Wirtschaftsspionage-Welle trifft Chemie-Industrie
Der Security-Dienstleister Symantec berichtet von einer massiven Welle von Angriffen auf zahlreiche Unternehmen und Organisationen in den letzten Monaten. Der Hintergrund der Attacken wird im Bereich der Wirtschaftsspionage vermutet.
Im Juli begann demnach eine erste größere Angriffswelle, die sich vor allem gegen Unternehmen aus dem Bereich der Chemieindustrie richtete. Die Angriffe setzten sich bis Mitte September fort. Die Command-and-Controll (CnC)-Server, über die die Aktivitäten der in die Firmennetze eingeschleusten Malware koordiniert wurden, sollen aber schon seit April in Betrieb sein. Daher ist davon auszugehen, dass auch bisher noch unentdeckte oder von den Betroffenen verschwiegene Angriffe auf das Konto der Täter gehen.
Einige Hinweise darauf liefern offenbar Berichte aus ganz anderen Umfeldern: "Vom späten April bis Anfang Mai lag der Fokus der Attacken auf Menschenrechtsorganisationen. Später im Mai wandten die Angreifer sich der Motoren-Industrie zu", so der Symantec-Bericht. Dann folgte bis Mitte Juli eine Phase, aus der keine Angriffe bekannt wurden, bis dann die Chemiebranche zum Ziel wurde.
Standorte der infizierten Rechner
Die Täter hatten es dabei nach bisherigen Erkenntnissen auf Konstruktionspläne, Formeln und Informationen zu Produktionsprozessen abgesehen. Unter den Zielen sollen sich verschiedene Firmen finden, die zu den Fortune 100-Unternehmen gehören und besonders stark im Bereich der Forschung und Entwicklung aktiv sind.
Bei der Untersuchung eines CnC-Servers, zu dem sich die Sicherheitsexperten Zugang verschaffen konnten, verzeichnete man in einem Zeitraum über zwei Wochen Rückmeldungen von über hundert einzelnen IP-Adressen. Diese gehörten zu den Adressräumen von 52 verschiedenen Providern in 20 Ländern.
Die Angreifer gingen recht gezielt vor. Sie schickten bestimmten Mitarbeitern in den fraglichen Unternehmen beispielsweise E-Mails mit angeblichen Termin-Vorschlägen, die scheinbar von real existierenden Geschäftspartnern stammten. Im Anhang war dann aber ein Poison Ivy-Trojaner versteckt, der eine Backdoor zum jeweiligen System öffnete.
Aktuell ist noch unbekannt, wer hinter den Angriffen steckt. Die Sicherheitsexperten konnten Spuren zu einem Server in den USA zurückverfolgen, der von einem Einwohner der chinesischen Provinz Hebei angemietet wurde. Von diesem wird unter dem Codenamen "Covert Grove" (verborgener Hain) gesprochen, was auf die chinesische Bedeutung seines echten Namens hindeutet, hieß es.
"Wir waren bisher aber noch nicht in der Lage festzustellen, ob Covert Grove der alleinige Täter ist, oder ob er überhaupt eine direkte oder indirekte Rolle spielt", so der Symantec-Bericht. Möglicherweise haben sich auch Unbekannte Zugang zu dem System verschafft und nutzen es. Doch auch wenn Covert Grove der Täter ist, müsse erst noch herausgefunden werden, ob er aus eigenem Antrieb oder im Auftrag dritter Parteien aktiv ist.
Einige Hinweise darauf liefern offenbar Berichte aus ganz anderen Umfeldern: "Vom späten April bis Anfang Mai lag der Fokus der Attacken auf Menschenrechtsorganisationen. Später im Mai wandten die Angreifer sich der Motoren-Industrie zu", so der Symantec-Bericht. Dann folgte bis Mitte Juli eine Phase, aus der keine Angriffe bekannt wurden, bis dann die Chemiebranche zum Ziel wurde.
Standorte der infizierten Rechner
Die Täter hatten es dabei nach bisherigen Erkenntnissen auf Konstruktionspläne, Formeln und Informationen zu Produktionsprozessen abgesehen. Unter den Zielen sollen sich verschiedene Firmen finden, die zu den Fortune 100-Unternehmen gehören und besonders stark im Bereich der Forschung und Entwicklung aktiv sind.
Bei der Untersuchung eines CnC-Servers, zu dem sich die Sicherheitsexperten Zugang verschaffen konnten, verzeichnete man in einem Zeitraum über zwei Wochen Rückmeldungen von über hundert einzelnen IP-Adressen. Diese gehörten zu den Adressräumen von 52 verschiedenen Providern in 20 Ländern.
Die Angreifer gingen recht gezielt vor. Sie schickten bestimmten Mitarbeitern in den fraglichen Unternehmen beispielsweise E-Mails mit angeblichen Termin-Vorschlägen, die scheinbar von real existierenden Geschäftspartnern stammten. Im Anhang war dann aber ein Poison Ivy-Trojaner versteckt, der eine Backdoor zum jeweiligen System öffnete.
Aktuell ist noch unbekannt, wer hinter den Angriffen steckt. Die Sicherheitsexperten konnten Spuren zu einem Server in den USA zurückverfolgen, der von einem Einwohner der chinesischen Provinz Hebei angemietet wurde. Von diesem wird unter dem Codenamen "Covert Grove" (verborgener Hain) gesprochen, was auf die chinesische Bedeutung seines echten Namens hindeutet, hieß es.
"Wir waren bisher aber noch nicht in der Lage festzustellen, ob Covert Grove der alleinige Täter ist, oder ob er überhaupt eine direkte oder indirekte Rolle spielt", so der Symantec-Bericht. Möglicherweise haben sich auch Unbekannte Zugang zu dem System verschafft und nutzen es. Doch auch wenn Covert Grove der Täter ist, müsse erst noch herausgefunden werden, ob er aus eigenem Antrieb oder im Auftrag dritter Parteien aktiv ist.
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen