Empfohlen, 2019

Tipp Der Redaktion

Forscher demontieren jahrzehntelange iranische Cyberspionage-Operation

Die von einer iranischen Cyberspionage-Gruppe zur Kontrolle infizierter Computer auf der ganzen Welt genutzte Infrastruktur wurde von Sicherheitsforschern entführt.

Forscher von Palo Alto Networks haben Anfang dieses Jahres die Aktivitäten der Gruppe kennengelernt, konnten aber nachweisen, dass sie seither aktiv ist Das Hauptinstrument ist ein benutzerdefiniertes Malware-Programm namens Infy, das im Laufe der Jahre immer wieder verbessert wurde.

Die Forscher haben mit Domain-Registraren zusammengearbeitet, um die von den Angreifern benutzten Domänen zu nutzen, um infy-infizierte Computer zu kontrollieren und Opfer zu lenken "Verkehr zu einem Sinkhole-Server - ein Server, den die Forscher kontrollierten.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Die Kontrolle über den Server wurde dann an die Shadowserver Foundation übertragen, eine Industriegruppe, die Botnetze aufspürt und mit ISPs und anderen Parteien zusammenarbeitet, um Opfer zu benachrichtigen.

Durch die Sinkholing der Command-and-Control (C2) -Infrastruktur wurden die Hacker eliminiert "Die Fähigkeit, Daten von Opfern zu stehlen, was sie erfolglos zu korrigieren versucht haben, als sie etwas bemerkt haben."

Die Palo Alto-Forscher beobachteten 326 Infy-infizierte Computer in 35 Ländern, von denen sich fast die Hälfte im Iran befindet. Dies deutet darauf hin, dass sich die Hackergruppe möglicherweise zu Überwachungszwecken auf iranische Bürger konzentrierte.

Die Gesamtzahl der Opfer ist im Vergleich zu cyberkriminellen Kampagnen relativ gering, aber nicht ungewöhnlich für Cyberspionageoperationen, die per Definition auf die Natur ausgerichtet sind.

Etwa 50 Prozent der Opfer waren sowohl mit Infy als auch mit Infy M infiziert, einer neueren und leistungsfähigeren Variante der Malware, was darauf hindeutet, dass es sich bei diesen Opfern möglicherweise um hochwertige Ziele handelt, die mehr Aufmerksamkeit erfordern.

Es ist wahrscheinlich die Infy-Gruppe wird in Zukunft mit neuen Angriffskampagnen zurückkehren, aber es wird nicht einfach sein, ihre Infrastruktur neu aufzubauen. Es wird sich wahrscheinlich auch als schwierig erweisen, die gleichen Ziele erneut zu bekämpfen, vor allem seit Shadowserver Opfer benachrichtigt hat.

Palo Alto Networks hat Indikatoren für Kompromittierung und Infly-Sample-Hashes geteilt, damit die Angreifer ihre gesamte Operation neu gestalten müssen, wenn sie bleiben wollen in der Zukunft unentdeckt.

Top