Kaspersky Lab warnen vor der Rückkehr des Hackerkollektivs MiniDuke.
Kaspersky Lab hat erneut vor MiniDuke gewarnt, einer Hackergruppe, die bereits im vergangenem Jahr verschiedene westliche Regierungsinstitutionen ausspionierte und nun ihr Spektrum entschieden erweitert haben soll. Zu den neuen Zielen gehören Energiekonzerne und Drogendealer gleichermaßen. Die Sicherheitsexperten vermuten, dass die Hacker im Dienst verschiedener Auftraggeber agieren.
Experten des russischen IT-Sicherheitsunternehmens Kaspersky Lab teilten gestern mit, dass die als „MiniDuke“ bekannte Hackergruppe nach eigenen Recherche-Ergebnissen erneut aktiv ist. Das Kollektiv machte im vergangenen Jahr erstmals auf sich aufmerksam und ist vor allem durch seine Methodik der „Alten Schule“ aus der Menge herausgestochen. Ziel der Angriffe von 2013 waren hauptsächlich Regierungsinstitutionen. Die Opfer jüngerer Angriffe sind hingegen kaum unter einem Nenner vereinbar. Die Liste umfasst unter anderem Energie- und Telekommunikationsunternehmen, diplomatische Organisationen, Unternehmen für Militärtechnologie sowie Personen, die in den Handel mit illegalen Substanzen involviert sind. Während 2013 vor allem in Westeuropa und den USA spioniert wurde, kundschafteten die versierten Lauscher in diesem Jahr unter anderem auch Länder der ehemaligen Sowjetunion und Indien aus. Für die Angriffe nutzten die Hacker selbst entwickelte Scripte (bekannt als TinyBaron und CosmicDuke), die mit Hilfe von BotGenStudios geschaffen wurden. Die Malware sammelt nach erfolgreicher Infektion des betroffenen PCs alle relevanten Informationen und lässt darüber hinaus einen Keylogger laufen. Die kopierten Daten werden in 3KB große Dateien komprimiert und im Hintergrund an die Server der Angreifer weitergeleitet.
Hacker als Cybersöldner mit normalen Bürozeiten
Hinter den breit gestreuten Attacken vermuten die Experten zwei Szenarien. Zum einen halten sie es für möglich, dass BotGenStudio ? weil mittlerweile legal – durch Strafverfolgungsbehörden eingesetzt wird und hinter der neuen Angriffswelle gar nicht „MiniDuke“ steckt. Ein weiteres denkbares Szenario besteht darin, dass sich die Hacker als Cybersöldner für verschiedene Auftraggeber verdingen und ihre Ziele daher je nach Auftrag variieren. Kaspersky Lab geht davon aus, dass das Kollektiv aus Osteuropa stammt. Hinweise darauf geben die „Arbeitszeiten“ der Hacker, die angeblich den gängigen Arbeitszeiten in Russland entsprechen, sowie die Tatsache, dass der Code der Schadsoftware kyrillische Zeichen enthält. Bereits im vergangenen Jahr zeigten sich die Sicherheitsforscher von Kaspersky erstaunt über die Vorgehensweise der Hacker. In Zeiten von Java und .NET war das verwendete Backdoor-Programm komplett im Assembler geschrieben. Darüber hinaus verwendete die Gruppe einen einzigartigen und technisch versierten Command-and-Control-Mechanismus, der sogar über Twitter-Accounts abgewickelt wurde. /rc
Bild-Quellen: wikimedia.org
News Redaktion am Freitag, 04.07.2014 17:18 Uhr
Weitere interessante News