Hackerangriff auf europäische Regierungen

    [h=2]Hackerangriff auf europäische Regierungen[/h] Hacker haben Dutzende Computersysteme von Regierungen in Europa mit einer schädlichen Software namens „Miniduke“ angegriffen. Die unbekannten Täter nahmen staatliche Netzwerke in Tschechien, Irland, Portugal und Rumänien ins Visier, wie Wissenschaftler für Computersicherheit heute mitteilten.
    [h=3]Lücke in Adobe Reader ausgenutzt[/h]Die Hacker nutzten demnach Sicherheitslücken von Adobe Systems aus und schickten ihren Angriffszielen infizierte PDF-Dokumente. „Die technischen Indikatoren zeigen, dass es sich um einen neuen Gefahrentyp handelt, von dem so noch nicht berichtet worden ist“, sagte Kurt Baumgartner, Sicherheitsexperte bei Kaspersky.
    Boldizsar Bencsath, Sicherheitsexperte bei CrySyS, vermutet einen Staat hinter der Attacke. Die Raffinesse und die Ziele wiesen darauf hin. Gleichzeitig bemerkte Bencsath, dass es schwer sei, das betreffende Land zu identifizieren.
    [h=3]Details über den Schaden noch unbekannt[/h]Die Malware wurde hauptsächlich beim PDF-Programm Acrobat Reader injiziert. Details über den Schaden sind noch nicht bekannt. Bencsath geht davon aus, dass die Hacker Hintertüren installiert haben, um Daten von ihren Angriffszielen abzusaugen.
    In den vergangenen Wochen wurde vermehrt von Hackerangriffen auf Unternehmen berichtet. Zu den prominenten Opfern zählten die „New York Times“, Twitter und Apple. Auch die Industriekonzerne ThyssenKrupp und EADS wurden massiv von Hackern angegriffen. Dabei wurde meist China hinter den Attacken vermutet.

    news.ORF.at

    Cu
    Verbogener

    Zugriff über infizierte PDF-Dokumente

    Hacker haben Dutzende Computersysteme von Regierungen in Europa angegriffen. Die unbekannten Täter nahmen staatliche Netzwerke in Tschechien, Irland, Portugal und Rumänien ins Visier, wie Wissenschaftler für Computersicherheit am Mittwoch mitteilten.


    „Die technischen Indikatoren zeigen, dass es sich um einen neuen Gefahrentyp handelt, von dem so noch nicht berichtet worden ist“, sagte Kurt Baumgartner, Sicherheitsexperte bei Kaspersky. Der Backdoor-Trojaner „MiniDuke“ sei demnach hochspezialisiert und in der maschinennahen Programmiersprache Assembler geschrieben. „Es ist die Kombination von klassischer Virenprogrammierung mit neuesten Exploit-Technologien sowie raffinierten Social-Engineering-Tricks, die diese in Bezug auf hochrangige Zielpersonen so gefährlich macht.“
    Sein Kollege Boldizsar Bencsath, Sicherheitsexperte bei CrySyS, vermutet einen Staat hinter der Attacke. Die Raffinesse und die Ziele wiesen darauf hin. Gleichzeitig bemerkte Bencsath, dass es schwer sei, den Absender der Schadsoftware zu identifizieren. Details über den Schaden sind noch nicht bekannt. Bencsath geht davon aus, dass die Hacker Hintertüren installiert haben, um Daten von ihren Angriffszielen abzusaugen.


    Anweisungen über Twitter und Google

    Die Hacker nutzten demnach Sicherheitslücken von Adobe Systems aus und schickten ihren Angriffszielen infizierte PDF-Dokumente. Den Experten zufolge erhält „MiniDuke“ seine Anweisungen über Botschaften im Kurznachrichtendienst Twitter. Klappt das nicht, greift das Programm auf Google-Suchen zurück, um seine Befehle zu finden. Weder Google noch Twitter nahmen zu den Angaben Stellung.
    Wie Bencsath der Nachrichtenagentur Reuters weiters mitteilte, habe man die NATO-Behörde Computer Incident Response Capability (NCIRC) informiert, die sich mit Cyberangriffen beschäftigt. Eine offizielle Stellungnahme der NATO gibt es bisher nicht.


    Adobe-Update soll vor „MiniDuke“ schützen

    Adobe-Sprecherin Heather Edell erklärte, dass das Unternehmen erst vergangene Woche ein Update für den Acrobat Reader veröffentlicht habe, das einen Angriff via „MiniDuke“ verhindern könne. Entdeckt wurde die Sicherheitslücke von dem Silicon-Valley-Unternehmen FireEye, die bereits vor zwei Wochen vor möglichen Angriffen durch verseuchte PDF-Files warnten.
    Erst vor wenigen Tagen war bekanntgeworden, dass mehrere deutsche Unternehmen verstärkt ins Ziel von chinesischen Hackern geraten sind. Vor einigen Monaten habe es eine „bemerkenswerte“ Attacke auf den europäischen Rüstungs-, Luftfahrt- und Raumfahrtkonzern EADS gegeben, berichtete der „Spiegel“ am Sonntag unter Berufung auf Konzernkreise. Das Unternehmen bestätigte dem Magazin demnach einen „Standardangriff“. Dem Bericht zufolge war der Vorgang aber so schwerwiegend, dass EADS die deutsche Bundesregierung darüber informierte.


    Auch ThyssenKrupp Ziel eines „massiven“ Angriffs

    Ziel eines „massiven“ Angriffs „besonderer Qualität“ war laut „Spiegel“ auch ThyssenKrupp. Der Stahlkonzern teilte dem Magazin mit, die Attacke sei auf die USA beschränkt gewesen, die Adressen der Täter seien chinesische gewesen. Unklar sei allerdings, ob und welche Daten die Angreifer kopiert hätten.
    Zuletzt hatten in den USA zahlreiche große Firmen großangelegte Hackerangriffe vermeldet, die offenbar aus China begangen wurden. Betroffen waren unter anderem Microsoft, Apple, Facebook, Twitter und große Zeitungen. Das US-Sicherheitsunternehmen Mandiant machte in einem Bericht eine Sondereinheit der chinesischen Armee für die Angriffe verantwortlich.

    Hackerangriffe auf europäische Regierungen - news.ORF.at



    Hacker greifen Regierungscomputer an

    Hacker haben Dutzende Computersysteme von Regierungen in Europa angegriffen. Auch luxemburgische Regierungsstellen sind von den Hacker-Angriffen betroffen.

    Kaspersky veröffentliche ein Bilder des infizierten PDF-Dokuments. Dies soll an Regierungsstellen in Luxemburg verschickt worden sein. (Bild: Kaperski)



    Die unbekannten Täter nahmen staatliche Netzwerke in Luxemburg, Tschechien, Irland, Portugal und Rumänien ins Visier, wie Computerexperten am Mittwoch erklärten. Auch Denkfabriken und Forschungsinstitute in den USA, Ungarn, Belgien und der Ukraine seien Ziel der "MiniDuke" genannten Schadsoftware gewesen. Die Hacker nutzten jüngst entdeckte Lücken in Programmen von Adobe Systems, indem sie infizierte PDF-Dokumente verschickten. Luxemburg bekam laut Softwaresicherheitsunternehmen Kapersky ein solches PDF-Dokument geschickt. Aus Luxemburger Sicherheitskreisen war am Mittwochabend keine Stellungnahme zu erhalten. Adobe hatte in der vergangenen Woche die betroffenen Programme aktualisiert.


    "Das ist eine einzigartige, neue und sehr andere Art von Angriff", sagte Kurt Baumgartner, Sicherheitsexperte bei Kaspersky. Sein Kollege Boldizsar Bencsath von CrySyS sagte der Nachrichtenagentur Reuters, vermutlich stecke ein Staat hinter der Attacke. Es sei jedoch schwer, das betreffende Land zu identifizieren. Die Hacker hätten vermutlich Hintertüren installiert, um Daten abzusaugen. Den Experten zufolge erhält MiniDuke seine Anweisungen über Twitter-Botschaften. Klappt das nicht, greift das Programm auf Google-Suchen zurück, um seine Befehle zu finden. Weder Google noch Twitter nahmen zu den Angaben Stellung. Eine Adobe-Sprecherin verwies auf die jüngste Software-Aktualisierung, die vor derartigen Angriffen schütze.


    In den vergangenen Wochen wurde vermehrt von Hackerangriffen auf Unternehmen berichtet. Zu den prominenten Opfern zählten die "New York Times", Twitter und Apple. Auch die Industriekonzerne wie ThyssenKrupp und EADS wurden massiv attackiert. Dabei wurde meist China hinter den Angriffen vermutet. Die Regierung in Peking weist die Vorwürfe zurück.

    Tageblatt Online - Hacker greifen Regierungscomputer an - Nachrichten



    Neuer Computervirus: MiniDuke spioniert Europas Regierungen aus

    Von Konrad Lischka
    Virenforscher haben ein neues Spionageprogramm entdeckt - auf Computern von Regierungen überall in Europa. Die Software tarnt sich gut, ist winzig und in einer ungewöhnlichen Programmiersprache geschrieben. Es ist ein Präzisionswerkzeug mit Twitter-Anbindung.




    Schadsoftware: Die entschlüsselten Komponenten der Malware MiniDuke





    Hamburg - Forscher der Universität Budapest und das russische Sicherheitsunternehmen Kaspersky haben eine ungewöhnliche Spionagesoftware auf Regierungsrechnern entdeckt. Unbekannte haben das Programm offenbar sehr zielgerichtet auf wenigen ausgewählten Rechnern eingeschleust. Kaspersky hat die Schadsoftware auf 50 Rechnern in 20 Staaten gefunden. Unter anderem in Regierungsnetzen in der Ukraine, Belgien, Portugal, Rumänien, der Tschechischen Republik und Irland, bei einer ungarischen Forschungsorganisation und wissenschaftlichen Instituten in den Vereinigten Staaten.




    Der beobachtete Virus - von Kaspersky auf den Namen MiniDuke getauft - ist ein eigentümliches Präzionswerkzeug. Die Machart könnte ein Hinweis auf nicht-staatliche Akteure in der Computerspionage sein. Für diese Theorie gibt es einige Anhaltspunkte, die Verschlüsselung des Schadprogramms, die gezielten Angriffe und die Steuerung über spezielle Kommandostrukturen. Die Indizien im Überblick:


    1. Zero-Day-Lücken und gezielte Angriffe: Die Täter wussten von einer gravierenden Sicherheitslücke in Adobes PDF-Software, bevor diese Lücke Mitte Februar allgemein bekannt und geschlossen wurde. Solches Wissen über sogenannte Zero-Day-Schwachstellen ist in der Regel viel Geld wert. Kaspersky kann derzeit nicht nachvollziehen, wie lange die Täter von der Lücke wussten. Vielleicht war das Wissen in bestimmten Kreisen schon verbreitet, vielleicht haben sie dafür bezahlt.
    Die Angreifer schickten ihren Opfern glaubwürdig formulierte E-Mails mit manipulierten PDF-Dokumenten im Anhang. Um ein Seminar über Menschenrechtspolitik, die Außenpolitik der Ukraine oder Nato-Pläne gehe es in den Dokumenten, versprachen die E-Mails. Die Artikel waren echt, aber nach dem Öffnen der Dateien waren die Rechner infiziert.


    2. Winziges Schadprogramm, alte Sprache: Auf den infizierten Rechnern installierte das Schadprogramm einen winziges Brückenkopfprogramm, um auf Kommando weitere Software nachzuladen oder Daten zu übertragen. Diese Brückenkopf-Software ist gerade mal 20 Kilobyte groß und in Assembler geschrieben. Das ist ungewöhnlich, weil in dieser Sprache geschriebene Software sehr fehleranfällig ist, wenn man nicht sehr exakt arbeitet und sehr genau testet. In den neunziger Jahren haben Virenautoren wie die Gruppe 29A diese Sprache genutzt - vielleicht arbeitet ein erfahrener, älterer Entwickler nun für neue Auftraggeber.


    3. Gute Tarnung: MiniDuke tarnt sich gut: Das Schadprogramm prüft nach der Infektion beispielsweise, ob es auf einer virtuellen Maschine gelandet ist, also einem simulierten Computer im Computer gewissermaßen. Dieses Werkzeug nutzen Virenexperten oft zum Analysieren von Schadprogrammen. Auf solchen Systemen entschlüsselt das Programm seine Funktionen nicht weiter, es bleibt untätig und schlecht analysierbar. Ansonsten errechnet MiniDuke bei der Installation eine eindeutige Kennung für den infizierten Rechner. So können die Angreifer ihre Ziele wiedererkennen, außerdem wird die Kommunikation der infizierten Computer mit den Kommandorechnern mit einem einmaligen, aus der Rechnerkennung bestimmtem Schlüssel codiert.


    4. Kommandos per Twitter: Wenn die infizierten Computer keinen Kontakt mehr zu den Kommandorechnern haben, nutzen sie als Rückfallmechanismus Twitter. MiniDuke sucht über Google nach Tweets mit bestimmten verschlüsselten Kommandos, die zum Beispiel Hinweise auf neue Steuerrechner geben. Die Angreifer nutzen offenbar für jeden infizierten Rechner mindestens ein eigenes Twitter-Konto, über einige wurden Kommandos verschickt wie "The weather is good today. Sunny! uri;wpo7VkkxYt3Mne5uiDks4Il/Iw48Ge/EWg==".

    Doch wer steckt dahinter?


    Das ist schwierig zu beurteilen. Die Experten haben die Malware nicht beim Übertragen von Dateien beobachtet. Bekannt ist nur, dass die Täter bestimmte Rechner in bestimmten Organisationen infiziert haben, nicht aber, wonach genau sie auf diesen Rechnern suchten. Klar ist, dass die Täter nicht mit klassischen Malware-Methoden Geld verdienen (Spam, Erpressung, Vermietung übernommener Rechner), sondern gezielt nach bestimmten Informationen suchen und großen Aufwand betreiben. Ihre Methode ist ungewöhnlich, die Machart unterscheidet sich klar von Cyber-Waffen wie Flame, Stuxnet oder Duqu.
    Kasperskys Malware-Experte Witalij Kamluk beurteilt die Entdeckung so: "MiniDuke ist keine Cyber-Waffe. Die Täter könnten Kriminelle sein. Sie sind wie staatliche Akteure an spezifischen Informationen interessiert. Aber sie verkaufen diese vielleicht später an Kunden, statt sie selbst zu nutzen."


    MiniDuke: Spionage-Programm horcht Regierungen aus - SPIEGEL ONLINE


    Kaspersky Lab entdeckt MiniDuke - das Schadprogramm zielt auf Regierungsorganisationen und Einrichtungen weltweit


    [TABLE="class: 100, width: 100%"]

    [tr][td]

    [TABLE="class: 100, width: 100%"]
    [TR="class: t"]

    [td]


    Neue Bedrohung kombiniert 'klassische' Virenprogrammierung mit neuesten Sicherheitslücken im Adobe Reader, um geopolitische Erkenntnisse von hochrangigen Zielpersonen zu gewinnen

