Der fehlgeschlagene OpUSA-Angriff als Demonstration der Handlungsweise der Hacker

Originalartikel von Chris Huang, Big Data Security Analyst

Der OpUSA-Angriff der letzten Woche richtete nur begrenzten Schaden an, keine der großen Websites wurde dabei kompromittiert. Doch demonstriert der Vorfall, wie Hacker vorgehen. Aufgrund der Daten aus dem Smart Protection Network und den Informationen, die die Hacker über Pastebin selbst lieferten, konnten die Trend Micro-Sicherheitsforscher die Operationen zum Teil nachvollziehen.

Es zeigte sich, dass die Angreifer wahrscheinlich eine Reihe kompromittierter Website schon vorher „gelagert“ hatten, sodass sie ohne Vorwarnung eine große Attacke starten konnten.

Die bei der OpUSA-Kampagne kompromittierten Sites wiesen bestimmte Muster in den URLs auf: Die Angreifer hatten häufig Dateien mit Namen wie islam.php, muslim.htm, jihad.htm und usa.htm auf die infizierten Seiten hochgeladen. Ein legitimer Besucher würde diese Seiten oder URLs nie ansteuern, denn sie waren getrennt von der Hauptseite, also praktisch versteckt.

Auch stellten die Experten fest, dass auf die URLs, die zu den Mustern passten, einen Tag vor dem tatsächlichen Angriff zugegriffen worden war (6. Mai) und dass die Sites bereits zwei Tage vor der Attacke am 7. Mai infiziert wurden. Das war ein Hinweis darauf, dass die erkannte Kommunikation wahrscheinlich bösartig war und möglicherweise von den Angreifern selbst stammte, die prüfen wollten, ob die Site noch am Netz ist.

Abbildung 1. Nahezu identische Listen kompromittierter Websites

Der Zugriff erfolgte nicht direkt, sondern über eine infizierte Maschine, die als Proxy diente. Auf einem solchen System wurden in den letzten dreißig Tagen 89 bösartige oder verdächtige Dateien entdeckt sowie der Zugriff auf 173 bösartige Websites. Also war das System bereits stark infiziert und von den Angreifern für verschiedene Zwecke mißbraucht worden.

Abbildung 2. Anzahl der entdeckten bösartigen Dateien

Dieser Sicherheitsvorfall zeigt, dass der Wahrheitsgehalt der Aussagen der Angreifer über den angerichteten Schaden mit Vorbehalt zu behandeln ist. Für Sicherheitsverantwortliche sind Kampagnen wie die OpUSA nicht immer ein guter Indikator für den Zeitpunkt der Bedrohungseskalation. Infektionen müssen vorher verhindert werden, damit die Angreifer keine Überraschungseffekte erzielen können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*