162462

Tausende Login-Daten für FTP-Server gestohlen

28.02.2008 | 12:30 Uhr |

Die gestohlenen Zugangsdaten von etwa 8700 FTP-Servern hat der Sicherheitsanbieter Finjan entdeckt. Sie wurden bereits zum Kauf angeboten.

Eine erste Auswertung durch die Experten des Malicious Code Research Center ( MCRC ) von Finjan hat ergeben, dass die Datenbank Login-Daten wie Nutzernamen, Passwörter und Server-Adressen für FTP-Server von einigen weltweit führenden Unternehmen umfasst . Nach Angaben von Yuval Ben-Itzhak, Chief Technology Officer (CTO) bei Finjan, können Kriminelle mit Hilfe der gestohlenen Daten in einen FTP-Server einbrechen sowie beliebige Malware auf das kompromittierte System schleusen.

Die Informationen selbst werden über eine speziell für den Handel mit gestohlenen FTP-Zugangsdaten konzipierte Web-Applikation zum Kauf angeboten, die die Logins nach Server-Standorten beziehungsweise Ländern sortiert anbietet und je nach ihrem Google-Ranking mit Preisen versieht. Kriminelle könnten jeden beliebigen dort gelisteten Server auswählen, dafür bezahlen und dann mit sehr geringem Aufwand eine Attacke lancieren, so Ben-Itzhak. Darüber hinaus ermögliche es die aktualisierte Version des Multi-Exploit-Toolkits "NeoSploit", automatisch iFrame-Tags in auf dem kompromittierten FTP-Server befindliche Web-Sites zu injizieren. Die Tags dienen laut Finjan dazu, Schadcode von einer anderen Web-Seite zu ziehen. Laut MCRC sind sämtliche in der Datenbank gehorteten FTP-Logins offenbar mittels Trojanern oder anderen Arten von Malware gesammelt worden.

Die illegale Datenbank in Kombination mit der dazu gehörigen Handels-Applikation zeugten davon, dass das bislang nur auf legitime Anwendungen angewendete Software-as-a-Service-Konzept mittlerweile auch von der Cyber-Unterwelt als Geschäftsmodell genutzt werde, so Finjan-CTO Ben-Itzhak.

Die Datenbank wird von einem Server in Hongkong gehostet, deren Inhalte sind jedoch russischen Ursprungs. Obwohl Finjan den betroffenen ISP via E-Mail über den illegalen Daten-Pool informiert hat, soll der Server noch bis zum vergangenen Wochenende am Netz gewesen sein. Ob dieser selbst kompromittiert war, ist derzeit noch unklar. (kf)

0 Kommentare zu diesem Artikel
162462