Sicherheitsforscher berichten von einem Netz, über das Kriminelle Zero-Day-Lücken austauschen, mit denen sich selbst bekannte Unternehmen angreifen lassen. An dem Tauschhandel ist einem Whitepaper (PDF) von Symantec zufolge auch Black Vine beteiligt, die Gruppierung, die mutmaßlich den Datendiebstahl bei der zweitgrößten US-Krankenversicherung Anthem durchgeführt hat.
Den Forschern zufolge hat es Black Vine vor allem auf die Branchen Luftfahrt, Medizin, Energieversorgung, Rüstung und Militär, Finanzen, Landwirtschaftstechnik und IT abgesehen. Sie arbeitet nicht nur mit Zero-Days, also noch nicht bekannten und nicht gepatchten Lücken, sondern passt auch Malware regelmäßig an ihre Zwecke an. Die Mehrzahl an Infektionen wurde in den USA, China, Kanada, Italien und Dänemark angetroffen – in dieser Reihenfolge.
Trojan.Sakurel) sowie Mivast (offiziell Backdoor.Mivast) auf Black Vine zurückgeführt. Sie können unter anderem auf infizierten Systemen Hintertüren öffnen, Dateien auf Befehl aus der Ferne ausführen, Registry Keys löschen, modifizieren und erstellen sowie Daten aller Art sammeln. Verteilt werden sie über so genannte Wasserlöcher, also infizierte Websites, die für eine Zielgruppe von Interesse sind, aber auch Spearphishing mit angeblichen technischen Dokumenten.
So werden die Schadprogramme Hurix und Sakurel (gemeinsame offizielle BezeichnungAuf einen Untergrund-Austausch von Zero-Days schließt Symantec, da mehrere von Black Vine genutzte Schwachstellen zugleich auch von anderen Kriminellen angegriffen wurden. Die gleichzeitige Verwendung lasse auf eine Austauschplattform schließen – mutmaßlich die vor drei Jahren entdeckte Plattform Elderwood. Sie befindet sich wahrscheinlich in China. Etwa Hidden Lynx, Vidgrab, Icefog und Sakurel wurden alle darüber verteilt.
In seiner Zusammenfassung nennt Symantec Black Vine eine „beeindruckende“ Gruppe mit umfangreichen Ressorcen, die ihre Schadprogramme häufig modifiziere, um einer Erkennung durch Antiviren- und andere Sicherheitssoftware zu entgehen. Mutmaßlich werde man sich noch eine Weile mit ihr beschäftigen müssen.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.