Cyberattacke im DACH-Raum bleibt 12 Jahre lang unentdeckt

15. September 2014, 13:36
  • security
image

Das israelische Security-Unternehmen --http://cybertinel.

Das israelische Security-Unternehmen Cybertinel hat einen Cyberspionagering entdeckt, der anscheinend schon seit 12 Jahren unentdeckt Organisationen in Deutschland, Österreich und der Schweiz sowie wohl auch in anderen Ländern ausspioniert hat. Die "Operation Harkonnen" wurde laut Cybertinel von Deutschland aus gesteuert. Den Israelis ist es nach eigenen Angaben gelungen, die Hintermänner zu identifizieren. Mittlerweile sei die deutsche Polizei eingeschaltet worden.
Die ersten Unternehmensnetzwerke wurden bereits im Jahr 2002 von "Harkonnen" infiziert. Cybertinel hat bisher rund 300 Organisationen im DACH-Raum gefunden, deren Systeme betroffen waren, darunter Grossunternehmen, Regierungsorganisationen und Forschungslaboratorien. Cybertinel erwartet nun, in näherer Zukunft auch weitere Opfer in anderen europäischen Ländern identifizieren zu können.
Wie der Cybertinel-CEO Koby Ben-Naim gegenüber 'ZDNet' erklärte, verwendeten die Angreifer normale "Wald-und-Wiesen"-Trojaner, die aber immer wieder in andere Software verpackt wurde, um ihre Entdeckung zu erschweren. Die Trojaner gelangten durch gezielte "Spear-Phishing"-Aktionen gegen Führungspersonen der angegriffenen Organisationen auf die Systeme. Wenn die Trojaner einmal installiert waren, hatten die Angreifer anscheinend weitgehenden Zugriff, um Daten abzusaugen.
Um die Spear-Phishing-Angriffe legitim erscheinen zu lassen, haben die Kriminellen laut Cybertinel mehr als 800 Tarnfirmen in Grossbritannien gegründet. Die dortigen relativ toleranten Bestimmungen zum Erwerb von Zertifikaten hätten es den Angreifern erlaubt, für diese Tarnfirmen SSL-Zertifikate zu erwerben und so legitim scheinende Webseiten ins Netz zu stellen.
Dies ist eine für einen Hackerring sehr ungewöhnliche Methode. Unter anderem mussten die Hacker Gebühren für Firmengründungen und SSL-Zertifikate bezahlen, was sich im Laufe der Zeit auf rund 150'000 Dollar zusammenläpperte. Normalerweise "kidnappen" Hacker lieber Server von anderen Unternehmen, um sie dann kostenlos und ohne Spuren zu hinterlassen benützen zu können.
Das wichtigste Erfolgsrezept der Operation Harkonnen, so Ben-Naim, sei allerdings die Zurückhaltung der Angreifer gewesen. Jahrelang hätten sie nur ganz gezielt Daten abgegriffen, wenn sie genau wussten was sie suchten, und seien danach sofort wieder inaktiv geworden. Erst letztes Jahr hätten sie dann den Bogen etwas überspannt, so dass einem deutschen Unternehmen der ungewöhnliche Datenverkehr auffiel. Dieses schaltete danach Cybertinel ein, um der Sache nachzugehen. (hjm)

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022
image

Nach Angriff warnt Revolut vor Phishing-Kampagne

Bei einem Cyberangriff auf das Fintech-Unternehmen sollen sich Hacker Zugang zu zehntausenden Kundendaten verschafft haben. Revolut bestätigt den Abfluss von Daten.

publiziert am 22.9.2022
image

MFA kommt erst langsam in Firmen an

Die Zahl der Unternehmen, die Multifaktor-Authentifizierung für Angestellte implementieren, steigt einem Report von Thales zufolge nur langsam.

publiziert am 22.9.2022