Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Angriffe gegen Industrie und Ingenieurswesen: ‚Operation Ghoul‘ auch in Deutschland

Der Anbieter von Lösungen für IT-Sicherheit Kaspersky Lab haben eine neue Cyber-Angriffswelle aufgedeckt. Ziel der Kriminellen ist es offenbar, sensible Daten aus Organisationen abzugreifen, um sie dann auf dem Schwarzmarkt zu verkaufen.

Kaspersky Lab hat eine neue Welle zielgerichteter Angriffe gegen Organisationen aus den Bereichen Industrie und Ingenieurswesen entdeckt. Die Kriminellen greifen mittels Spear-Phishing-E-Mails und Malware auf Basis eines käuflich verfügbaren Spyware-Kits an und haben es auf wertvolle Unternehmensdaten innerhalb der anvisierten Netzwerke abgesehen, die anschließend auf dem Schwarzmarkt verkauft werden.

Hauptmotiv der 'Operation Ghoul' ist finanzieller Profit. Die dahinter stehenden Angreifer haben vermutlich noch weitere Aktionen durchgeführt und sind immer noch aktiv. Bisher wurden über 130 Organisationen in 30 Ländern weltweit angegriffen – darunter Spanien, Pakistan, Vereinigte Emirate, Indien, Ägypten, Großbritannien, Deutschland und Saudi-Arabien.

Manager bekommen Post

Im Juni 2016 haben Mitarbeiter von Kaspersky Lab eine Reihe Spear-Phishing-E-Mails mit schädlichen Anhängen entdeckt. Diese E-Mails wurden in erster Linie an Manager in höheren und mittleren Positionen in zahlreichen Unternehmen verschickt. Die von den Angreifern versendeten E-Mails schienen von einer Bank aus den Vereinigten Arabischen Emiraten zu stammen. Sie sahen wie eine Zahlungsaufforderung der Bank mit einem angehängten SWIFT-Dokument aus, das in Wahrheit aber Malware enthielt.

Weitere Nachforschungen ergaben, dass die Spear-Phishing-Kampagne höchstwahrscheinlich von einer Gruppe Cyberkrimineller organisiert wurde, welche IT-Sicherheitsexperten seit März 2015 beobachten. Die Angriffe im Juni scheinen die neuesten Attacken der Gruppe zu sein.

Spyware aus dem Darknet

Die Malware in den E-Mail-Anhängen basiert auf der kommerziellen 'Hawkeye'-Spyware, die im Darknet verkauft wird und verschiedene Tools für die Angreifer enthält. Nach der Installation beziehungsweise Infektion werden relevante Daten vom Computer des Opfers gesammelt wie Tastenanschläge, Daten aus dem Zwischenspeicher, FTP-Server-Anmeldeinformationen, Kontodaten aus Browsern, Kontodaten von Messengern (Paltalk, Google talk, AIM et cetera), Kontodaten von E-Mail-Programmen (Outlook, Windows Live Mail et cetera) oder Informationen über installierte Anwendungen (Microsoft Office).

Diese Daten werden an die Command-and-Control-Server (C&C) der Hintermänner geschickt. Basierend auf den Informationen, die von einer 'Sinkhole'-Aktion dieser Server stammen, kommt der Großteil der Opfer aus den Bereichen Industrie und Ingenieurswesen. Weitere attackierte Organisationen finden sich in den Bereichen Transport, Pharmazie, Produktion, Handel und Bildung.

Hauptmotiv: Profit

"In der alten Folklore ist der Ghoul (dt. Ghul) ein böses Fabelwesen, das menschliches Fleisch frisst und Jagd auf Kinder macht. Ursprünglich war es ein Dämon aus Mesopotamien. Heutzutage wird dieser Begriff manchmal auch für habgierige oder materialistische Personen verwendet", erklärt Mohammad Amin Hasbini, Sicherheitsexperte bei Kaspersky Lab.

"Dies ist eine ziemlich genaue Beschreibung der Gruppe hinter der Operation Ghoul. Denn ihr Hauptmotiv ist finanzieller Profit, der entweder durch den Verkauf von gestohlenem geistigen Eigentum und Business Intelligence entsteht, oder durch Angriffe auf Bankkonten. Anders als staatlich-finanzierte Akteure, die ihre Ziele sorgfältig auswählen, könnte jedes Unternehmen Opfer dieser Gruppe sein. Auch wenn sie ziemlich einfache bösartige Tools verwenden, sind ihre Attacken doch sehr effektiv. Unternehmen, die solche Attacken nicht erkennen, werden sehr darunter leiden."

Einige Sicherheitstipps

Kaspersky Lab gibt folgende Sicherheitstipps:

– Mitarbeiterschulungen, um Spear-Phishing-Mails oder Phishing-Links von echten Mails und Links unterscheiden zu können

– IT-Sicherheitslösungen für Unternehmen sollten mit Speziallösungen kombiniert werden. So werden Angriffe durch Analyse von Netzwerkanomalien erkannt

– Das IT-Sicherheitspersonal sollte Zugang zu den neuesten Informationen über Cyberbedrohungen – zum Beispiel über Threat Data Feeds – erhalten, um gezielte Angriffe vorzubeugen und entdecken zu können. Hierzu gehören Kompromittierungsindikatoren oder YARA-Regeln.

(Quelle:Kaspersky Lab)


Das könnte Sie auch interessieren:

Artschwager und Kohl hat die Standardsoftware MIRconnect auf den Markt gebracht. Nach Installation und Konfiguration soll der Konnektor einsatzfähig sein.‣ weiterlesen

Selbst kleinere Betriebe rationalisieren ihre Abläufe immer häufiger mit leistungsfähigen ERP-Lösungen. Die Anforderungen an diese Systeme unterscheiden sich zwar je nach Ausrichtung und Branche teils deutlich. Aber die Maßnahmen, um den Erfolg der Einführung abzusichern, bleiben gleich. Marco Mancuso von der SOU AG schildert, welche das sind.‣ weiterlesen

Jeden Tag produzieren unzählige Fertigungen ihre Bauteile mit dem modularen Montagesystem MMS von Kemmler + Riehle. Weiterentwickelt wird das Profilsystem mit dem CAD-System PTC Creo Elements/Direct. Mit der Datenverwaltung Phoenix/PDM von Orcon stehen jedem Nutzer 3D-Daten zur Verfügung.‣ weiterlesen

Die Sievers-Group stellt auf der Logimat 2020 neue Module zur softwaregestützten Lagerlogistik vor. In Halle 8 an Stand B62 können sich Messebesucher etwa SNC/Mobile für eine mobile und papierlose Ausführung von Arbeitsschritten anschauen.‣ weiterlesen

Die Simulationsexperten von SimPlan fahren mit dem neuen Tool 'CAD Is The Model' zur Logimat (Halle 8, Stand B06). Damit können sogenannte 'Aspects' zur Beschreibung des Verhaltens einer Anlagenkomponente wie Maschinen, Roboter oder Handlingssysteme bereits im CAD-System definiert und an die Simulationssoftware übergeben werden.‣ weiterlesen

Bis vor ein paar Jahren waren Fahrerlose Transportsysteme (FTS) nur in Lagern, Automobilmontagewerken und anderen Betrieben mit großer Grundfläche zu finden. Doch nach einigen technologischen Innovationen sind die Systeme zunehmend auch für kleine und mittlere Unternehmen interessant. Ein Überblick.‣ weiterlesen

Noch sind viele technisch-wissenschaftliche und gesellschaftliche Fragen zu autonomen Systemen offen. Einen Beitrag zum Diskurs leistet die Reihe 'Künstliche Intelligenz und autonome Systeme' der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik. Diesmal befragt die Arbeitsgemeinschaft 'Autonome Systeme' Dr. Christine Maul und Professor Klaus Dieter Sommer dazu, wie nachvollziehbar sich ein autonomens System verhalten sollte.‣ weiterlesen

Die PSI Logistics GmbH aus Berlin präsentiert auf der Logimat in Halle 8, Stand D70 erstmals die PSI Logistics Suite im Release 2020.‣ weiterlesen

Stäubli WFT präsentiert auf der Logimat in Halle 7, Stand C09 die Transportlösung WFTFL. Hinter dem Kürzel verbirgt sich ein automatisiert fahrender, kompakter Gegengewichtsstapler zur automatisierten Materialversorgung.‣ weiterlesen

Inform zeigt auf der Logimat die junge Plattform SyncroSupply Central. Die Lösung soll als Entscheidungsintelligenz für die Transportlogistik dienen.‣ weiterlesen

Sprachsteuerung kann bei der Bedienung einer Maschine oder eines Computers nützlich sein, wenn beispielsweise keine Hand frei ist. Dabei ist zwischen Online- und Offline-Geräten zu unterscheiden. Letztere bieten den Vorteil, dass sie auch ohne Netzabdeckung funktionieren.‣ weiterlesen

Anzeige
Anzeige
Anzeige