+43 699 / 18199463
office@itexperst.at

Operation Ghoul nimmt Unternehmen in aller Welt ins Visier

Das Cybersicherheitsunternehmen Kaspersky Lab hat eine neue groß angelegte Hackermasche entdeckt, die es als Operation Ghoul bezeichnet. Nach Angaben des Unternehmens zielen die Attacken auf Bankkonten und Daten von vorwiegend kleinen bis mittelständischen Industrieunternehmen in aller Welt ab.

Nach Stand der Untersuchungen wurden bis jetzt insgesamt 130 Unternehmen in 30 Ländern Opfer von Operation Ghoul. Kaspersky stellte fest, dass mehr als ein Viertel aller angegriffenen Unternehmen in Spanien und Pakistan liegen. Diese, zusammen mit Indien, Ägypten und den Vereinigten Arabischen Emiraten machen dabei mehr als die Hälfte aller Betroffenen aus. Es wird davon ausgegangen, dass Ghoul bereits seit März 2015 aktiv ist. Doch am 8. und am 27. Juni dieses Jahres konnte Kaspersky Lab neue Angriffswellen beobachten. Insbesondere die Nahostregion war im Mittelpunkt der Angriffe, aber sie erfolgten zeitgleich auch zielgerichtet in mehreren anderen Regionen.

(c) Kaspersky: Operation Ghoul

(c) Kaspersky: Operation Ghoul

Kaspersky Lab stellte fest, dass die verwendete Malware an sich nicht besonders ausgeklügelt war. Tatsächlich handelt es sich einfache um eine handelsübliche Schadsoftware „von der Stange“, die unter dem Namen Hawkeye bekannt ist. Hawkeye-Malware kann Tastenschläge und Screenshots aufzeichnen, Browseraktivitäten und E-Mail-Daten überwachen sowie Anmeldeinformationen von FTP-Server abgreifen und sie zurück an die Angreifer senden.

Die Malware wird über Spear Phishing E-Mails verteilt, die komprimierte ausführbare Dateien enthalten. Diese E-Mails enthalten Zahlungsdokumente oder Rechnungen, die von der Bank Emirates NBD versendet wurden. Im Anhang verbirgt sich jedoch eine 7z-Datei mit der Schadsoftware EmiratesNBD_ADVICE.exe. Es wurden jedoch auch Fälle entdeckt, bei denen die Opfer Phishing Links erhalten haben. Näher betrachtet zeigt der jeweilige E-Mail-Header, dass gefälschte Quellen verwendet werden, um die E-Mails an die Opfer auszuliefern.

Die E-Mails werden ganz gezielt an leitende Angestellte ausgewählter Unternehmen im Bereich Herstellung und Maschinenbau versendet. Damit erhoffen sich die Angreifer wohl Zugang zu Kernintelligenz und Kontenkontrolle zu erhalten und auch sonst noch nützliche Informationen abzugreifen.

Jake Williams, SANS Sicherheitsexperte fiel zu diesen Vorfällen auf, dass sich durch einen Blick auf die geografische Verteilung der Opfer erstaunlicherweise erkennen lässt, dass überhaupt keine Angriffe auf russische Unternehmen durchgeführt wurden. Dies sei seiner Meinung nach schon deswegen ganz besonders interessant, weil Kaspersky Lab seinen größten Kundenkreis in Russland hat. Daraus schlussfolgert Williams, dass es verschiedene Erklärungsansätze hierfür gäbe: Erstens Russland steckt hinter den Ghoul Angriffen. Zweitens, Ghoul der Ansicht ist, dass Russland nichts Interessantes zu bieten hat, oder drittens, dass Ghoul für russische Ziele ein ganz anderes Toolkit verwendet.

Artikel von darkreading.com, 17.08.2016: ‘Operation Ghoul’ Targets Industrial, Engineering Companies In 30 Countries

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen