New-York-Times-Hacker spionieren mit modifizierter Malware

Erstmals seit 2011 wurden die Schadprogramme Aumlib und Ixeshe überarbeitet. Security-Systeme können sie nun nicht mehr an der Signatur erkennen. Sicherheitsforscher sagen: "Das ist, als würde man ein Schlachtschiff wenden."

Die Hackergruppe APT 12, die dieses Jahr schon die New York Times angegriffen hat, meldet sich derzeit mit neuen Schadprogrammen und neuen Opfern zurück, wie Sicherheitsforscher berichten. FireEye zufolge hatten sich die Chinesen nach ihrer aufsehenerregenden Kampagne gegen die US-Zeitung monatelang zurückgehalten, sind aber jetzt wieder mit Spionage aktiv.

cybersecurity_schmuckbild

Die Angriffe auf die New York Times hatten vier Monate gedauert. Offenbar galten sie den Passwörtern von Journalisten, um Informationen über Menschenrechtsaktivisten zu sammeln. Insbesondere interessierte die Angreifer, wie die NY Times an die Information gekommen war, dass der chinesische Premier „durch Geschäfte mehrere Milliarden Dollar erworben“ hatte.

Die jetzige Kampagne nutzt laut FireEye aktualisierte Versionen der Schadprogramme Backdoor.APT.Aumlib und Backdoor.APT.Ixeshe. Man habe sie bei Nachforschungen zu Angriffen gefunden, die „einer Gesellschaft mit wirtschaftspolitischem Einfluss“ galten, heißt es. „Wir können nicht genau sagen, ob die Angreifer damit auf die genauen Untersuchungen reagiert haben, denen sie nach den Angriffen auf die Times ausgesetzt waren. Aber die Änderung kam schnell. Das ist, als wollte man ein Schlachtschiff wenden. Malware muss umprogrammiert, die Infrastruktur aktualisiert werden, und die Mitarbeiter müssen sich die neuen Prozesse erst aneignen.“

Die neue Version von Aumlib kann beispielsweise HTTP-Kommunikation verschlüsseln. Das Programm als solches ist seit Jahren bekannt; es wird für gezielte Angriffe eingesetzt. Die jetzt enthaltene POST-Anfrage ist völlig neu kodiert, weshalb IDS-Sicherheitssysteme, die alte Versionen an ihrer Signatur erkannten, an der neuen scheitern dürften.

Auch bei Ixeshe gibt es neue Netzwerk-Traffic-Muster, die offenbar dazu dienen, Lösungen für die Netzwerksicherheit auszutricksen. Die Malware kam bislang hauptsächlich in Ostasien zum Einsatz. An beiden Programmen waren es die ersten Änderungen seit 2011.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: China, Hacker, Malware, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu New-York-Times-Hacker spionieren mit modifizierter Malware

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *