Anzeige

Anzeige

VERANSTALTUNGEN

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

SEOkomm 2018
23.11.18 - 23.11.18
In Salzburg, Österreich

Blockchain Business Summit
03.12.18 - 03.12.18
In Nürnberg

Cyber Risk Convention
05.12.18 - 05.12.18
In Köln

IT-Tage 2018
10.12.18 - 13.12.18
In Frankfurt

Anzeige

Anzeige

Anzeige

EU-Flagge im Visir

Die Experten von Kaspersky Lab haben herausgefunden, dass die hinter dem Bedrohungsakteur ,Olympic Destroyer‘ stehende Hacker-Gruppe noch aktiv ist und und auf europäische Einrichtungen zur chemischen und biologischen Gefahrenabwehr abzielt. Die Kaspersky-Analyse zeigt, dass auch Ziele in Deutschland und der Schweiz im Visier der Malware sind.

Olympic Destroyer wurde im Zusammenhang einer Attacke auf die Eröffnungsfeier der Olympischen Winterspiele in Pyeongchang bekannt. Scheinbar visieren die Angreifer nun Organisationen in Deutschland, Frankreich, der Schweiz, den Niederlanden, der Ukraine und Russland an, die mit dem Schutz vor chemischen und biologischen Bedrohungen zu tun haben.

Bei OIympic Destroyer handelt es sich um einen fortschrittlichen Bedrohungsakteur, der Organisationen, Lieferanten und Partner der Olympischen Winterspiele 2018 in Pyeongchang, Südkorea, mit einer Cybersabotage-Operation auf Basis eines schädlichen Netzwerkwurms getroffen hat. Hinsichtlich des Ursprungs der Attacke deuteten damals viele Hinweise in verschiedene Richtungen, was im Februar 2018 zu einigen Verwirrungen innerhalb der Security-Branche führte. Einige von Kaspersky Lab entdeckte rare und komplexe Anzeichen deuteten darauf hin, dass die Lazarus-Gruppe, ein mit Nordkorea in Verbindung gebrachter Bedrohungsakteur, hinter der Operation steckt. Im März 2018 bestätigte Kaspersky Lab jedoch, dass die Kampagne eine aufwendige und überzeugende False-Flag-Operation beinhaltete, hinter der höchstwahrscheinlich doch nicht die Lazarus-Gruppe steckte.

Die Experten fanden nun heraus, dass Olympic Destroyer wieder aktiv ist, zum Teil das originale Tool-Set verwendet und es auf Zielobjekte in Europa abgesehen hat.

Spear-Phishing mit Bezug auf Schweizer Konferenz zu biochemischen Bedrohungen

Der Bedrohungsakteur verbreitet die Malware über Spear-Phishing-Dokumente, die den bei der Operation gegen die olympischen Winterspiele als Angriffswaffe verwendeten Dokumenten sehr ähnlich sind. Eines der Dokumente, mit denen potentielle Opfer angelockt werden sollen, nimmt auf die ,Spiez Convergence‘ Bezug. Dabei handelt es sich um eine Konferenz zu biochemischen Bedrohungen, die im Herbst 2018 in der Schweiz stattfindet und vom Labor Spiez veranstaltet wird, einer Organisation, die bei den Untersuchungen zum Salisbury-Fall (Skripal-Fall) eine Schlüsselrolle gespielt hat. Ein weiteres Dokument hatte es auf eine Gesundheits- und Veterinär-Einheit in der Ukraine abgesehen. Einige der von Sicherheitsexperten entdeckten Spear-Phishing-Dokumente enthielten Wörter in Russisch und Deutsch.

Die aus den gefährlichen Dokumenten extrahierte finale Nutzlast (Payload) wurde für den generischen Zugriff auf kompromittierte Computer entwickelt. Für die zweite Stufe des Angriffs wurde das Open-Source-basierte und freie Framework ,Powershell Empire‘ verwendet.

Die Angreifer scheinen kompromittierte legitimen Webserver zu nutzen, auf denen sie die Malware hosten und kontrollieren. Diese Sever nutzen das beliebte Open-Source-Content-Management-System (CMS) Joomla. Die Experten fanden heraus, dass es sich bei einem der Server, der die gefährliche Payload hostet, um eine Version von Joomla (v1.7.3) handelt, die im November 2011 veröffentlicht wurde. Das deutet darauf hin, dass die Hacker eine längst veraltete Version des CMS-Systems für das Hacken der Server ausgenutzt haben.

Auf Basis der Telemetrie von Kaspersky Lab sowie Daten, die bei verschiedenen Viren-Scanner-Services hochgeladen wurden, scheint sich die Olympic-Destroyer-Kampagne für Einheiten in Deutschland, Frankreich, der Schweiz, die Niederlande, der Ukraine und Russland zu interessieren.

„Als Anfang des Jahres Olympic Destroyer mit seinen ausgefeilten Täuschungsmanövern auftauchte, wurde offensichtlich, dass sich das Spiel mit der Attribuierung – also der Zuschreibung – von Angriffen für immer verändern wird. Es zeigte sich, wie einfach sich Fehler einschleichen, wenn man nur mit den Fragmenten eines Bildes, die für die Forscher sichtbar sind, arbeitet“, sagt Vitaly Kamlyuk, Sicherheitsforscher bei Kaspersky Lab. „Die Analyse und Abschreckung derartiger Bedrohungen sollte auf der Kooperation zwischen dem Privatsektor und den Regierungen sowie über nationale Grenzen hinaus basieren. Wir hoffen, dass mit dem Publizieren unserer Ergebnisse die Sicherheitsbeauftragten und die Sicherheitsforscher zukünftig besser in der Lage sind, einen solchen Angriff in jedem Stadium zu erkennen und zu verhindern.“

Bei der vorangegangenen Attacke während der Olympischen Winterspiele begann die Aufklärung einige Monate vor der Epidemie des sich selbst verändernden destruktiven Netzwerkwurms. Es ist sehr gut möglich, dass Olympic Destroyer einen ähnlichen Angriff mit neuer Ausrichtung vorbereitet. Aus diesem Grund rät Kaspersky Lab biologischen und chemischen Bedrohungsforschungseinrichtungen, sich der Gefahr bewusst zu sein und außerplanmäßige Sicherheitsaudits durchzuführen.

Die Produkte von Kaspersky Lab entdecken und blockieren die Malware Olympic Destroyer.

Weitere Informationen zur neuen Angriffswelle von Olympic Destroyer inklusive von Kompromittierungsindikaktoren sind hier verfügbar.
 

GRID LIST
Frau mit Uhr

In Sachen Datensicherung und Compliance herrscht Nachholbedarf

Längst sind Daten als das wichtigste digitale Gut von Unternehmen gesetzt. Doch bei der…
Black Friday & Cyber Monday

Black Friday & Cyber Monday - Phishing-Angriffe steigen exponentiell an

Der Security-Anbieter RSA hat seinen vierteljährlichen Fraud Report für das dritte…
Black Friday

Black Friday: Rund 20 Millionen Shopper und Rekordumsatz erwartet

Am 23. November findet zum sechsten Mal der Black Friday Sale auf blackfridaysale.de…
DSGVO

Geringes Vertrauen in die DSGVO

Während sich die Welt an die DSGVO anpasst und mehr Wert auf die Privatsphäre und die…
Help

Flut von mehr als 100 kritischen Schwachstellen pro Tag

Tenable, das Cyber Exposure‑Unternehmen, veröffentlicht seinen Vulnerability Intelligence…
Analytics

Analytics macht Unternehmen innovativer

Drei von vier Unternehmen gewinnen durch den Einsatz von Analytics wertvolle…
Smarte News aus der IT-Welt