NSA-Hacking-Tool DoublePulsar schlimmer als WannaCry

Bei einem Angriff auf IDT Telecom kam wie bei WannaCry EternalBlue, aber mit DoublePulsar eine weitere NSA-Cyberwaffe zum Einsatz. Der Kernel-Exploit erlaubt verdecktes Eindringen und richtet eine Hintertür ein. Zehntausende Computer sind infiziert - und auch kritische Infrastrukturen bedroht.

Bei einem Angriff auf IDT Telecom hat sich gezeigt, dass die von der Hackergruppe Shadow Brokers veröffentlichten NSA-Hackertools noch weit gefährlichere Folgen nach sich ziehen können als die Ransomware WannaCry, die im Mai mit ihrer rasanten Verbreitung auf weltweit 200.000 Windows-PCs für Aufsehen sorgte. Das noch immer aktive WannaCry schaffte es zuletzt, ein Werk des japanischen Autoherstellers Honda lahmzulegen.

Motivfoto Hacker (Bild: Shutterstock)

Der Angriff auf IDT fand bereits im April und damit kurz nach Veröffentlichung der NSA-Tools statt, doch die Einzelheiten wurden erst jetzt bekannt. Dabei kam auch die Malware EternalBlue zum Einsatz, die die epidemische Verbreitung von WannaCry ermöglichte. Die unbekannten Angreifer gingen aber noch einen Schritt weiter und nutzten zusätzlich mit DoublePulsar eine weitere NSA-Cyberwaffe. Dabei handelt es sich um einen Kernel-Exploit, der das verdeckte Eindringen in fremde Computersysteme und die Einrichtung einer Hintertür ermöglicht.

Nach einer Analyse von DoublePulsar stellte Sean Dillon von der Sicherheitsfirma RiskSense fest, dass DoublePulsar erfolgreichen Angreifern volle Kontrolle über ein kompromittiertes System gibt. „Das wird auf Jahre hinaus in den Netzwerken sein“, sagte er. „Ich finde es überall.“ Dillon stellte außerdem fest, dass 99 Prozent aller wichtigen Antivirus-Programme das Vorhandensein von DoublePulsar nicht erkennen konnten.

Inzwischen fand der Sicherheitsforscher heraus, dass Zehntausende Computer durch das Tool infiziert und von Angreifern beliebig zu nutzen sind. Selbst Angriffe auf kritische Infrastrukturen schließt er in diesem Zusammenhang nicht aus. Scans nach den gegen IDT eingesetzten Hacking-Tools zeigten, dass viele der damit infizierten Computer mit Transportsystemen, Krankenhäusern, Wasseraufbereitungsanlagen und anderen Versorgungseinrichtungen verbunden sind.

„Die Welt steht in Flammen wegen WannaCry, aber dies ist eine Atombombe im Vergleich zu WannaCry“, zitiert die New York Times Golan Ben-Oni, bei IDT als Chief Information Officer für Sicherheit verantwortlich. „Es ist anders. Es ist viel schlimmer. Es stiehlt Anmeldedaten. Man kann es nicht erwischen, und es passiert direkt vor unseren Augen. Die Welt ist nicht darauf vorbereitet.“

Wie die Zeitung berichtet, kam beim Angriff auf IDT außerdem noch mit WannaCry vergleichbare Ransomware zum Einsatz. Nach Verschlüsselung von Daten verlangten die Hacker eine Lösegeldzahlung. Das war aber offensichtlich nur ein Ablenkungsmanöver – tatsächlich drangen die Angreifer tiefer ein und griffen schon vorher die Anmeldedaten der Mitarbeiter ab, was ihnen weitere gefährliche Aktionen erlaubt hätte.

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Florian Bettges von HPE erläutert in diesem Webinar, wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und stellt Konzepte vor, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen. Jetzt registrieren und Webinaraufzeichnung ansehen.

Themenseiten: Hacker, Malware, National Security Agency, Ransomware, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu NSA-Hacking-Tool DoublePulsar schlimmer als WannaCry

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *