NSA-Hacking-Tool DoublePulsar schlimmer als WannaCry

Bei einem Angriff auf IDT Telecom hat sich gezeigt, dass die von der Hackergruppe Shadow Brokers veröffentlichten NSA-Hackertools noch weit gefährlichere Folgen nach sich ziehen können als die Ransomware WannaCry, die im Mai mit ihrer rasanten Verbreitung auf weltweit 200.000 Windows-PCs für Aufsehen sorgte. Das noch immer aktive WannaCry schaffte es zuletzt, ein Werk des japanischen Autoherstellers Honda lahmzulegen.

Der Angriff auf IDT fand bereits im April und damit kurz nach Veröffentlichung der NSA-Tools statt, doch die Einzelheiten wurden erst jetzt bekannt. Dabei kam auch die Malware EternalBlue zum Einsatz, die die epidemische Verbreitung von WannaCry ermöglichte. Die unbekannten Angreifer gingen aber noch einen Schritt weiter und nutzten zusätzlich mit DoublePulsar eine weitere NSA-Cyberwaffe. Dabei handelt es sich um einen Kernel-Exploit, der das verdeckte Eindringen in fremde Computersysteme und die Einrichtung einer Hintertür ermöglicht.

Nach einer Analyse von DoublePulsar stellte Sean Dillon von der Sicherheitsfirma RiskSense fest, dass DoublePulsar erfolgreichen Angreifern volle Kontrolle über ein kompromittiertes System gibt. „Das wird auf Jahre hinaus in den Netzwerken sein“, sagte er. „Ich finde es überall.“ Dillon stellte außerdem fest, dass 99 Prozent aller wichtigen Antivirus-Programme das Vorhandensein von DoublePulsar nicht erkennen konnten.

Inzwischen fand der Sicherheitsforscher heraus, dass Zehntausende Computer durch das Tool infiziert und von Angreifern beliebig zu nutzen sind. Selbst Angriffe auf kritische Infrastrukturen schließt er in diesem Zusammenhang nicht aus. Scans nach den gegen IDT eingesetzten Hacking-Tools zeigten, dass viele der damit infizierten Computer mit Transportsystemen, Krankenhäusern, Wasseraufbereitungsanlagen und anderen Versorgungseinrichtungen verbunden sind.

„Die Welt steht in Flammen wegen WannaCry, aber dies ist eine Atombombe im Vergleich zu WannaCry“, zitiert die New York Times Golan Ben-Oni, bei IDT als Chief Information Officer für Sicherheit verantwortlich. „Es ist anders. Es ist viel schlimmer. Es stiehlt Anmeldedaten. Man kann es nicht erwischen, und es passiert direkt vor unseren Augen. Die Welt ist nicht darauf vorbereitet.“

Wie die Zeitung berichtet, kam beim Angriff auf IDT außerdem noch mit WannaCry vergleichbare Ransomware zum Einsatz. Nach Verschlüsselung von Daten verlangten die Hacker eine Lösegeldzahlung. Das war aber offensichtlich nur ein Ablenkungsmanöver – tatsächlich drangen die Angreifer tiefer ein und griffen schon vorher die Anmeldedaten der Mitarbeiter ab, was ihnen weitere gefährliche Aktionen erlaubt hätte.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago