tom's networking guide
 
Anzeige
Cyber-Bedrohung in Deutschland: Bayern surft gefährlich >
< Symantec: Neue Version der Norton Security ab Herbst 2014
01.08.14 17:16 Alter: 5 Jahre
Kategorie: Unternehmens-News, Administratoren, KMU, Office Connectivity, Server-Software, Sicherheit, Security, Hacking, Anti-Virus
Von: Maurice Hempel

Kaspersky: Hintergrund-Analyse zur Cyber-Kampagne Crouching Yeti

Die Cyber-Kampagne Crouching Yeti alias Energetic Bear gehört zu den umfangreichsten Cyber-Attacken auf industrielle Kontroll-Systeme. Kaspersky hat nun die Hintergründe der Schad-Software analysiert.


Kaspersky Logo

Kaspersky Logo

Moskau/lngolstadt – Das Kaspersky Lab hat sich in einer umfassenden Analyse der Cyberkampagne Crouching Yeti gewidmet und die einzelnen Bestandteile genau unter die Lupe genommen. Dabei konnten die Mitarbeiter des IT-Sicherheits-Spezialisten Informationen zu den eingesetzten Schadprogrammen, der Verbreitung sowie der Infrastruktur und Laufzeit der systematischen Malware-Angriffe gewinnen. Crouching Yeti (ebenfalls unter dem Namen Energetic Bear bekannt) soll bislang über 2800 Schadensfälle in mehr als 100 Unternehmen und Organisationen verursacht haben und ist bereits seit 2010 aktiv.

Die Hintermänner der Kampagne haben es dabei auf den Diebstahl von

  • Passwörter,
  • Outlook-Kontaktdaten,
  • Textdateien,
  • Kalkulationstabellen,
  • Datenbanken,
  • PDF-Dokumente,
  • virtuelle Laufwerke,
  • Passwort-geschützte Dateien und
  • PGP-Schlüssel (Pretty Good Privacy)

abgesehen. Um an die sensiblen Daten zu gelagen, setzen die Cyber-Kriminellen auf verschiedene Module, allen voran auf den Trojaner Havex, der bereits in der Vergangenheit bei Angriffen auf industrielle Kontroll-Systeme zum Einsatz kam. Die Malware-Attacken richten sich gegen verschiedene Unternehmen und Organisationen aus den Bereichen Automation und Produktion, Pharma, Baugewerbe, Bildung sowie der Informations-Technologie.

Bereits anhand dieser Auswahl konnte Kaspersky Rückschlüsse auf die Strategie der Angreifer schließen. Andererseits finden sich hier aber ebenfalls Geschädigte aus Bereichen, die nicht in das Muster der Angreifer passen. Die Experten vermuten, dass es sich dabei um Kollateralschäden handeln könnte. Ebenso sei es möglich, dass Crouching Yeti keine bestimmte Zielgruppe hat, sondern generelle Spionage-Interessen verfolgt.

Fest steht jedoch, dass die Angreifer bei der Auswahl der Exploits (Programme, die Software-Sicherheitslücken nutzen um in fremde Systeme zu gelangen), nicht besonders raffiniert vorgehen. Bei den Cyber-Attacken kamen bislang keine Zero-Day Exploits zum Einsatz, sondern die Angreifer griffen immer auf bereits im Internet verfügbare Exploit-Codes für bekannte Schwachstellen zurück. Dennoch ist es ihnen gelungen, jahrelang unentdeckt zu bleiben.

Die Schad-Codes sind ebenso bekannte Vertreter aus verschiedenen Malware-Familien, was nicht bedeutet, dass sie weniger effektiv sind. Bislang konnten die Mitarbeiter des Kaspersky Labs fünf Schädlinge identifizieren. Zu ihnen gehören

  • die Trojaner Havex und Sysmain,
  • die Backdoor-Programme ClientX und Karagany und
  • sogenannte Lateral-Movement- und Second-Stage-Tools.

Der Trojaner Harvex ist am häufigsten im Einsatz. Bislang sind über 27 verschiedene Varianten der Malware bekannt. Zudem verfügt Harvex über zwei spezialisierte Module, mit deren Hilfe die Angreifer an die Daten bestimmter industrieller IT-Umgebungen gelangen können. Eines davon ist das OPC-Scanner-Modul, mit dem die Hacker in der Lage sind, detaillierte Informationen über alle OPC-Server (OLE for Process Control) im Unternehmens-Netzwerk auszulesen. Diese Server dienen in der Regel für den Einsatz mehrerer parallel laufender Automatisierungs-Systeme. 

Das zweite Modul sucht nach Rechnern im Unternehmens-Netzwerk, deren Ports mit OPC- und SCADA-Software verbunden sind. Bei SCADA (Supervisory Control and Data Acquisition) handelt es sich um ein Verfahren zur Steuerung und Überwachung von technischen Prozessen mit Hilfe eines Computer-Systems. Das Modul identifiziert OPC-, respektive SCADA-Systeme und sammelt alle dort erreichbaren Daten ein und schickt sie über C&C-Server (Command-and-Control Server) an die Drahtzieher von Crouching Yeti zurück. Das Gros der bekannten Opfer stammt aus den USA, Spanien, Japan, Deutschland, Frankreich, Italien, Türkei, Irland, Polen, China sowie aus der Schweiz. Zu der Herkunft der Hintermänner ist derzeit nichts Genaueres bekannt. Einige Hinweise deuten darauf hin, dass die Täter wahrscheinlich in West- und Osteuropa sitzen.

Im Gegensatz zu vorherigen Experten-Meinungen konnte Kaspersky jedoch nicht bestätigen, dass es sich bei den Tätern um Cyber-Kriminelle russischen Ursprungs handelt. In den untersuchten Schadprogrammen wurden demnach keine Anzeichen auf kyrillische Buchstaben beziehungsweise deren entsprechende Transliteration gefunden, wohl aber solche, die auf französisch- und schwedisch-sprachige Täter hinweisen. Kaspersky Lab arbeitet derzeit parallel mit Strafverfolgungs-Behörden und Partnern aus der Industrie zusammen, um weitere Informationen über die Cyber-Kampgane zu sammeln.


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige