NASDAQ-Server waren mit einer Malware infiziert, die zwei mysteriöse Day-Zero-Schwachstellen ausnutzte. Dies wurde vor kurzem bekannt.

Obwohl die Börse Unmengen von Geld in die IT-Sicherheit gesteckt hatte, war sie wohl frei zugänglich für diese Attacke. Dies bringt auch ein wenig Licht ins Dunkel um die Attacke, von der die NASDAQ 2010 getroffen wurde.

Im Jahr 2010 entdeckte das FBI seltsamen Traffic von den NASDAQ-Systemen ausgehend, was auf eine Malware-Infektion deutete. Die Behörden informierten die Börse, der das Problem bekannt war. Sie wollten bis dahin aber niemanden darüber informieren. Es folgte eine fünfmonatige Untersuchung des FBI, der NSA, der CIA und des Finanzministeriums.

Dabei kam heraus, dass die Malware zwei Sicherheitslücken genutzt hatte, für die es noch keine Patches gab. Analysen des Codes ergaben, dass die Malware einer Malware des russischen Geheimdienstes ähnelte. Diese wurde für Spionagezwecke genutzt. Außerdem hatte sie die Fähigkeit, die Abläufe der NASDAQ ernsthaft zu stören. Abgesehen von diesen Hinweisen kann die Malware aber auch von überall sonst stammen.

Die Untersuchung des Vorfalls wurde vor allem durch mangelnde Sicherheitsstandards in der Börse erschwert. So konnten tägliche Serverlogs zu großen Teilen nicht gefunden werden, was aber bei der Aufdeckung bösartiger Aktivitäten hilfreich gewesen wäre.

Bei der Analyse fanden die Ermittler viele Infektionen mit Malware. Daten der Börse wurden vermutlich entwendet. Welche Daten dies betrifft, können die Analysten allerdings nicht sagen. Einer der Ermittler bezeichnete die Server als einen „schmutzigen Sumpf“.

Als Folge sollten zehn US-amerikanische Banken untersucht werden. Der Verdacht bestand, dass diese durch den Kontakt zur NASDAQ ebenfalls mit Malware infiziert wurden. Bei den analysierten Banken konnten zwar keine Infektionen festgestellt werden, allerdings nahmen nicht alle Banken teil. Die Möglichkeit von Verseuchungen hatte aber bestanden, da auch die Systeme der Banken eher schwach geschützt waren.

Im Februar 2011 informierte die NASDAQ ihre Kunden, dass sie Opfer einer Attacke war. Im Oktober 2011 wurden weitere Details über den Vorfall bekannt. Der Leiter der NASDAQ, Robert Greifeld, sagte damals, dass die Börse rund eine Milliarde US-Dollar jährlich für IT-Sicherheit verwendete.

Im Lichte der neuesten Erkenntnisse wundert man sich allerdings, wofür dieses Geld tatsächlich ausgegeben wird.

Artikel von businessweek.com, 17.07.2014: How Russian Hackers Stole the Nasdaq
Artikel von theregister.co.uk, 17.07.2014: NASDAQ IT security spend: $1bn. Finding mystery malware on its servers: Priceless