Kaspersky Lab: Nettraveler-Toolkit infizierte 350 hochrangige Opfer
Industrie und regierungsnahe Organisationen ausspioniert
Der russische Security-Spezialist Kaspersky Lab hat Analyseergebnisse einer neuerlichen Cyberspionage-Kampagne veröffentlicht: Die Schadprogrammfamilie Nettraveler wurde für APT-Angriffe (Advanced Persistent Threat, ausgefeilter und langanhaltender Angriff) genutzt, um 350 hochrangige Opfer aus 40 Ländern zu kompromittieren, so Kaspersky. Zu den infizierten Opfern zählen Einrichtungen des privaten und öffentlichen Bereichs, darunter Regierungsinstitutionen, Botschaften, die Öl- und Gasindustrie, Forschungseinrichtungen, die Rüstungsindustrie sowie Aktivisten.
Kaspersky: Keine Entwarnung bei Cybergefahren in Deutschland
Den Ablauf eines Malware-Befalls nachvollziehen
Infizierte Computer haben im Schnitt acht Sicherheitslücken
Laut dem Report von Kaspersky Lab sind die Angreifer bereits seit 2004 aktiv, der Höhepunkt der Cyberspionage-Kampagne lag zwischen 2010 und 2013. Die Nettraveler-Gruppe hat es in jüngster Zeit vor allem auf Informationen aus den Bereichen der Weltraumforschung, Energieproduktion, Kernenergie, Nano- und Lasertechnik, Medizin sowie Kommunikation abgesehen.
Die Angreifer infizierten ihre Opfer laut den russischen Security-Experten mittels ausgeklügelter Spear-Pishing-Mails, also gezielter gefälschter E-Mails, die Schadcode transportierten: Diese enthielten Microsoft-Office-Dokumente, die mit zwei sehr komplexen Schwachstellen-Exploits (CVE-2012-0158 und CVE-2010-3333) ausgestattet waren. Zwar habe Microsoft bereits Patches für diese Schwachstellen veröffentlicht, so Kaspersky, dennoch würden diese nach wie vor erfolgreich für zielgerichtete Angriffe missbraucht.
Die Nettraveler-Gruppe habe dabei keine Mühen gescheut, um hochrangige Zielobjekte zu infizieren. Dies belegten Dateibezeichnungen wie „Army Cyber Security Policy 2013.doc“, „Report – Asia Defense Spending Boom.doc“, „Activity Details.doc“, „His Holiness the Dalai Lama´s visit to Switzerland day 4” und “Freedom of Speech.doc”.
Die Kaspersky-Experten analysierten laut eigenen Angaben verschiedene C&C-Server (Command-and-Control-Server) der Nettraveler-Gruppe, die dazu dienten, zusätzliche Malware auf die infizierten Maschinen zu installieren und gestohlene Daten herauszufiltern. Kaspersky Lab geht davon aus, dass auf den C&C-Servern inzwischen 22 GByte gestohlene Daten liegen.
Per Analyse der C&C-Daten, so Kaspersky, habe man insgesamt 350 Opfer in 40 Ländern identifiziert, darunter in Deutschland, Österreich, den USA, Kanada, Großbritannien, China und Russland, aber auch in entlegeneren Winkeln der Welt wie Chile, Marokko, Kasachstan oder Jordanien. Deutschland befinde sich dabei in der Top-Ten-Liste der entdeckten Angriffsziele.
Die komplette Kaspersky-Analyse zu Nettraveler ist auf englisch unter www.securelist.com/en/blog/8105/Nettraveler_is_Running_Red_Star_APT_Attacks_Compromise_High_Profile_Victims verfügbar.
Lesen Sie mehr zum Thema
