McAfee: Weltweite Hacking-Kampagne nimmt Rüstungs- und Finanzsektor ins Visier

McAfee hat eine neue weltweite Hacking-Kampagne aufgedeckt. Die sogenannte Operation Sharpshooter ist zwar wohl erst seit wenigen Wochen aktiv, im Oktober und November fielen ihr jedoch bereits 87 Organisationen zum Opfer. Den Hintermännern geht es offenbar darum, Informationen über ihre Ziele zu sammeln.

In erster Linie gehen die Hacker gegen Unternehmen, Behörden und Einrichtungen in den USA vor. Betroffen sind aber auch Organisationen in Südamerika, Europa, dem Mittleren Ost, Indien, Australien und Japan. Laut McAfee nehmen die Hintermänner meistens englischsprachige Nutzer ins Visier oder Unternehmen mit Englisch sprechenden Niederlassungen.

Die meisten Opfer fand McAfee bei Rüstungsunternehmen und regierungsnahen Organisationen. Betroffen sind aber auch Firmen aus den Bereichen Telekommunikation, Energie und Finanzen. Zudem entdeckten die Forscher Ähnlichkeiten zur Lazarus-Gruppe, die der nordkoreanischen Regierung nahestehen soll. Das alleine sei aber nicht ausreichend, um die Angriffe zuzuordnen.

Ihre Schadsoftware versuchen die Hacker über Phishing-E-Mails einzuschleusen, die angeblich Stellenausschreibungen enthalten. Die angehängten Word-Dokumente führen, falls die zugehörigen Warnungen ignoriert werden, ein schädliches Makro aus, das wiederum einen Downloader für die Sharpshooter-Malware in den Arbeitsspeicher von Word einschleust. Sharpshooter wiederum dient als Downloader für eine modulare Hintertür namens Rising Sun.

Rising Sun schließlich kundschaftet ein System und das Netzwerk aus und überträgt Informationen über Dokumente, Nutzernamen, Netzwerkkonfiguration und Systemeinstellungen an einen von den Hackern kontrollieren Befehlsserver. Die Malware kann aber auch weitere Dateien nachladen und den Speicher leeren beziehungsweise seine Aktivitäten löschen, um einer Entdeckung zu entgehen.

„Operation Sharpshooter ist ein weiteres Beispiel dafür, wie ein raffinierter, gezielter Angriff eingesetzt wird, um Informationen für böswillige Akteure zu gewinnen“, sagte Raj Samani, Chief Scientist bei McAfee. „Trotz ihrer Raffinesse hängt diese Kampagne jedoch von einem gewissen Maß an Social Engineering ab, das mit Wachsamkeit und Kommunikation von Unternehmen leicht abgemildert werden kann.“

Bei der Analyse von Rising Sun fand McAfee Code und Konfigurationsdaten, die von der Trojaner-Familie Duuzer stammen. Duuzer wiederum kam beim Hackerangriff auf Sony zum Einsatz, hinter dem die USA nordkoreanische Hacker vermuten. Allerdings verwendet Rising Sun eine andere Entschlüsselungsroutine, weswegen Rising Sun wahrscheinlich eine Weiterentwicklung von Duuzer sei. Sollte tatsächlich Nordkorea hinter der Kampagne stecken, wäre es das erste Mal, dass Hacker aus dem asiatischen Land Code eine früheren Angriffs wiederverwendet hätten.