Malware Infy

Virenjäger torpedieren Command-and-Control-Infrastruktur

| Redakteur: Stephan Augsten

Virenjäger von Palo Alto Networks haben die Initiative ergriffen und ein lange bestehendes Spionage-Netzwerk gelähmt.
Virenjäger von Palo Alto Networks haben die Initiative ergriffen und ein lange bestehendes Spionage-Netzwerk gelähmt. (Bild: Archiv)

Über Jahre zog sich offenbar eine Spionagekampagne mit der Malware Infy hin. Die Command-and-Control-Infrastruktur konnte nun aber weitgehend von der Unit 42, dem Malware-Analyseteam von Palo Alto Networks, zerschlagen werden.

Anfang Mai hat die Unit 42 über Infy, eine zuvor unbekannte Malware-Familie, berichtet. Seit 2007 soll der Schadcode zum Einsatz gekommen und im Laufe der Jahre immer wieder verbessert worden sein. Die mit Infy lancierte Cyberspionage-Kampagne betraf offenbar vornehmlich Bürger im Iran, zielte aber auch auf Regierungsbehörden und Industrieunternehmen weltweit ab.

In den Wochen nach der Bekanntgabe haben die Forscher der Unit 42 eine Zusammenarbeit mit den Betreibern der C&C-Domains (Command & Control) initiiert. Diese Domains wurden von den Angreifern verwendet, um die mit Infy infizierten Computer zu steuern. Durch die Zusammenarbeit gelang es schließlich, die Kontrolle über mehrere der verwendeten C&C-Domains zu gewinnen.

Die Virenjäger leiteten den Datenverkehr von den Opfern zu einem eigens aufgesetzten Sinkhole-Server. Dadurch konnten die Forscher den Zugriff der Angreifer auf ihre Opfer unterbinden und erhielten nähere Hinweise auf die Opfer, die benachrichtigt werden konnten. Die Überwachung des Sinkhole-Servers wurde dann an die Shadowserver Foundation übertragen.

Die Industriegruppe beobachtet Botnets und arbeitet mit ISPs und anderen Parteien zusammen, um die Opfer zu benachrichtigen. Durch das Sinkholing der C&C-Infrastruktur konnte die Unit 42 unterbinden, dass die Hacker weiterhin Daten von den Opfern stehlen. Die Hacker haben bereits bemerkt, dass etwas nicht stimmt, ihre eigenen Gegenmaßnahmen hatten laut Palo Alto Networks bislang aber keinen Erfolg.

Eine besonders fokussierte Attacke

Die Forscher beobachteten 326 Infy-infizierte Computer in 35 Ländern, wobei fast die Hälfte davon in Iran lokalisiert wurde. Dies deutet darauf hin, dass es die Hacker-Gruppe vor allem auf iranische Bürger abgesehen hatte, vermutlich für Überwachungszwecke.

Die Gesamtzahl der Opfer ist im Vergleich zu anderen Cybercrime-Kampagnen relativ gering. Dies sei aber nicht ungewöhnlich für gezielte Cyberspionage-Operationen, merkt Palo Alto Networks an. Etwa 50 Prozent der Opfer seien sowohl mit Infy als auch mit der Variante Infy M infiziert gewesen. Dies deute darauf hin, dass diese Opfer als hochwertige Ziele eingestuft wurden, denen man mehr Aufmerksamkeit zuteil kommen ließ.

„Es ist wahrscheinlich, dass die Infy-Gruppe zukünftig mit neuen Angriffsaktionen zurückkehren wird“, lässt die Unit 42 verlauten, „aber es wird für die Akteure nicht einfach sein, ihre Infrastruktur wieder aufzubauen.“ Palo Alto Networks hat bereits Indikatoren der Kompromittierung und Hashes von Infy-Samples geteilt. Die Angreifer müssten ihre komplette Operation neu gestalten, wenn sie in Zukunft unentdeckt bleiben wollen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44148905 / Malware)