Über 100.000 Zugangsdaten zu Firmen-Servern gestohlen

Mehr als 80.000 Websites von Online-Kriminellen gehackt

08.10.2008 | Redakteur: Peter Schmitz

Von mehr als 200.000 Servern weltweit haben Online-Kriminelle die Zugangsdaten erbeutet, in beinahe die Hälfte davon wurde bereits eingebrochen.
Von mehr als 200.000 Servern weltweit haben Online-Kriminelle die Zugangsdaten erbeutet, in beinahe die Hälfte davon wurde bereits eingebrochen.

Bei der Erforschung des neu entdeckten Hacker-Toolkits Neosploit 3.1 konnte von Sicherheitsexperten eine groß angelegte Operation von Online-Kriminellen aufgedeckt werden. Über 100.000 gültige Zugangsdaten zu Webservern von Regierungsbehörden, Unternehmen und Universitäten wurden auf einem Server der Kriminellen gefunden.

Ian Amit, Director of Security Research im Forschungszentrum von Aladdin Knowledge Systems, berichtet von einer Operation globalen Ausmaßes, deren Hintergründe nicht nur die betroffenen Unternehmen interessieren werden. Mehr als 80.000 Websites sind nach Angaben der ermittelnden Experten bereits kompromittiert, über 200.000 Zugangsdaten wurden bei den Ermittlungen gefunden.

Die von Aladdin und dem Computer Emergency Response Team (CERT) geleitete Untersuchung erstreckt sich auf über 86 Länder, wobei weltweit auch Behörden involviert sind. Amit hat herausgefunden, dass mehr als 200.000 Server-Zugangsdaten auf einem kriminell betriebenen Server gelistet sind. Dank dieser Liste mit Zugangsdaten konnten von den Ermittlungsbehörden die betroffenen Websites identifiziert werden − einschließlich Internetauftritten von Regierungsbehörden, bekannten Universitäten, einigen „Fortune 500“-Unternehmen sowie führenden internationalen und lokalen Organisationen. Einige der betroffenen Unternehmen (Rüstungsindustrie und Regierungsbehörden) waren so heikel, dass diese sofort und direkt vor massiven Sicherheitsverletzungen gewarnt werden mussten.

107.000 Zugangsdaten gültig, 82.000 bereits missbraucht

Von den 200.000 Daten wurden fast 107.000 durch den kriminellen Server als gültig validiert. Fast 82.000 wurden mittlerweile benutzt, um Web Content so zu modifizieren, dass die Benutzer der zugehörigen Websites angegriffen werden können. Man geht davon aus, dass die verbleibenden 20.000 Daten bisher aufgehoben wurden, um mit anderen Online-Kriminalitäts-Organisationen Handel zu treiben. Ein späterer Einsatz in den Bereichen Business Intelligence und Online-Unternehmensspionage erscheint möglich.

Die Zugangsdaten sollen dazu verwendet werden, legitime Websites mit schädlichem Content zu bestücken − der wiederum von der Neosploit-Installation auf dem kriminellen Server geliefert wird. Amit hatte vor kurzem vor der Renaissance von Neosploit als führendem Crimeware-Toolkit gewarnt und den Zusammenhang zwischen der aktuellen Zunahme von PDF-Exploits und der Rückkehr von Neosploit belegt.

Mehrzahl der Ziele in Europa

Die Mehrzahl der Ziele liegt in Europa und die Mehrzahl der Nutzer dieses Servers muss europäischen kriminellen Vereinigungen zugerechnet werden. Dies lässt sich insofern bestimmen, als dass sich die internen Managementoberflächen für die Kompromittierung der FTP-Server und die Verwaltung anderer interner Prozesse auf ausgewählte IPs beschränken.

Anlaufstelle für eventuell betroffene Unternehmen

Aladdin arbeitet eng mit Behörden weltweit zusammen, um durch exakte Informationen die Situation besser einschätzen und kriminelle Server abschalten zu können. Da weder Strafverfolgungsbehörden noch CSIRT-Organisationen (Computer Security Incident Response Team) die riesige Anzahl der Betroffenen zu bewältigen vermögen, stellt Aladdin auch interne Ressourcen bereit. Hierüber sollen eingehende Anfragen bedient werden können, ob bestimmte Unternehmen auf der Liste der kompromittierten Websites vertreten sind.

Aladdin Knowledge Systems hat ein Web-Formular eingerichtet, über das Firmen abfragen können, ob Ihre Domains betroffen sind.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2016984 / Sicherheitslücken)