„Harkonnen Operation“ – Datenklau mit deutschen Wurzeln


Das manipulative Adelsgeschlecht Haus Harkonnen aus Frank Herberts Roman "Dune" stand Pate für den Spitznamen der Cyberkriminellen  Bildquelle: Cédric Chantepie

Das manipulative Adelsgeschlecht Haus Harkonnen aus Frank Herberts Roman „Dune“ stand Pate für den Spitznamen der Cyberkriminellen
Bildquelle: Cédric Chantepie

Eine israelische Sicherheitsfirma hat nach eigenen Angaben ein Nest von Kriminellen identifiziert, die über 12 Jahre hinweg sehr gezielt sensible Daten aus den Netzwerken von Unternehmen und Regierungen abgegriffen haben sollen.

Eine Gruppe von Kriminellen soll seit 2002 von Deutschland, Österreich und der Schweiz aus über 300 Firmen, Forschungseinrichtungen und Regierungsorganisationen angegriffen haben. Die israelische Sicherheitsfirma Cyberintel, die den Angriff bei der Untersuchung des Netzwerkes eines deutschen Kunden entdeckt hat, nennt die grossangelegte Aktion in Anlehnung an Frank Herberts Dune-Zyklus „Harkonnen Operation“.

Die Kriminellen sollen über Jahre hinweg sehr gezielt Spear-Phishing-Angriffe ausgeführt und zu diesem Zweck massenweise Tarnfirmen aus dem Boden gestampft haben – komplett mit dazugehörigen Domains und SSL-Zertifikaten. Sie hätten es auf sensible Daten abgesehen und seien dabei sehr geschickt vorgegangen. Die Spuren führen vor allem nach Deutschland.

Auf Anfrage von heise Security wollte Cyberintel sich nicht zu der deutschen Firma äussern, in deren Netzwerk die Trojaner der Harkonnen zum ersten Mal entdeckt wurden. Der Schadcode soll allerdings eindeutig von deutschsprachigen Programmieren stammen und die betroffene Firma soll mit „hochkritischen Produkten und Daten“ zu tun haben. Die Angriffe sollen äusserst gezielt gewesen sein. „Die Hacker wussten ganz genau, was sie suchen“, so ein Sprecher der Sicherheitsfirma. Der Fall werde nun von den deutschen Behörden untersucht. Cyberintel will allerdings keine Angaben dazu machen, welche Polizeistelle genau mit dem Fall betraut sei.

Der aktuelle Angriff der Harkonnen habe am 14. Juni 2013 begonnen. Die Spezialisten der Firma fanden bei der Untersuchung des angegriffenen Netzwerkes zwei Trojaner namens GFILTERSVC.EXE und wmdmps32.exe – einmal im Netz der Opfer, machten sie sich auf die Suche nach sensiblen Daten und schickten sie an Kontrollserver. Um ihre Spuren zu verwischen registrierten die Angreifer Scheinfirmen mit Sitz in England und besorgten sich für deren Webseiten gültige SSL-Zertifikate. Auf diese Weise schützten sie wohl den Verkehr von den Trojanern zu den Servern vor neugierigen Augen. Ausserdem wurden Webseiten mit ähnlich klingenden Namen wie legitime Web-Dienste eingerichtet und für die Schadcode-Verteilung in E-Mail-Links verwendet.

Laut Cyberintel hat die Bande die Tarn-Firmen mit Sitz in England gegründet, da das dort besonders einfach sei. Die Kriminellen sollen mindestens 833 Firmen gegründet und dafür ungefähr 150.000 US-Dollar ausgegeben haben – fast alle der Briefkasten-Firmen liefen auf dieselbe Adresse. Die meisten seien bereits wieder aufgelöst worden. Durch das Netzwerk an Scheinfirmen haben die Sicherheitsforscher einen Eindruck gewonnen, wie lange die Kriminellen aktiv waren. Die Angreifer hätten zwölf Jahre unentdeckt bleiben können, da die Angriffe äusserst gezielt und subtil abgelaufen seien.

(JNS, heise)



Kategorien:Sicherheit

Schlagwörter:, , , , , , , ,

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d Bloggern gefällt das: