Eine neue Version eines Schadprogramms, bekannt als Sykipot, wurde ausgemacht, als es gezielt in die zivile Luftfahrt der Vereinigten Staaten eingeschleust wurde. In den vergangenen sechs Jahren hatten 15 verschiedene Sykipot-Versionen immer wieder wehrtechnische Industriezweige angegriffen.

Das Malware-Programm baut Hintertüren in ausgewählte PCs ein und verbreitet so Schadsoftware, die dort bestimmte Kommandos ausführt. Es lädt auch Dateien hoch oder herunter und kann zeitlich festgelegte SSL-Kommunikation zu Command-and-Control-Servern (C&C) auslösen. Diese speziellen Server verwenden gewöhnlich Netbox, ein Windows Server, der die Bereitstellung von ASP-Anwendungen als unabhängige Programmausführungen zulässt.

Die mit den aktuellen Attacken zusammenhängenden Sykipot-Varianten wurden als BKDR_SYKIPOT.AG benannt. Ein Hauptproblem in der Verbreitung von Sykipot ist der Gebrauch ungepatchter Software, die durch Verwendung von Zero-Day-Exploits angegriffen wird. Mit einer stets auf aktuellstem Stand gehaltenen Sicherheits-Software kann die Sykipot-Einschleusung in den meisten Fällen vermieden werden.

Trend Micro bietet „virtuelles Patching“ als Lösung hierfür an, mit zwei Varianten, die von den Administratoren aktiviert werden können: Deep Security und die Intrusion Defense Firewall.

Da die Sykipot-Angriffe typischerweise via E-Mail-Mitteilungen eingeschleust werden, ist es für Unternehmen wichtig, auf der Hut zu sein und ihre Mitarbeiter über die potenzielle Bedrohung entsprechend zu informieren.

Artikel von trendmicro.com, 04.09.2013: Sykipot Now Targeting US Civil Aviation Sector Information
Artikel von darkreading.com, 09.09.2013: Sykipot Malware Now Targeting Civil Aviation Information