Nachfolger von „Operation Aurora“ greift Rüstungsfirmen an

Bisher nutzt das "Elderwood Project" acht ungepatchte Lücken - möglicherweise ein Rekord. Symantec kommentiert: "Es sieht so aus, als hätte die Gruppe einen unbegrenzten Vorrat an Zero-Day-Schwachstellen." Betroffen sind etwa Flash Player und IE.

Die Hacker der gegen Google gerichteteten „Operation Aurora“ von 2009 sind laut Symantec wieder aktiv. Eine neue Kampagne nutze acht Zero-Day-Schwachstellen, um Rüstungsfirmen anzugreifen, heißt es in einem Blogeintrag. Symantec hat dafür den Namen „Elderwood Project“ vergeben.

Die Sicherheitsfirma schreibt, sie habe nie so viele ungepatchte Lücken in einem einzigen Angriff kombiniert gesehen. Diese steckten in verbreiteten Programmen wie Adobe Flash Player und Microsoft Internet Explorer. Symantec: „Es sieht so aus, als hätte die Gruppe einen unbegrenzten Vorrat an Zero-Day-Schwachstellen. Sie werden eingesetzt, wie sie gerade gebraucht werden – oft direkt nacheinander, wenn eine Entdeckung der aktuell genutzten Lücke bevorzustehen scheint.“

In den letzten 30 Tagen kamen beispielsweise Trojaner zum Einsatz, die eine Hintertür öffneten, wie es in Symantecs ausführlichem Bericht (PDF) heißt. Die Infektion der Zielsysteme wurde durch drei Lücken möglich gemacht. Außerdem kompromittierten die Angreifer gezielt Websites, von denen sie wussten, dass ihre Opfer sie besuchen würden. Dort platzieren sie dann iFrames, die eine eigene Site mit Schadcode laden. Auch „Spear Phishing“ – gezieltes Phishing mittels getürkter Mails, die die Zielperson interessieren dürften – kommt zum Einsatz.

2009 hatte Google behauptet, hinter Operation Aurora stecke China – das aber entrüstet dementierte. Symantec sagt über das Elderwood Project nur, die Hacker würden vermutlich von einem Staat gesponsert. Ihre Ziele sind derzeit vor allem Zulieferer und Dienstleister der Rüstungsindustrie – etwa Transportunternehmen, Luft- und Raumfahrt sowie Stromversorger.

Mit Aurora hat Elderwood gemein, dass beide eine Malware namens Hydraq einsetzen. Symantec zufolge stehen fast 75 Prozent der entdeckten infizierten Systeme in den USA, 9 Prozent in Kanada und 6 Prozent in China. Auch in Großbritannien habe man Infektionen bemerkt, die Quote liege jedoch unter 3 Prozent.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Themenseiten: China, Hacker, Symantec

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Nachfolger von „Operation Aurora“ greift Rüstungsfirmen an

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *