Suchen

Malware Infy Virenjäger torpedieren Command-and-Control-Infrastruktur

| Redakteur: Stephan Augsten

Über Jahre zog sich offenbar eine Spionagekampagne mit der Malware Infy hin. Die Command-and-Control-Infrastruktur konnte nun aber weitgehend von der Unit 42, dem Malware-Analyseteam von Palo Alto Networks, zerschlagen werden.

Firmen zum Thema

Virenjäger von Palo Alto Networks haben die Initiative ergriffen und ein lange bestehendes Spionage-Netzwerk gelähmt.
Virenjäger von Palo Alto Networks haben die Initiative ergriffen und ein lange bestehendes Spionage-Netzwerk gelähmt.
(Bild: Archiv)

Anfang Mai hat die Unit 42 über Infy, eine zuvor unbekannte Malware-Familie, berichtet. Seit 2007 soll der Schadcode zum Einsatz gekommen und im Laufe der Jahre immer wieder verbessert worden sein. Die mit Infy lancierte Cyberspionage-Kampagne betraf offenbar vornehmlich Bürger im Iran, zielte aber auch auf Regierungsbehörden und Industrieunternehmen weltweit ab.

In den Wochen nach der Bekanntgabe haben die Forscher der Unit 42 eine Zusammenarbeit mit den Betreibern der C&C-Domains (Command & Control) initiiert. Diese Domains wurden von den Angreifern verwendet, um die mit Infy infizierten Computer zu steuern. Durch die Zusammenarbeit gelang es schließlich, die Kontrolle über mehrere der verwendeten C&C-Domains zu gewinnen.

Die Virenjäger leiteten den Datenverkehr von den Opfern zu einem eigens aufgesetzten Sinkhole-Server. Dadurch konnten die Forscher den Zugriff der Angreifer auf ihre Opfer unterbinden und erhielten nähere Hinweise auf die Opfer, die benachrichtigt werden konnten. Die Überwachung des Sinkhole-Servers wurde dann an die Shadowserver Foundation übertragen.

Die Industriegruppe beobachtet Botnets und arbeitet mit ISPs und anderen Parteien zusammen, um die Opfer zu benachrichtigen. Durch das Sinkholing der C&C-Infrastruktur konnte die Unit 42 unterbinden, dass die Hacker weiterhin Daten von den Opfern stehlen. Die Hacker haben bereits bemerkt, dass etwas nicht stimmt, ihre eigenen Gegenmaßnahmen hatten laut Palo Alto Networks bislang aber keinen Erfolg.

Eine besonders fokussierte Attacke

Die Forscher beobachteten 326 Infy-infizierte Computer in 35 Ländern, wobei fast die Hälfte davon in Iran lokalisiert wurde. Dies deutet darauf hin, dass es die Hacker-Gruppe vor allem auf iranische Bürger abgesehen hatte, vermutlich für Überwachungszwecke.

Die Gesamtzahl der Opfer ist im Vergleich zu anderen Cybercrime-Kampagnen relativ gering. Dies sei aber nicht ungewöhnlich für gezielte Cyberspionage-Operationen, merkt Palo Alto Networks an. Etwa 50 Prozent der Opfer seien sowohl mit Infy als auch mit der Variante Infy M infiziert gewesen. Dies deute darauf hin, dass diese Opfer als hochwertige Ziele eingestuft wurden, denen man mehr Aufmerksamkeit zuteil kommen ließ.

„Es ist wahrscheinlich, dass die Infy-Gruppe zukünftig mit neuen Angriffsaktionen zurückkehren wird“, lässt die Unit 42 verlauten, „aber es wird für die Akteure nicht einfach sein, ihre Infrastruktur wieder aufzubauen.“ Palo Alto Networks hat bereits Indikatoren der Kompromittierung und Hashes von Infy-Samples geteilt. Die Angreifer müssten ihre komplette Operation neu gestalten, wenn sie in Zukunft unentdeckt bleiben wollen.

(ID:44148905)