny Gantz kommend identifiziert. Dies war die erste Wahrnehmung eines möglichen Cyber-Angriffs. Gleichartige Nachrichten waren ebenfalls in israelischen Botschaften aufgetaucht. Durch das Öffnen des Anhangs infizierten arglose Empfänger ihre Computer auf diese Weise mit verschiedenen Überwachungs-Tools, die auf den ersten Blick jedoch nur wie ein gewöhnliches Dokument aussahen. Das Ausführen des Dokuments ermöglicht Kriminellen anschließend, Daten und Dokumente des befallenen Rechners zu entwenden sowie den PC zu steuern.

Beim Versuch herauszufinden, ob es sich um ein isoliertes Ereignis oder um einen schwerwiegenden Vorfall handelt, ließen Normans IT-Spezialisten auch Samples aus ihrem Bestand an bekanntem Schadcode durch ihren Malware Analyzer untersuchen. Dabei stellte sich heraus, dass alle Attacken auf einen Angreifer zurückgehen, da sie über die gleiche „Command & Control“-Infrastruktur kommunizieren. Zudem nutzten sie in vielen Fällen das gleiche Zertifikat. Dies bestätige ihren Einsatz zur Überwachung und Spionage.

Die Angreifer schickten den Netzwerkverkehr zunächst an C&C-Server im Gaza-Streifen und im Zug der Ermittlungen dann an Hoster in den USA und in Großbritannien. Laut Einar Oftedal, Vice President Norman AS, könnte jeder hinter dem Angriff stehen, da sich die Malware praktisch mit einem Baukasten zusammenstellen lässt. Diesen können Kriminelle sich aus dem Internet besorgen. Das Sicherheitsunternehmen bewies ferner, dass die meiste der eingesetzten Malware „Xtreme RAT“ ist, ein kommerzielles Überwachungs- und Fernverwaltungs-Tool.

Weitere Informationen finden sich unter www.norman.de.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Matchmaker+