Öl- und Gasindustrie im Visier von Online-Kriminellen


Die Sicherheitsexperten von McAfee haben eine Night Dragon
getaufte Cyberattacke analysiert – und dabei halbwegs Besorgniserregendes
festgestellt. Denn der Angriff nahm durch Malwareattacken gezielt Unternehmen
aus der Öl-, Gas- und Chemieindustrie aufs Korn. Das Ziel: Absaugen von
Projekt- und Finanzierungsplänen von Öl- und Gasfeldern. Für Wettbewerber sind
solche detaillierten Planungen Unsummen wert. McAfee spricht davon, dass ein
Abfluss solcher Daten die Energieindustrie weltweit beeinflussen könnte. Namen
der betroffenen Unternehmen nennt McAfee nicht.

 

In einem Whitepaper
und im Firmenblog
beschreiben die Malwareforscher im Detail, wie die Cyber-Kriminellen im
Einzelnen vorgegangen sind. Die Professionalität und der eindeutige Fokus auf
einen Industriebereich lassen nur den Schluss zu, dass – ähnlich wie bei
Stuxnet
– eine hochspezialisierte Truppe hinter dem Angriff steckt. Wenngleich Night
Dragon wahrscheinlich nicht politisch oder militärisch, sondern eine
ausschließlich wirtschaftlich motiviert sein dürfte.

 

Die Hintermänner des Datenklaus will McAfee in China
ausgemacht haben, den Betreiber der Command & Control-Infrastruktur sogar
namentlich. Die identifizierte Person betreibt einen Web-Hosting-Service, der
damit wirbt, keinerlei Aufzeichnungen zu behalten – und Server in den USA
angemietet hat. Laut McAfee ist der C&C-Betreiber wahrscheinlich nicht der
Kopf der Organisation, die Person steht aber wahrscheinlich in engem Kontakt zu
den eigentlichen Drahtziehern.

 

Dem McAfee-Report zufolge begannen die Night Dragon
zugerechneten Attacken im November 2009. Zum Einsatz kam das Best-of der
modernen Cyber-Angriffe: Social Engineering, gezielte Phishing-Attacken (Spear
Phishing), Missbrauch von Schwachstellen in Windows, Manipulationen des Active
Directory der Opfer und bösartige Remote Administration Tools (RATs). RATs
arbeiten ähnlich wie Citrix oder Windows Terminal Server und lassen einen
Hacker aus der Ferne die infizierte Maschine vollkommen kontrollieren.

 

Eingestiegen sind die kriminellen Hacker dem Report zufolge
über schlecht gesicherte Webserver der späteren Opfer. Per SQL-Injection
verschafften sich die Angreifer Remotezugriff und luden dann gängige
Hackertools auf die Maschinen hoch. Mit Hilfe dieser Tools schafften die
Kriminellen dann den Übergang vom Extra- ins Intranet, wo sie Desktop-PCs und
Server unter ihre Kontrolle brachten.

 

Anschließend wurde – wiederum mit gängigen Hackeranwendungen
– Passworte geknackt und Passwort-Hashes mitgeschnitten, um noch mehr
Nutzernamen und Passwörter einzusammeln. Diese wurden dann zum Einstieg in
weitere Maschinen, auf denen sensible Informationen gespeichert waren,
missbraucht. Zu Beginn mussten noch die eingangs gehackten Webserver als
Behelfs-C&C-Server herhalten. Die Angreifer entdeckten dann aber, dass ein
simples Ändern der Proxy-Einstellungen des Internet Explorers genügte, um Daten
direkt an die eigenen C&C-Maschinen schicken zu können.

 

Zu guter letzt kam die RAT-Malware zum Einsatz. Mit dieser
wurden die Rechner der Führungsetage aufs Korn genommen, um so an
E-Mail-Archive und andere sensible Dokumente zu gelangen.

 

 

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht
Michael alles Wissenswerte rund um Schwachstellen in
Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

 

 

 

 

 

 

Comments (0)