    Moskau/Ingolstadt, 27. Februar 2013 - Kaspersky Lab veröffentlicht einen Bericht über die Zusammenhänge zwischen einer Reihe von Vorfällen in Bezug auf die jüngst entdeckte Sicherheitslücke bei PDF-Dateien (Adobe Reader; Exploit CVE-2013-6040) und einem neuen, hoch spezialisierten Schadprogramm, bekannt als MiniDuke. Der MiniDuke-Backdoor-Trojaner wurde eingesetzt, um in der vergangenen Woche weltweit zahlreiche Regierungsstellen und weitere Organisationen anzugreifen. Kaspersky Lab hat zusammen mit CrySys Lab die Angriffe analysiert.


    Die Analyse [1] enthüllt, dass eine Reihe hochrangiger Zielpersonen von MiniDuke angegriffen wurde. Diese Personen gehören Regierungsstellen in Belgien, Irland Portugal, Rumänien, der Tschechischen Republik und der Ukraine an. Darüber hinaus sind in den USA ein Forschungsinstitut, zwei Think Tanks und ein Dienstleister aus dem Gesundheitsbereich ebenso betroffen wie eine bekannte Forschungseinrichtung in Ungarn.
    'Das ist ein sehr ungewöhnlicher Cyber-Angriff', erklärt Eugene Kaspersky, Gründer und CEO von Kaspersky Lab. 'Ich kenne diesen Stil der Programmierung aus den späten 90er Jahren und um die Jahrtausendwende. Und ich frage mich, warum diese Malware-Autoren, die gleichsam als Schläfer ein Jahrzehnt inaktiv waren, plötzlich aufgewacht sind und sich einer aktuellen Gruppe von Cyberspionen angeschlossen haben. Diese Elite, also die 'Old-School'-Autoren, waren in der Vergangenheit hinsichtlich der Schaffung von hochkomplexen Viren-Programmen sehr effektiv. Jetzt kombinieren sie ihre Fähigkeiten mit sehr raffinierten Sicherheitslücken, die etwa eine Sandbox-Technologie umgehen, um Regierungsstellen oder Forschungseinrichtungen in verschiedenen Ländern anzugreifen.'


    'Der Backdoor-Trojaner MiniDuke ist hochspezialisiert und in der maschienennahen Sprache Assembler geschrieben. Daher ist er mit nur 20 KB sehr klein', führt Kaspersky fort. 'Es ist die Kombination von klassischer Virenprogrammierung mit neuesten Exploit-Technologien sowie raffinierten Social-Engineering-Tricks, die diese in Bezug auf hochrangige Zielpersonen so gefährlich macht.'


    Die wichtigsten Erkenntnisse zusammengefasst:


    • Die MiniDuke-Angreifer sind immer noch aktiv und haben ihre jüngsten Versionen erst am 20. Februar 2013 erzeugt. Die Opfer wurden mittels sehr effektiven Social-Engineering-Techniken angegriffen. Die dabei verschickten PDF-Dateien waren sehr professionell erstellt und gaben vor, Informationen der ASEM (Asia-Europe Meetings), zur Außenpolitik der Ukraine und Plänen von NATO-Mitgliedern zu enthalten. Die PDF-Dateien waren mit Exploits ausgestattet, welche die Adobe Reader Versionen 9, 10 und 11 angriffen und deren Sandbox umgingen. Diese Exploits wurden mit einem Toolkit erstellt, das offenbar dasselbe wie in der kürzlich von FireEye berichteten Attacke war. Die Exploits, die bei den MiniDuke-Attacken zum Einsatz kamen, dienten anscheinend einem anderen Zweck und verfügten über eine eigene Malware


    • Sobald ein System kompromittiert ist, wird ein sehr kleiner Downloader von 20 KB auf der Festplatte des Opfers platziert. Der Downloader ist für jedes System einmalig und enthält eine spezielle Hintertür, die in Assembler geschrieben ist. Beim Hochfahren des Systems ermittelt der Downloader mittels mathematischer Verfahren einen einmaligen Fingerabdruck des angegriffenen Computersystems und verwendet diese Daten auch zur späteren Verschlüsselung. Seine Programmierung wehrt überdies Analysewerkzeuge bestimmter Umgebungen wie etwa VMware ab. Sobald die Software einen Analyseversuch bemerkt, stellt sie ihre Aktivitäten ein, um keine Möglichkeit der Entschlüsselung zu geben. Dies ist ein Zeichen dafür, dass die Malware-Schreiber das Vorgehen von IT-Sicherheitsspezialisten genau kennen


    • Sofern der Zielrechner bestimmten, vordefinierten Bedingungen genügt, startet die Malware (ohne Wissen des Anwenders) die Suche nach speziellen Tweets von voreingerichteten Twitter-Konten. Die Tweets enthalten besondere Tags zu verschlüsselten URLs. Die Twitter-Konten werden von Command & Control (C&C)-Servern verwendet. Mittels dieser URLs öffnet sich die Hintertür zu den C&C-Servern, die dann Befehle und zusätzlichen, verschlüsselten Backdoor-Code via Gif-Bilddateien an den Zielrechner übermitteln.


    • Es deutet auch einiges darauf hin, dass die Autoren von MiniDuke ein dynamisches Backup-System zur Sicherung der Daten entwickelt haben, das ebenfalls unterhalb der Wahrnehmungsschwelle von Analysetools agiert. Und falls Twitter beziehungsweise eines der Twitter-Konten nicht funktioniert, ist die Malware auch in der Lage, die Google-Suche zum Auffinden der verschlüsselten Zeichenketten mit einer URL zum nächsten C&C-Server einzusetzen. Auf diese Weise kann die Malware ständig die Methoden ändern, und beispielsweise den Backdoor-Trojaner auf den Zielrechnern weitere Befehle zu erteilen oder zusätzlichen böswilligen Code nachzuladen.


    • Der weitere Backdoor-Code für den Zielrechner wird vom C&C-Server in einer Gif-Bilddatei übermittelt. Anschließend wird komplexerer Code gesandt, der einfache Operationen wie das Kopieren und Löschen von Dateien, Anlegen von Verzeichnissen, Stoppen von Prozessen und natürlich das Nachladen von weiterem Code erlaubt.


    • Der Backdoor-Trojaner verbindet sich mit zwei Servern - einer davon befindet sich in Panama, der andere in der Türkei - um Befehle der Angreifer zu erhalten.


    Der vollständige Bericht von Kaspersky Lab, einschließlich der Empfehlungen, um sich gegen MiniDuke-Attacken zu schützen, befindet sich auf Securelist unter: https://www.securelist.com/en/blog/208194129/ The_MiniDuke_Mystery_PDF_0_day_Government_Spy_Assembler_Micro_Backdoor


    https://www.securelist.com/en/blog/208194…_Micro_Backdoor
    Auch CrySys Lab stellt einen Report zur Verfügung, er findet sich hier: Miniduke » CrySyS Blog
    Kaspersky Lab entdeckt und neutralisiert die MiniDuke-Malware, klassifiziert als HEUR:Backdoor.Win32.MiniDuke.gen und Backdoor.Win32.Miniduke. Ebenso entdeckt Kaspersky Lab die verwendeten Exploits der PDF-Dokumente, klassifiziert als Exploit.JS.Pdfka.giy.


    [1] https://www.securelist.com/en/blog/208194129/ The_MiniDuke_Mystery_PDF_0_day_Government_Spy_Assembler_Micro_Backdoor

    [/td][/td][/tr][td]


    [/TABLE]

    [/td]


    [/TR]
    [/TABLE]


    Kaspersky Lab entdeckt MiniDuke - das Schadprogramm zielt auf Regierungsorganisationen und Einrichtungen weltweit | Kaspersky Lab DE


    Cu
    Verbogener

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden