Websense: Russische Kriminelle greifen seit Juli Behörden und Firmen an

Die Kampagne nutzt die Malware Mevade. Über einen beigepackten Proxy lassen sich direkt im fremden Netz Befehle ausführen. Das heißt vermutlich, dass die Kriminellen manuell nach interessanten Daten, Dokumenten und Quelltexten suchen.

Websense weist auf eine groß angelegte Kampagne von Cyberkriminellen vor allem gegen Regierungseinrichtungen und Verkehrsunternehmen auf der ganzen Welt hin. Die Angriffe haben ihren Ursprung in Russland und möglicherweise auch der Ukraine. Sie richten sich vor allem auf Großbritannien, Indien, Kanada und die USA.

Hacker

Die Angriffswelle scheint Websense zufolge um den 23. Juli begonnen zu haben. Die Kriminellen nutzen dafür die Malware Mevade, die Tor für die Befehlsinfrastruktur nutzt, um ihre Spuren zu verwischen.

„Diese Kampagne hat hunderte Firmen und tausende Computer weltweit infiziert“, heißt es im Blog von Websense. „Sie scheint für eine Reihe Zwecke genutzt zu werden, darunter Umleitung von Traffic und Klickbetrug, aber auch Entführung von Suchanfragen.“

Einen Tarnungsversuch unternimmt die Malware auch auf Host-Rechnern. Unter anderem überprüft sie, ob das von Sicherheitsforschern gern genutzte Tool Sandboxie installiert ist. Außerdem fragt sie ab, ob Oracle VirtualBox läuft – offenbar um zu ermitteln, ob sie sich in einer virtualisierten Umgebung mit eingeschränkten Rechten befindet.

Websense hat zudem herausgefunden, dass die Angreifer mit Mevade direkt auf dem Host und im fremden Netz Befehle ausführen können. Dafür enthält der Schadcode eine einfache Proxy-Lösung namens 3proxy. „In solchen Fällen wird der Proxy als Reverse Proxy konfiguriert. Er hat die Fähigkeit, einen Tunnel durch Netzumgebungen mit NAT anzulegen, um eine Verbindung zur Infrastruktur der Angreifer herzustellen (in diesem Fall mit Einsatz von SSL über Port 443)“, heißt es.

Aus dieser Vorgehensweise lasse sich schließen, dass die Cyberkriminellen es vorziehen, Netzwerke von Hand zu scannen und sich schrittweise kritischen Apps und Daten anzunähern, heißt es bei Websense. Neben Datenbanken befänden sich wohl auch Quelltexte und Dokumentenverzeichnisse im Visier der Angriefer aus Russland.

Die Kommandoserver der von Websense analysierten Angriffswelle sind rot markiert. Die blauen Punkte stehen für infizierte Zielsysteme (Bild: Websense).Die Kommandoserver der von Websense analysierten Angriffswelle sind rot markiert. Die blauen Punkte stehen für infizierte Zielsysteme (Bild: Websense).

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Hacker, Malware, Websense

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Websense: Russische Kriminelle greifen seit Juli Behörden und Firmen an

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *