Die Hackergruppe APT 12, die dieses Jahr schon die New York Times angegriffen hat, meldet sich derzeit mit neuen Schadprogrammen und neuen Opfern zurück, wie Sicherheitsforscher berichten. FireEye zufolge hatten sich die Chinesen nach ihrer aufsehenerregenden Kampagne gegen die US-Zeitung monatelang zurückgehalten, sind aber jetzt wieder mit Spionage aktiv.
Die Angriffe auf die New York Times hatten vier Monate gedauert. Offenbar galten sie den Passwörtern von Journalisten, um Informationen über Menschenrechtsaktivisten zu sammeln. Insbesondere interessierte die Angreifer, wie die NY Times an die Information gekommen war, dass der chinesische Premier „durch Geschäfte mehrere Milliarden Dollar erworben“ hatte.
Die jetzige Kampagne nutzt laut FireEye aktualisierte Versionen der Schadprogramme Backdoor.APT.Aumlib und Backdoor.APT.Ixeshe. Man habe sie bei Nachforschungen zu Angriffen gefunden, die „einer Gesellschaft mit wirtschaftspolitischem Einfluss“ galten, heißt es. „Wir können nicht genau sagen, ob die Angreifer damit auf die genauen Untersuchungen reagiert haben, denen sie nach den Angriffen auf die Times ausgesetzt waren. Aber die Änderung kam schnell. Das ist, als wollte man ein Schlachtschiff wenden. Malware muss umprogrammiert, die Infrastruktur aktualisiert werden, und die Mitarbeiter müssen sich die neuen Prozesse erst aneignen.“
Die neue Version von Aumlib kann beispielsweise HTTP-Kommunikation verschlüsseln. Das Programm als solches ist seit Jahren bekannt; es wird für gezielte Angriffe eingesetzt. Die jetzt enthaltene POST-Anfrage ist völlig neu kodiert, weshalb IDS-Sicherheitssysteme, die alte Versionen an ihrer Signatur erkannten, an der neuen scheitern dürften.
Auch bei Ixeshe gibt es neue Netzwerk-Traffic-Muster, die offenbar dazu dienen, Lösungen für die Netzwerksicherheit auszutricksen. Die Malware kam bislang hauptsächlich in Ostasien zum Einsatz. An beiden Programmen waren es die ersten Änderungen seit 2011.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…