- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Aktivitäten der Hackergruppe Callisto


Hackergruppe Callisto sammelte mit Hilfe von für Strafverfolgungsbehörden entwickelter Spyware nachrichtendienstliche Informationen über Außen- und Sicherheitspolitik in Osteuropa
Dass sich Hacker hochwertige Spyware auf Regierungsniveau aneignen konnten, sollte niemanden überraschen

- Anzeigen -





Einem Bericht der F-Secure Labs zufolge hat eine bis dato noch unbekannte Hackergruppe in den letzten Jahren aktiv nachrichtendienstliche Informationen über die Außen- und Sicherheitspolitik in Osteuropa und dem südlichen Kaukasus gesammelt. Der Bericht beschreibt die Callisto Gruppe als hoch motivierte und ressourcenstarke Hacker und ernst zu nehmende Bedrohung, die seit mindestens 2015 Cyberattacken auf Militärpersonal, Regierungsangestellte, Journalisten und Think Tanks durchgeführt hat.

Callisto war laut dem Bericht für eine Reihe von Cyberangriffe in 2015 und 2016 verantwortlich. Und obwohl deren Opfer nicht spezifisch genannt werden, identifiziert der Bericht eine klare Gemeinsamkeit unter den Zielen der Gruppe. Die angegriffenen Personen und Organisationen standen alle in Verbindung zur Außen- und Sicherheitspolitik in Osteuropa und dem südlichen Kaukasus, was Informationsdiebstahl als Motiv der Angriffe nahelegt.

Obwohl F-Secure Labs in Callistos Infrastruktur klare Verbindungen zu Organisationen in Russland, der Ukraine und China feststellte, konnte kein definitives Urteil darüber gefällt werden, wer genau hinter der Gruppe steht. Weiterhin hebt der Bericht hervor, dass es zwar Beweise für eine Verbindung zu einem Nationalstaat gibt, die genaue Art dieser Beziehung aber unklar bleibt.

"Ihre Vorgehensweise erinnert an staatlich-sanktionierte Angreifer, aber gleichzeitig fanden wir auch Beweise, die Callisto mit kriminellen Infrastrukturen in Verbindung brachten", sagt Sean Sullivan Sicherheitsberater bei F-Secure. "Demnach könnten sie eine unabhängige Gruppe sein, die im Auftrag einer Regierung handelt, oder eigenständig mit dem Ziel agiert, die gestohlenen Informationen an Regierungen oder Nachrichtendienste zu verkaufen. Doch das sind nur zwei von vielen möglichen Erklärungen und nach der momentanen Beweislage können wir noch kein endgültiges Urteil fällen."

Neben den Zielen und Motiven der Callisto-Gruppe, erklärt der Bericht auch die Angriffsstrategie, mit der die Hacker ihre Ziele unterwandern. Demzufolge bedient sich Callisto sowohl gezielten Phishing-Angriffen, um Anmeldedaten für E-Mail-Konten zu stehlen, als auch hoch personalisierten und sehr überzeugenden Spear-Phishing-E-Mails, die ihre Ziele mit Malware infizieren sollen. Verschickt wurden diese Spear-Phishing-E-Mails dabei oft von durch vorherige Phishing-Angriffe der Gruppe kompromittierte E-Mail-Konten.

Die auf diesem Weg übertragene Malware ermöglichte es den Angreifern, Informationen zu stehlen und weitere Malware zu installieren. Laut dem Bericht handelt es sich bei dieser Malware um eine Variante des Scout Tools der italienischen Überwachungsfirma HackingTeam. Das Scout-Tool war Teil des von HackingTeam an staatliche Organisationen verkauften Spyware-Toolsets, das in 2015 von Hackern gestohlen und online veröffentlicht wurde.

"Dass sich Hacker hochwertige Spyware auf Regierungsniveau aneignen konnten, sollte niemanden überraschen," sagt Erka Koivunen, Chief Information Security Officer F-Secure, für den Callistos Verwendung der für Strafverfolgungsbehörden entwickelten Spyware deutlich daran erinnert, welche Gefahren von Überwachungstechnologien ausgehen können.

"Überwachungs-Tools wie Scout sind von Grund auf dafür entwickelt worden, es Regierungen zu erlauben, die Privatsphäre ihrer Bevölkerung zu verletzen. In einer funktionierenden Demokratie werden diese Verletzungen von Gesetzen reguliert, und die Leute vertrauen dem Staat, solche Mittel verantwortungsvoll und nur unter strengster Kontrolle zu verwenden. Doch Datenschutzverletzungen und die folgende Verbreitung von professioneller Überwachungstechnologie im Netz eröffnet dieselben invasiven Möglichkeiten auch einer Vielzahl von Bedrohungsakteuren. Regierungen dürfen nicht vergessen, dass wir kein Monopol auf diese Technologien haben, und Söldner, feindliche Staaten und andere Bedrohungsakteure werden nicht zögern, die volle Macht dieser Überwachungstechnologien auch gegen uns einzusetzen."

Der Bericht erinnert, dass die Gruppe immer noch aktiv ist, und es sei ungewiss, wie sie auf ihre Enthüllung reagieren wird. Er beinhaltet außerdem eine Reihe von Indikatoren zur Erkennung existierender Datenschutzverletzungen und Ansätze zur Risikominderung für potenzielle Ziele, die derartige Angriffe durch die Callisto-Gruppe oder ähnliche Bedrohungen befürchten. F-Secure Produkte bedienen sich momentan verhaltensbasierter, allgemeiner und weiterer Erkennungsmethoden, um Nutzer vor den Aktivitäten der Callisto-Gruppe zu schützen. (F-Secure: ra)

eingetragen: 18.04.17
Home & Newsletterlauf: 24.04.17


F-Secure: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Lua: Flexibilität durch Modularität

    Eset hat eine neue Malware-Familie entdeckt, die es auf GNU/Linux-Systeme abgesehen hat. Ähnlich wie andere Malware nutzt Linux/Shishiga zur Verbreitung schwache Telnet- und SSH-Anmeldeinformationen aus. Neu ist allerdings die Verwendung des BitTorrent-Protokolls sowie der Skriptsprache Lua. Die Malware verwendet Lua wegen ihrer Flexibilität durch Modularität sowie vier verschiedene Protokolle: SSH, Telnet, HTTP und BitTorrent. Letzteres wurde bereits vergangenes Jahr im vom Mirai-Botnet inspirierten Wurm Hajime genutzt. Die Forscher von Eset gehen davon aus, dass BitTorrent sich in Zukunft zunehmender Beliebtheit bei Malware-Entwicklern erfreuen wird.

  • Botfrei warnt vor Phishing-SMS

    Zahlreiche Nutzer in Deutschland erhielten im April gefälschte SMS. Diese gaben vor, vom Freemailing-Anbieter GMX zu stammen. Doch tatsächlich verbreiteten Cyberkriminelle massiv diese Kurznachrichten mit dem Ziel, Nutzernamen und Passwörter für das E-Mail-Konto der Kunden auszuspionieren. Einen Hinweis darauf, dass hier Cyberkriminelle am Werk sind, lieferten unter anderem die Rechtschreibfehler im SMS-Text: "Ihr Konto wurde im Prüfungsprozess nicht freigegeben. Um die Aussetzung zu vermeiden melden Sie sich bitte bei Ihrem Konto an: hxxp://anmelden.gmx-dc.com/"

  • ATMitch-Fall vervollständigt das Bild

    Als Bankangestellte einen ausgeraubten Geldautomaten vorfanden, ohne erkennbare Spuren physischer Gewaltanwendung oder Malware, standen sie vor einem Rätsel. Die Experten von Kaspersky Lab konnten jetzt in einer zeitaufwendigen Untersuchung die Vorgehensweise der Cyberkriminellen aufdecken: nach einem "fileless" Einbruch ins Banknetzwerk lassen sich mit der Malware ATMitch Geldautomaten in sekundenschnelle und ohne wirklich nachzuverfolgende Spuren ausrauben. Kaspersky Lab veröffentlichte im Februar 2017 einen Bericht über mysteriöse Attacken gegen Banken, die "fileless" beziehungsweise dateilos durchgeführt wurden. Dabei griffen Cyberkriminelle Netzwerke von Banken mit im Speicher versteckter Malware an. Es stellte sich damals die Frage nach dem wahren Grund der Attacken. Der ATMitch-Fall vervollständigt nun das Bild.

  • Turla-Malware wird stetig weiterentwickelt

    Seit geraumer Zeit attackiert die Cyberspionage-Gruppe, die hinter der Turla-Kampagne steckt, immer wieder hochrangige Institutionen in Europa und den USA. Malware Forscher von Eset haben jetzt eine neue Version der Backdoor Carbon entdeckt, die zur Grundausrüstung der Turla-Gruppe gehört. Die Ergebnisse der Analyse präsentiert Eset in einem ausführlichen Bericht. Die Turla-Gruppe entwickelt ihre Malware konstant weiter: In den drei Jahren Entwicklungszeit von Carbon konnten Eset Forscher bis dato acht aktive Versionen identifizieren. Zudem geht die Gruppe bei ihren Angriffen sehr umsichtig vor. Zunächst werden die Systeme potenzieller Opfer ausspioniert, bevor ausgefeilte Tools wie Carbon zum Einsatz kommen.

  • Keine harmlose Erweiterungen im Google Web Store

    Eset beobachtet eine zunehmende Bedrohung durch Malware, die den Webbrowser Chrome kompromittiert. Die Malware leitet den Browser des Benutzers auf eine Webseite um, die schädliche Inhalte enthält. Eset erkennt die Malware als JS/Chromex.Submelius und informiert über die Funktionsweise ausführlich in einem Blogpost. Die Security-Experten von Eset haben die Malware unter anderem auf Webseiten entdeckt, über die Filme online gestreamt werden können. Beim Klick auf eine Wiedergabe-Option öffnet sich fast unbemerkt ein neues Fenster im Browser. Das Pop-Up ist jedoch nicht einfach nur Werbung, sondern blendet einen Warnhinweis ein, der dafür sorgt, dass der Nutzer das Fenster nicht schließen kann. Er wird gezwungen, auf "akzeptieren" zu klicken und wird damit in den Chrome Web Store weitergeleitet. Hier werden dem Nutzer scheinbar harmlose Chrome Erweiterungen wie "Video Downloader Plus" oder "Cursor Bubble" angeboten. Fügt er diese Erweiterung jedoch zu Chrome hinzu, wird sein Browser kompromittiert.