36C3 - Von Menschen radikalisiert: Über Rassismus im Internet
Die von einer iranischen Cyberspionage-Gruppe zur Kontrolle infizierter Computer auf der ganzen Welt genutzte Infrastruktur wurde von Sicherheitsforschern entführt.
Forscher von Palo Alto Networks haben Anfang dieses Jahres die Aktivitäten der Gruppe kennengelernt, konnten aber nachweisen, dass sie seither aktiv ist Das Hauptinstrument ist ein benutzerdefiniertes Malware-Programm namens Infy, das im Laufe der Jahre immer wieder verbessert wurde.
Die Forscher haben mit Domain-Registraren zusammengearbeitet, um die von den Angreifern benutzten Domänen zu nutzen, um infy-infizierte Computer zu kontrollieren und Opfer zu lenken "Verkehr zu einem Sinkhole-Server - ein Server, den die Forscher kontrollierten.
[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]Die Kontrolle über den Server wurde dann an die Shadowserver Foundation übertragen, eine Industriegruppe, die Botnetze aufspürt und mit ISPs und anderen Parteien zusammenarbeitet, um Opfer zu benachrichtigen.
Durch die Sinkholing der Command-and-Control (C2) -Infrastruktur wurden die Hacker eliminiert "Die Fähigkeit, Daten von Opfern zu stehlen, was sie erfolglos zu korrigieren versucht haben, als sie etwas bemerkt haben."
Die Palo Alto-Forscher beobachteten 326 Infy-infizierte Computer in 35 Ländern, von denen sich fast die Hälfte im Iran befindet. Dies deutet darauf hin, dass sich die Hackergruppe möglicherweise zu Überwachungszwecken auf iranische Bürger konzentrierte.
Die Gesamtzahl der Opfer ist im Vergleich zu cyberkriminellen Kampagnen relativ gering, aber nicht ungewöhnlich für Cyberspionageoperationen, die per Definition auf die Natur ausgerichtet sind.
Etwa 50 Prozent der Opfer waren sowohl mit Infy als auch mit Infy M infiziert, einer neueren und leistungsfähigeren Variante der Malware, was darauf hindeutet, dass es sich bei diesen Opfern möglicherweise um hochwertige Ziele handelt, die mehr Aufmerksamkeit erfordern.
Es ist wahrscheinlich die Infy-Gruppe wird in Zukunft mit neuen Angriffskampagnen zurückkehren, aber es wird nicht einfach sein, ihre Infrastruktur neu aufzubauen. Es wird sich wahrscheinlich auch als schwierig erweisen, die gleichen Ziele erneut zu bekämpfen, vor allem seit Shadowserver Opfer benachrichtigt hat.
Palo Alto Networks hat Indikatoren für Kompromittierung und Infly-Sample-Hashes geteilt, damit die Angreifer ihre gesamte Operation neu gestalten müssen, wenn sie bleiben wollen in der Zukunft unentdeckt.
Iranische Cyberspionage-Gruppe attackierte in einem Jahr mehr als 1600 hochkarätige Ziele
Eine Cyberspionage-Gruppe mit möglichen Verbindungen zur iranischen Regierung hat zielte auf über 1600 Verteidigungsbeamte, Diplomaten, Forscher, Menschenrechtsaktivisten, Journalisten und andere hochrangige Persönlichkeiten auf der ganzen Welt.
Behörden demontieren kriminelle Banden, die Malware nutzten, um Geld an Geldautomaten zu stehlen
Strafverfolgungsbehörden aus Rumänien und der Republik Moldau demontierten eine Bande von Kriminelle, die 200.000 Euro an Geldautomaten in der EU gestohlen haben und Russland nach der Infektion mit einem Malware-Programm.