MessageLabs Intelligence analysiert jüngste Welle von gezielten Angriffen

13 neue Trojaner nehmen Fokus auf Olympia

(08.05.08) - Athleten und Hacker aus aller Welt teilen sich seit Neuestem ein Thema - die Olympischen Spiele in Beijing. MessageLabs präsentiert neue Analysen mit Bezug auf die jüngsten gezielten Trojaner-Angriffe.

In den letzten sechs Monaten hat MessageLabs 13 verschiedene Angriffe mit Olympia-Bezug identifiziert, die in mehreren datenintensiven Branchen erfolgt sind. Mit legitim klingenden E-Mail-Betreffzeilen wie “The Beijing 2008 Torch Relay” ("Der Fackelstaffellauf zu Beijing 2008“) und “National Olympic Committee and Ticket Sales Agents” ("Nationales Olympisches Komitee und Ticket-Verkauf“) versuchen viele der Angriffe den Eindruck zu erwecken, dass das Internationale Olympische Komitee in Lausanne der Absender ist. Ein Blick auf die IP-Adressen verrät jedoch die gefälschten olympischen Botschaften, die bis auf eine alle ihren Ursprung im asiatisch-pazifischen Raum haben.

Gezielte Trojaner werden gewöhnlich auf Einzelpersonen innerhalb eines Unternehmens angesetzt, um Netzwerke zu Spionagezwecken zu infiltrieren. Im Gegensatz zum Massenversand einiger anderer Malware-Typen handelt es sich bei diesen gezielten Angriffen zumeist um eine kleine Stückzahl. Oft kommen Social-Engineering-Techniken wie etwa Personalisierung zum Einsatz, um den Empfänger dazu zu verleiten, die E-Mail und das Attachment zu öffnen.

Neue Datei-Formate als Malware-Vehikel sollen Entdeckung verhindern

Hacker weichen zudem immer wieder auf neue Datei-Formate aus, um ihre Malware zu verbreiten und eine Aufspürung durch herkömmliche Anti-Virus-Mechanismen zu unterlaufen. Auch werden oft harmlose und gängige Attachment-Typen verwendet, die üblicherweise nicht geblockt werden. In den neuesten Fällen kommen häufig Microsoft Office Database (MDB)-Dateien zum Einsatz, die gewöhnlich in ZIP-Dateien eingebettet sind. Sobald der Download einer MDB-Datei erfolgt ist, setzt der MDB Exploit eine EXE-Datei zur Datenspionage auf der Festplatte aus. MessageLabs geht davon aus, dass die Hacker in den kommenden Jahren ihre Taktik variieren und auch Formate wie 1 Byte XOR Key, Multiple XOR Keys sowie ROR, ROL, ADD und SUB für ihre Zwecke missbrauchen werden.

Alex Shipp, Senior Anti Virus Technologist und Imagineer bei MessageLabs, warnt Unternehmen und Institutionen vor diesen unheilvollen Trends: "Diese Angriffe zielen sehr genau auf Organisa-tionen, die höchst vertrauliche und wertvolle Daten vorhalten, wie etwa Militär und Regierungs-einrichtungen. Die Annahme, dass man nicht angegriffen wurde, kann trügerisch sein. Eine schädliche EXE-Datei kann mehrere Monate unentdeckt bleiben, während in der Zwischenzeit bereits kritische Informationen abgeflossen sind. Unternehmen müssen vor dieser neuen Generation skrupelloser Hacker wirksame Geschütze auffahren. Denn die Hacker 3.0 werden vor nichts zurückschrecken, um ihre Ziele zu erreichen." (MessageLabs: ma)