Beobachten
- Pressemitteilung BoxID 524629
Neue Cyberspionage-Kampagne im Nahen Osten entdeckt
Kaspersky Lab und Seculert analysieren "Madi"
(PresseBox) (Moskau/Ingolstadt, )
Kaspersky Lab gibt Untersuchungsergebnisse zu einer aktuellen Cyberspionage-Kampagne, die den Namen "Madi" trägt und es auf Opfer im Nahen Osten abgesehen hat, bekannt. Die Untersuchung wurde gemeinsam mit Seculert durchgeführt, einem Spezialisten für "Advanced Threat Detection". Madi wurde von Seculert entdeckt und ist als Kampagne zum Eindringen in Computernetzwerke angelegt. Dabei wird ein schädlicher Trojaner über Social-Engineering-Tricks [1] an sorgfältig ausgewählte Ziele verbreitet.
Kaspersky Lab und Seculert haben gemeinsam in einer so genannten Sinkhole-Operation die Command-and-Control-Server (C&C) von Madi untergraben und konnten so Erkenntnisse zur Cyberspionage-Kampagne gewinnen. Die beiden Sicherheitsexperten haben dabei mehr als 800 Opfer identifiziert, die sich in den letzten acht Monaten im Iran, in Israel und ausgewählten Ländern auf der ganzen Welt mit den C&C-Servern von Madi verbunden haben. Die Sinkhole-Aktion legte auch die Angriffsziele offen: so scheinen die Opfer vor allem Geschäftsleute, die im Iran und in Israel an kritischen Infrastruktur-Projekten arbeiteten sowie israelische Finanzinstitutionen, Ingenieur-Studenten und verschiedene Regierungsabteilungen aus dem Nahen Osten gewesen zu sein.
Darüber hinaus ergab die Untersuchung des Schadprogramms einen ungewöhnlich hohen Anteil an religiösen und politischen "Ablenkungs"-Dokumenten und -Bildern, die während der Infektion genutzt wurden.
"Auch wenn die Malware selbst und deren Infrastruktur im Vergleich zu ähnlichen Projekten sehr einfach erscheint, konnten die Madi-Angreifer damit eine nachhaltige Überwachung profilierter Opfer durchführen", so Nicolas Brulez, Senior Malware Researcher bei Kaspersky Lab. "Vielleicht half der amateurhafte und rudimentäre Ansatz sogar, einer Entdeckung zu entgehen."
"Unsere gemeinsame Analyse hat ergeben, dass sowohl Malware als auch die C&C-Tools mit zahlreichen persischen Strings übersät war, was bei Schadcode an sich ungewöhnlich ist. Die Angreifer hatten zweifelsfrei entsprechende Sprachkenntnisse", so Aviv Raff, Chief Technology Officer bei Seculert.
Mithilfe des Madi-Trojaners können Angreifer aus der Ferne sensible Dateien von infizierten Windows-Systemen stehlen, sensible Kommunikationskanäle wie E-Mail und Instant-Messaging einsehen, Audiodaten mitschneiden, Tastaturanschläge registrierten sowie Screenshots des Systems erstellen. Eine weitere Analyse hat ergeben, dass mehrere Gigabyte an Daten von infizierten Rechnern hochgeladen wurden.
Die Angreifer konnten weit verbreitete Anwendungen und Webseiten inklusive Konten auf Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ und Facebook ausspionieren. Zudem wurden integrierte ERP- und CRM-Systeme, Geschäftskontakte sowie Finanzmanagementsysteme überwacht.
Das Antivirus-System von Kaspersky Lab entdeckt die Varianten von Madi zusammen mit dazu gehörigen Droppern und Modulen als Trojan.Win32.Madi.
Eine ausführliche Analyse von Kaspersky Lab zu Madi ist unter http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I verfügbar.
Eine Untersuchung zu Madi von Seculert ist hier http://blog.seculert.com/2012/07/mahdi-cyberwar-savior.html abrufbar.
[1] siehe: http://www.viruslist.com/de/analysis?pubid=200883688
Kaspersky Lab und Seculert haben gemeinsam in einer so genannten Sinkhole-Operation die Command-and-Control-Server (C&C) von Madi untergraben und konnten so Erkenntnisse zur Cyberspionage-Kampagne gewinnen. Die beiden Sicherheitsexperten haben dabei mehr als 800 Opfer identifiziert, die sich in den letzten acht Monaten im Iran, in Israel und ausgewählten Ländern auf der ganzen Welt mit den C&C-Servern von Madi verbunden haben. Die Sinkhole-Aktion legte auch die Angriffsziele offen: so scheinen die Opfer vor allem Geschäftsleute, die im Iran und in Israel an kritischen Infrastruktur-Projekten arbeiteten sowie israelische Finanzinstitutionen, Ingenieur-Studenten und verschiedene Regierungsabteilungen aus dem Nahen Osten gewesen zu sein.
Darüber hinaus ergab die Untersuchung des Schadprogramms einen ungewöhnlich hohen Anteil an religiösen und politischen "Ablenkungs"-Dokumenten und -Bildern, die während der Infektion genutzt wurden.
"Auch wenn die Malware selbst und deren Infrastruktur im Vergleich zu ähnlichen Projekten sehr einfach erscheint, konnten die Madi-Angreifer damit eine nachhaltige Überwachung profilierter Opfer durchführen", so Nicolas Brulez, Senior Malware Researcher bei Kaspersky Lab. "Vielleicht half der amateurhafte und rudimentäre Ansatz sogar, einer Entdeckung zu entgehen."
"Unsere gemeinsame Analyse hat ergeben, dass sowohl Malware als auch die C&C-Tools mit zahlreichen persischen Strings übersät war, was bei Schadcode an sich ungewöhnlich ist. Die Angreifer hatten zweifelsfrei entsprechende Sprachkenntnisse", so Aviv Raff, Chief Technology Officer bei Seculert.
Mithilfe des Madi-Trojaners können Angreifer aus der Ferne sensible Dateien von infizierten Windows-Systemen stehlen, sensible Kommunikationskanäle wie E-Mail und Instant-Messaging einsehen, Audiodaten mitschneiden, Tastaturanschläge registrierten sowie Screenshots des Systems erstellen. Eine weitere Analyse hat ergeben, dass mehrere Gigabyte an Daten von infizierten Rechnern hochgeladen wurden.
Die Angreifer konnten weit verbreitete Anwendungen und Webseiten inklusive Konten auf Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ und Facebook ausspionieren. Zudem wurden integrierte ERP- und CRM-Systeme, Geschäftskontakte sowie Finanzmanagementsysteme überwacht.
Das Antivirus-System von Kaspersky Lab entdeckt die Varianten von Madi zusammen mit dazu gehörigen Droppern und Modulen als Trojan.Win32.Madi.
Eine ausführliche Analyse von Kaspersky Lab zu Madi ist unter http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I verfügbar.
Eine Untersuchung zu Madi von Seculert ist hier http://blog.seculert.com/2012/07/mahdi-cyberwar-savior.html abrufbar.
[1] siehe: http://www.viruslist.com/de/analysis?pubid=200883688
Über die Kaspersky Labs GmbH
Kaspersky Lab ist der weltweit größte, privat geführte Anbieter von Endpoint-Sicherheitslösungen. Laut IDC zählt das Unternehmen zu den vier erfolgreichsten Herstellern von Sicherheitslösungen für Endpoint-Nutzer.* In seiner 15-jährigen Unternehmensgeschichte hat Kaspersky Lab zahlreiche Innovationen im Bereich IT-Sicherheit auf den Weg gebracht und bietet effektive digitale Sicherheitslösungen für Heimanwender, KMU und Großunternehmen. Der IT-Sicherheitsexperte ist derzeit in rund 200 Ländern auf der ganzen Welt vertreten und schützt über 300 Millionen Nutzer weltweit.
Weitere Informationen zu Kaspersky Lab finden Sie unter www.kaspersky.de. Kurzinformationen erhalten Sie zudem über www.twitter.com/.... Aktuelles zu Viren, Spyware, Spam sowie Informationen zu weiteren IT-Sicherheitsproblemen und -Trends sind unter www.viruslist.de abrufbar.
*Quelle: IDC-Report "Worldwide IT Security Products 2011-2015 Forecast and 2010 Vendor Shares", Dezember 2011.
Diese Pressemitteilungen könnten Sie auch interessieren
|
Match & Meet: NovaStor bietet Backup- und Storage-Händlern eine neue Plattform zum Wissens- und Erfahrungsaustausch
Die Auftaktveranstaltungen zu NovaStors neuer Match & Meet Veranstaltungsserie finden am 03. Juni 2013 in Frankfurt am Main und Heidelberg sowie am 05. Juni 2013...
|
Neueste Informationen zur Bekämpfung von Produktfälschungen
, Sicherheit, Hewlett-Packard Deutschland GmbH
. - Erhalten Sie das neueste Update zum Thema Bekämpfung von Produktfälschungen Gefälschte Druckverbrauchsmaterialien sind eine ernste Bedrohung für Unternehmen...
|
sysob-Frühjahrsaktion Teil 2: WLAN-Controller erwerben und Virtual Appliance dazu bekommen
, Sicherheit, sysob IT-Distribution GmbH & Co. KG
Die sysob IT-Distribution bietet neben dem kürzlich vorgestellten Clavister/Aerohive-Bundle eine weitere Frühlings-Aktion für seine Kunden an: Beim Kauf eines ZoneDirector-Controllers...
