Die Hackergruppe APT 12, die dieses Jahr schon die New York Times angegriffen hat, meldet sich derzeit mit neuen Schadprogrammen und neuen Opfern zurück, wie Sicherheitsforscher berichten. FireEye zufolge hatten sich die Chinesen nach ihrer aufsehenerregenden Kampagne gegen die US-Zeitung monatelang zurückgehalten, sind aber jetzt wieder mit Spionage aktiv.
Die Angriffe auf die New York Times hatten vier Monate gedauert. Offenbar galten sie den Passwörtern von Journalisten, um Informationen über Menschenrechtsaktivisten zu sammeln. Insbesondere interessierte die Angreifer, wie die NY Times an die Information gekommen war, dass der chinesische Premier „durch Geschäfte mehrere Milliarden Dollar erworben“ hatte.
Die jetzige Kampagne nutzt laut FireEye aktualisierte Versionen der Schadprogramme Backdoor.APT.Aumlib und Backdoor.APT.Ixeshe. Man habe sie bei Nachforschungen zu Angriffen gefunden, die „einer Gesellschaft mit wirtschaftspolitischem Einfluss“ galten, heißt es. „Wir können nicht genau sagen, ob die Angreifer damit auf die genauen Untersuchungen reagiert haben, denen sie nach den Angriffen auf die Times ausgesetzt waren. Aber die Änderung kam schnell. Das ist, als wollte man ein Schlachtschiff wenden. Malware muss umprogrammiert, die Infrastruktur aktualisiert werden, und die Mitarbeiter müssen sich die neuen Prozesse erst aneignen.“
Die neue Version von Aumlib kann beispielsweise HTTP-Kommunikation verschlüsseln. Das Programm als solches ist seit Jahren bekannt; es wird für gezielte Angriffe eingesetzt. Die jetzt enthaltene POST-Anfrage ist völlig neu kodiert, weshalb IDS-Sicherheitssysteme, die alte Versionen an ihrer Signatur erkannten, an der neuen scheitern dürften.
Auch bei Ixeshe gibt es neue Netzwerk-Traffic-Muster, die offenbar dazu dienen, Lösungen für die Netzwerksicherheit auszutricksen. Die Malware kam bislang hauptsächlich in Ostasien zum Einsatz. An beiden Programmen waren es die ersten Änderungen seit 2011.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.
