Neue chinesische Angriffswelle auf US-Einrichtungen

Wie das 'TreatPost'-Blog des russischen Security-Dienstleisters Kaspersky berichtet, werden Beschäftigten der jeweiligen Unternehmen gezielt Dateien zugeschickt, die Schadcode enthalten und beim öffnen die Rechner mit Malware infizieren. Eine Reihe von Servern, die von den Angreifern offenbar gehackt wurden, übernehmen dabei die Aufgabe von Command-and-Controll (C&C)-Systemen.

Die Attacken wurden zuerst bei Digitalbond, einem etwas kleineren Sicherheitsdienstleister, entdeckt. Hier erhielten verschiedene Angestellte manipulierte PDF-Dateien zugeschickt. Beim Öffnen installierte dieses einen Trojaner, der sich sofort nach seiner Aktivierung weitergehende Instruktionen und Module aus dem Netz herunterlud. Außerdem wurde über ein Tool, dass noch nicht von vielen Virenscannern erkannt wird, eine Hintertür auf den Computern installiert.

Im Anschluss wurden ähnliche Angriffe auch bei der Carnegie Mellon University, der Purdue University und der University of Rhode Island entdeckt. Betroffen waren aber auch einige Unternehmen, die der Rüstungsbranche angehören oder als Dienstleister des US-Heimatschutzministeriums tätig sind.

Die Angriffe weisen eine ähnliche Strategie wie die Shady Rat-Attacken im Sommer des letzten Jahres auf, hieß es. Die Gestaltung der Kommunikation der Trojaner mit der C&C-Infrastruktur lässt die Sicherheitsexperten auf einen Ursprung in China schließen, da sie bereits bekannten Methoden aus dieser Region stark ähneln.

Die Aussendung der manipulierten Dateien an einen eingeschränkten Personenkreis lässt den Angaben zufolge darauf schließen, dass es sich nicht um eine breit angelegte, sondern eine sehr gezielte Aktion handelt. Welche Ziele dabei genau verfolgt werden, ist bisher noch nicht geklärt.