Hackerangriff: Trend Micro kommt Spionagenetzwerk auf die Spur

Der Hersteller von Sicherheitssystemen Trend Micro hat nun die Einzelheiten zu einem Hackerangriff auf verschiedene Rüstungsfirmen in den USA, Israel, Indien und Japan veröffentlicht. Durch den mehrstufigen Angriff konnten die Hacker die einmal gekaperten Rechner sowohl über so genannte Befehls- und Kontrollserver im Internet als auch direkt und in Echtzeit steuern und sich Zugang zu jedem beliebigen Firmenverzeichnis verschaffen. Sogar die Benutzerauthentifizierung mit starken Passwörtern wurde dabei ausgehebelt.

Die Angreifer versendeten E-Mails mit einem verseuchten PDF-Anhang, der eine Schwachstelle in bestimmten Versionen von Adobe Flash und Reader ausnutzt, um seine bösartige Ladung auf dem Zielcomputer abzulegen. Diese Malware nimmt dann Verbindung mit einem C&C-Server auf und wartet auf weitere Befehle. In einer zweiten Stufe des Angriffs erhält der infizierte Computer den Befehl, Netzwerkinformationen und Dateinamen aus bestimmten Verzeichnissen an den C&C-Server zurückzugeben. Bestimmte Zielcomputer sollten auch veränderte DLLs herunterladen, die eine spezifische Funktionalität für die kompromittierten Systeme enthalten.

Damit konnten die Angreifer ins Netzwerk eindringen. Um sich im Netz frei bewegen zu können, brachten sie den infizierten Computer zum Herunterladen von verschiedenen Werkzeugen, einschließlich solchen mit Technik zum Knacken von Kennwörtern. Danach erhielt der Computer den Befehl, einen RAT-Schädling herunter zu laden, mit dessen Hilfe die Angreifer die Echtzeitkontrolle über das System übernehmen können. Zwar haben die Kriminellen eine relative kleine Anzahl von Opfern angegriffen, doch fällt die Fokussierung auf Rüstungsunternehmen auf. Hinzu kommt, dass bestimmte Malware-Komponenten speziell auf ein Unternehmen ausgerichtet sind, und das zeigt, wie zielgerichtet die Angreifer sind.