1578914

Beobachtungen im weltweiten Cyber-Krieg

13.09.2012 | 15:59 Uhr |

Die Täter hinter den Aurora-Angriffen auf Google und andere aus dem Jahr 2009 sind weiterhin recht aktiv. Die Gruppe scheint über ein ungewöhnlich großes Cyber-Waffenarsenal zu verfügen. Symantec hat eine ausführliche Analyse ihrer Aktivitäten veröffentlicht.

Eine bis dahin unbekannte Angreifergruppe hat Ende 2009 mit den als "Operation Aurora"  bekannt gewordenen Attacken auf Google und andere auf sich aufmerksam gemacht. Google hat im Januar über die Angriffe berichtet und angegeben, sie seien aus China gekommen. Das Sicherheitsunternehmen Symantec hat die Gruppe seitdem beobachtet und ihre Aktivitäten untersucht. Ihre stets gezielten Angriffe gelten etwa Unternehmen der Rüstungs- und Luftfahrtindustrie, Menschenrechtsorganisationen und Internet-Dienstleistern.

Die gezielten Angriffen erfolgen mit Trojanischen Pferden, die Symantec als "Hydraq" bezeichnet, andere nennen sie auch "Aurora". Zunächst nutzten die Angreifer so genanntes Spear Phishing, gezielte Mails mit präparierten Anhängen oder Links zu präparierten Web-Seiten. Mittlerweile haben Symantecs Sicherheitsforscher einen Wechsel zu einer Taktik festgestellt, die sie als "Watering Holes" (Wasserstellen) bezeichnen. Dabei werden Websites kompromittiert und mit Zero-Day-Exploits präpariert, von denen die Täter annehmen, dass Angestellte der anzugreifenden Unternehmen sie mit hoher Wahrscheinlichkeit besuchen werden. Sie lauern wie Raubtiere an der Wasserstelle auf ihre Beute.

Die Gruppe setzt dabei auf Exploit-Code für eine ungewöhnlich große Anzahl noch nicht geschlossener Sicherheitslücken. Derartiger Angriffs-Code wird als "Zero-Day-Exploit" bezeichnet. Im Jahr 2011 hat Symantec insgesamt acht solcher Lücken gezählt, die für Angriffe genutzt wurden. Allein in den letzten Monaten hat Symantec vier neuere Schwachstellen im Internet Explorer und im Flash Player Lücken gezählt, die durch diese eine Angreifergruppe genutzt worden sind.

Die Software-Plattform, die diese Gruppe verwendet, nennt Symantec "Elderwood". Sie ist recht flexibel einsetzbar und kann mit aktuellen Exploits ausgestattet werden, über die die Täter scheinbar in beliebiger Zahl verfügen. Dazu gehört ferner eine Familie Trojanischer Pferde (Hydraq und andere), die in die Rechner der Angriffsziele eingeschleust werden. Die Täter spionieren damit für sie wertvolle Informationen aus, vor allem geistiges Eigentum wichtiger Industrieunternehmen. Weitere gesammelte Daten dienen dazu neue Ziele und Angriffsflächen zu identifizieren.

Symantec hat in dieser Woche eine ausführliche Analyse (PDF-Datei) veröffentlicht, in der es die Verfasser jedoch vermeiden konkrete Aussagen über die Herkunft der Täter zu machen. Es klingt jedoch an, dass die Gruppe über äußert umfangreiche Ressourcen verfügen muss, was gewöhnliche Kriminelle praktisch ausschließt. Es wird sich eher um regierungsnahe Personenkreise handeln. Unternehmen in wichtigen Industriebereichen sollten sich auch für das kommende Jahr gegen mögliche Angriffe solcher Tätergruppen wappnen. Sie laufen Gefahr Opfer des Cyber-Kriegs zwischen verschiedenen Ländern zu werden.

0 Kommentare zu diesem Artikel
1578914