Enterasys: Chinesen greifen Schweizer VoIP-Infrastrukturen an

31. März 2008, 15:38
  • security
  • cyberangriff
  • china
image

Während eines mehrmonatigen Labortests für die Überwachung einer VoIP-Plattform eines Schweizer Carriers gab es "bestellte" Angriffe. Und ein paar andere.

Während eines mehrmonatigen Labortests für die Überwachung einer VoIP-Plattform eines Schweizer Carriers gab es "bestellte" Angriffe. Und ein paar andere.
Der Netzwerk-Sicherheitsspezialist Enterasys führte vergangenen Herbst für einen Schweizer Kunden, der nicht genannt sein will, einen "Proof of Concept"-Test für die sicherheitsmässige Überwachung seiner VoIP-Plattform durch. Mit letzterem ist die zentrale Server- und Netzwerk-Infrastruktur für den Betrieb von Internet-Telefonie gemeint.
Getestet wurden die Enterasys-Werkzeuge in einer Laborumgebung während zwei bis drei Monaten, in denen drei verschiedene Firmen damit beauftragt wurden, testweise Angriffe auf die Plattform zu fahren. Diese Angriffe wurden aufgezeichnet, wobei die (bestellten) Angreifer ganz wie im richtigen Leben ihre Methoden im Laufe der Zeit verbesserten. Wie uns Chris Kälin von Enterasys sagte, ist eines der wichtigstens Argumente von Enterasys, dass Daten aus verschiedenen Quellen (Firewalls, Intrusion-Detection-Systeme (IDS), Protokolle der Router) gesammelt werden und man so auch auffällige Muster bei Zugriffen erkennen kann, die bei einfachen IDS übersehen werden.
Neben den bestellten Angriffen gab es allerdings auch Versuche von Unbekannten, in die VoIP-Plattform einzudringen. Dies obwohl die Tests in einer Laborumgebung gemacht wurden, die nach aussen überhaupt nicht in Erscheinung trat - es wurde als nicht "echt" über die VoIP-Plattform telefoniert.
Das Verhalten der Angreifer, die gemäss Kälin vor allem aus Südamerika und aus Asien, und dort wiederum vor allem aus China kamen, hat sich während der Testperiode verändert. Am Anfang gab es "normale" Port-Scans und "Denial of Service"-Attacken (Versuch, einen Server oder ein Netzwerk durch Überflutung lahmzulegen). Später versuchten die Angreifer, ganz gezielt bekannte Sicherheitslücken auszunützen, um in die Systeme einzudringen.
Chinesische Polizei möchte mithören
Bei einer Reihe von Attacken gingen die Angreifer besonders raffiniert vor. Sie benützten eine ganze Reihe von IP-Adressen jeweils nur einmal für einen bestimmten Vorgang. Gemäss Enterasys waren die Angriffe gezielt auf die SQL-Daten des Webportals der VoIP-Plattform gerichtet und kamen aus einem IP-Adressbereich, der den chinesischen Polizeibehörden zuzuordnen sei.
Weitere Angriffe, die Enterasys registriert haben will, wurden direkt "von Hand" ausgeführt. Jemand sandte mehrere HTTP-Requests auf die Datenbank, innerhalb derer mehrere weitere Abfragen versteckt waren.
Die Angriffe auf die Testplattform erfolgten offenbar in einem ähnlichen Zeitraum, in dem auch der Schweizer Rüstungsbetrieb Ruag von Cyber-Angriffen aus China auf seine Infrastrukturen sprach. Ein erfolgreicher und nicht erkannter Angriff auf eine VoIP-Plattform kann theoretisch dazu führen, dass der Angreifer Telefonate, die Kunden des Carriers führen, mitschneiden kann. (Christoph Hugenschmidt)

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Geotech: Was die Schweiz für mehr Cybersicherheit tun kann

Die geopolitische Lage spitzt sich auch im Cyberspace zu. Einzelne Anbieter auszuschliessen, sei keine gute Massnahme, sagen Security-Experten. Sie bevorzugen andere Mittel.

publiziert am 4.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022
image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022