New-York-Times-Hacker spionieren mit modifizierter Malware

Die Hackergruppe APT 12, die dieses Jahr schon die New York Times angegriffen hat, meldet sich derzeit mit neuen Schadprogrammen und neuen Opfern zurück, wie Sicherheitsforscher berichten. FireEye zufolge hatten sich die Chinesen nach ihrer aufsehenerregenden Kampagne gegen die US-Zeitung monatelang zurückgehalten, sind aber jetzt wieder mit Spionage aktiv.

Die Angriffe auf die New York Times hatten vier Monate gedauert. Offenbar galten sie den Passwörtern von Journalisten, um Informationen über Menschenrechtsaktivisten zu sammeln. Insbesondere interessierte die Angreifer, wie die NY Times an die Information gekommen war, dass der chinesische Premier „durch Geschäfte mehrere Milliarden Dollar erworben“ hatte.

Die jetzige Kampagne nutzt laut FireEye aktualisierte Versionen der Schadprogramme Backdoor.APT.Aumlib und Backdoor.APT.Ixeshe. Man habe sie bei Nachforschungen zu Angriffen gefunden, die „einer Gesellschaft mit wirtschaftspolitischem Einfluss“ galten, heißt es. „Wir können nicht genau sagen, ob die Angreifer damit auf die genauen Untersuchungen reagiert haben, denen sie nach den Angriffen auf die Times ausgesetzt waren. Aber die Änderung kam schnell. Das ist, als wollte man ein Schlachtschiff wenden. Malware muss umprogrammiert, die Infrastruktur aktualisiert werden, und die Mitarbeiter müssen sich die neuen Prozesse erst aneignen.“

Die neue Version von Aumlib kann beispielsweise HTTP-Kommunikation verschlüsseln. Das Programm als solches ist seit Jahren bekannt; es wird für gezielte Angriffe eingesetzt. Die jetzt enthaltene POST-Anfrage ist völlig neu kodiert, weshalb IDS-Sicherheitssysteme, die alte Versionen an ihrer Signatur erkannten, an der neuen scheitern dürften.

Auch bei Ixeshe gibt es neue Netzwerk-Traffic-Muster, die offenbar dazu dienen, Lösungen für die Netzwerksicherheit auszutricksen. Die Malware kam bislang hauptsächlich in Ostasien zum Einsatz. An beiden Programmen waren es die ersten Änderungen seit 2011.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago