Anthem-Angreifer tauschten Zero-Day-Lücken mit anderen Kriminellen aus

Sicherheitsforscher berichten von einem Netz, über das Kriminelle Zero-Day-Lücken austauschen, mit denen sich selbst bekannte Unternehmen angreifen lassen. An dem Tauschhandel ist einem Whitepaper (PDF) von Symantec zufolge auch Black Vine beteiligt, die Gruppierung, die mutmaßlich den Datendiebstahl bei der zweitgrößten US-Krankenversicherung Anthem durchgeführt hat.

Anthem hatte im Februar melden müssen, dass Unbekannte persönliche Daten von bis zu 80 Millionen Kunden, Exkunden und Beschäftigten eingesehen hatten, darunter Sozialversicherungsnummer, Adressen und Geburtsdaten – wenn auch keine medizinischen Daten. Black Vine wird verdächtigt, diesen Diebstahl durchgeführt zu haben – neben einer Reihe anderer Operationen. Die Gruppe wurde mutmaßlich 2012 gegründet. Symantec hat jetzt den Versuch unternommen, ihre Geschichte zu rekonstruieren.

Den Forschern zufolge hat es Black Vine vor allem auf die Branchen Luftfahrt, Medizin, Energieversorgung, Rüstung und Militär, Finanzen, Landwirtschaftstechnik und IT abgesehen. Sie arbeitet nicht nur mit Zero-Days, also noch nicht bekannten und nicht gepatchten Lücken, sondern passt auch Malware regelmäßig an ihre Zwecke an. Die Mehrzahl an Infektionen wurde in den USA, China, Kanada, Italien und Dänemark angetroffen – in dieser Reihenfolge.

Weitergabe von Zero-Day-Lücken (Grafik: Symantec)So werden die Schadprogramme Hurix und Sakurel (gemeinsame offizielle Bezeichnung Trojan.Sakurel) sowie Mivast (offiziell Backdoor.Mivast) auf Black Vine zurückgeführt. Sie können unter anderem auf infizierten Systemen Hintertüren öffnen, Dateien auf Befehl aus der Ferne ausführen, Registry Keys löschen, modifizieren und erstellen sowie Daten aller Art sammeln. Verteilt werden sie über so genannte Wasserlöcher, also infizierte Websites, die für eine Zielgruppe von Interesse sind, aber auch Spearphishing mit angeblichen technischen Dokumenten.

Auf einen Untergrund-Austausch von Zero-Days schließt Symantec, da mehrere von Black Vine genutzte Schwachstellen zugleich auch von anderen Kriminellen angegriffen wurden. Die gleichzeitige Verwendung lasse auf eine Austauschplattform schließen – mutmaßlich die vor drei Jahren entdeckte Plattform Elderwood. Sie befindet sich wahrscheinlich in China. Etwa Hidden Lynx, Vidgrab, Icefog und Sakurel wurden alle darüber verteilt.

In seiner Zusammenfassung nennt Symantec Black Vine eine „beeindruckende“ Gruppe mit umfangreichen Ressorcen, die ihre Schadprogramme häufig modifiziere, um einer Erkennung durch Antiviren- und andere Sicherheitssoftware zu entgehen. Mutmaßlich werde man sich noch eine Weile mit ihr beschäftigen müssen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago