199226

Botnet greift Regierungscomputer in 103 Ländern an

30.03.2009 | 16:09 Uhr |

Forscher haben ein von Unbekannten betriebenes Botnet untersucht, das seit mehreren Jahren mehr als 1000 Computer von Behörden und Organisationen in über 100 Ländern ausspioniert haben soll.

Forscher der Universitäten von Cambridge in Großbritannien und Toronto in Kanada haben mehrere Berichte veröffentlicht, in denen sie die Ergebnisse ihrer mehrmonatigen Analysen eines verdeckten Botnet darlegen. Demnach haben Unbekannte bereits seit 2004 mindestens 1295 Computer in 103 Ländern infiltriert. Etwa 30 Prozent der kompromittierten Computer werden als hochwertige Ziele eingestuft, zum Beispiel Rechner in Außenministerien, Botschaften oder Medienunternehmen, auch solche in Deutschland.

Ausgangspunkt waren Computersysteme in Tibet, die mit verschiedenen Trojanischen Pferde verseucht waren. Dadurch hatten die Angreifer freien Zugriffe auf die darin gespeicherten Informationen, etwa über die die tibetische Opposition. Mikko Hypponen, Leiter der Malware-Forschung beim finnischen Antivirushersteller F-Secure , beobachtet die Aktivitäten des als "GhostNet" bezeichneten Angriffsnetzwerks ebenfalls seit Jahren.

Hypponen beschreibt im F-Secure Blog , wie die Täter vorgehen, um ein Netzwerk zu infiltrieren. Sie senden sorgfältig gefälschte Mails an ausgewählte Personen. Die Zielpersonen arbeiten in Regierungsstellen, bei von Behörden beauftragten Unternehmen oder bei unabhängigen Organisationen. Niemand sonst bekommt eine solche Mail. Die Mails kommen dem Anschein nach von einer dem Adressaten bekannten Person. Eine solche Mail ist in der Sprache des Adressaten verfasst und ist für die Zielperson inhaltlich plausibel.

Die Mails enthalten einen Anhang, typischerweise in Formaten wie PDF, DOC, XLS oder PPS. Die Dateien nutzen Sicherheitslücken in der Software aus, mit der sie geöffnet werden. Die Zielperson bekommt ein Dokument zu sehen, das wiederum inhaltlich plausibel ist. Zugleich wird jedoch der Computer mit einem Trojanischen Pferd verseucht. Dieses gehört meist zu einer der Malware-Familien "Poison IVy" oder "Gh0st Rat".

Die Forscher haben die Angriffe zwar nach China zurück verfolgt, fünf der sechs Kontroll-Server stehen in China, einer in Hongkong. Die meisten Forscher sind jedoch vorsichtig mit vorschnellen Schuldzuweisungen an die chinesische Regierung. Nur die Forscher aus Cambridge zeigen in ihrer Veröffentlichung direkt mit dem Finger auf Chinas Staatsmacht. Diese habe das Internet zum Kriegsschauplatz erklärt und verhalte sich entsprechend. Die anderen Forscher gehen meist nicht so weit, sehen keine ausreichenden Beweise dafür, dass die Angriffe im Auftrag der chinesischen Regierung ausgeführt wurden.

Die britischen Forscher prognostizieren eine weitere Zunahme solcher Spionageangriffe in den nächsten Jahren. Bei F-Secure habe man zwar erst wenige tausend Angriffe dieser Art festgestellt, so Hypponen, sie stellten jedoch bereits jetzt ein Problem für Unternehmen dar, die im militärischen Bereich tätig seien. Die Berichte der Forschergruppen finden Sie ebenfalls im Blog von F-Secure .

0 Kommentare zu diesem Artikel
199226