Trend Micro beschreibt chinesische Cyberspionage-Kampagne

Trend Micro hat einen Bericht (PDF) zu einer komplexen Cyberspionage-Kampagne chinesischer Hacker vorgelegt. Ziel der als Luckycat bezeichneten Operation waren Industrieanlagen in Japan und Indien, aber auch Aktivisten für ein freies Tibet.

Die Angriffe lassen sich dem 23-seitigen Bericht zufolge auf ein einzelnes Kommandozentrum in China zurückverfolgen. Es handelte sich keinesfalls um zufällige Angriffe, sondern vielmehr um genau geplante Aktionen. Nach Trend Micros Kenntnissen wurden nur genau 223 Rechnersysteme infiziert, um an Daten zu gelangen.

Als betroffene Branchen nennen die Sicherheitsexperten Luftfahrt, Energieversorgung, Maschinenbau, Schifffahrt und militärische Forschung. Mitarbeiter der betroffenen Firmen brachte man gezielt dazu, E-Mail-Anhänge zu öffnen, in denen sich Schadsoftware verbarg. Dabei handelte es sich nicht um primitive Nachrichten wie „Ihr Bankkonto wurde gehackt“, sondern etwa um angebliche Ergebnisse von Strahlungsmessungen in der Umgebung von Fukushima, die für die Zielperson tatsächlich relevant waren.

In mehreren Fällen wurde eine RTF-Lücke genutzt. Manche Angriffe zielten auch auf Fehler in den Adobe-Produkten Reader und Flash Player ab. Die Malware verband sich über Port 80 mit dem Kommandoserver. Diese liefen größtenteils bei Anbietern von kostenlosem Hosting, um die Spuren zu verdecken. Um eine stabilere Verbindung zu haben, kamen aber auch Virtual Private Servers (VPS) zum Einsatz.

Trend Micro nennt die Angriffe „extrem erfolgreich“. Es schreibt, die Betreiber von Luckycat hätten ihre Infrastruktur in manchen Fällen auch den Kampagnen ShadowNet, Duojeen, Sparksrv und Comfoo zur Verfügung gestellt.

[mit Material von Martin LaMonica, News.com]