Anthem-Angreifer tauschten Zero-Day-Lücken mit anderen Kriminellen aus

Sicherheitsforscher berichten von einem Netz, über das Kriminelle Zero-Day-Lücken austauschen, mit denen sich selbst bekannte Unternehmen angreifen lassen. An dem Tauschhandel ist einem Whitepaper (PDF) von Symantec zufolge auch Black Vine beteiligt, die Gruppierung, die mutmaßlich den Datendiebstahl bei der zweitgrößten US-Krankenversicherung Anthem durchgeführt hat.

Anthem hatte im Februar melden müssen, dass Unbekannte persönliche Daten von bis zu 80 Millionen Kunden, Exkunden und Beschäftigten eingesehen hatten, darunter Sozialversicherungsnummer, Adressen und Geburtsdaten – wenn auch keine medizinischen Daten. Black Vine wird verdächtigt, diesen Diebstahl durchgeführt zu haben – neben einer Reihe anderer Operationen. Die Gruppe wurde mutmaßlich 2012 gegründet. Symantec hat jetzt den Versuch unternommen, ihre Geschichte zu rekonstruieren.

Den Forschern zufolge hat es Black Vine vor allem auf die Branchen Luftfahrt, Medizin, Energieversorgung, Rüstung und Militär, Finanzen, Landwirtschaftstechnik und IT abgesehen. Sie arbeitet nicht nur mit Zero-Days, also noch nicht bekannten und nicht gepatchten Lücken, sondern passt auch Malware regelmäßig an ihre Zwecke an. Die Mehrzahl an Infektionen wurde in den USA, China, Kanada, Italien und Dänemark angetroffen – in dieser Reihenfolge.

Weitergabe von Zero-Day-Lücken (Grafik: Symantec)So werden die Schadprogramme Hurix und Sakurel (gemeinsame offizielle Bezeichnung Trojan.Sakurel) sowie Mivast (offiziell Backdoor.Mivast) auf Black Vine zurückgeführt. Sie können unter anderem auf infizierten Systemen Hintertüren öffnen, Dateien auf Befehl aus der Ferne ausführen, Registry Keys löschen, modifizieren und erstellen sowie Daten aller Art sammeln. Verteilt werden sie über so genannte Wasserlöcher, also infizierte Websites, die für eine Zielgruppe von Interesse sind, aber auch Spearphishing mit angeblichen technischen Dokumenten.

Auf einen Untergrund-Austausch von Zero-Days schließt Symantec, da mehrere von Black Vine genutzte Schwachstellen zugleich auch von anderen Kriminellen angegriffen wurden. Die gleichzeitige Verwendung lasse auf eine Austauschplattform schließen – mutmaßlich die vor drei Jahren entdeckte Plattform Elderwood. Sie befindet sich wahrscheinlich in China. Etwa Hidden Lynx, Vidgrab, Icefog und Sakurel wurden alle darüber verteilt.

In seiner Zusammenfassung nennt Symantec Black Vine eine „beeindruckende“ Gruppe mit umfangreichen Ressorcen, die ihre Schadprogramme häufig modifiziere, um einer Erkennung durch Antiviren- und andere Sicherheitssoftware zu entgehen. Mutmaßlich werde man sich noch eine Weile mit ihr beschäftigen müssen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.