Die Sicherheitsexperten von McAfee haben eine Night Dragon getaufte Cyberattacke analysiert – und dabei halbwegs Besorgniserregendes festgestellt. Denn der Angriff nahm durch Malwareattacken gezielt Unternehmen aus der Öl-, Gas- und Chemieindustrie aufs Korn. Das Ziel: Absaugen von Projekt- und Finanzierungsplänen von Öl- und Gasfeldern. Für Wettbewerber sind solche detaillierten Planungen Unsummen wert. McAfee spricht davon, dass ein Abfluss solcher Daten die Energieindustrie weltweit beeinflussen könnte. Namen der betroffenen Unternehmen nennt McAfee nicht.

 

In einem Whitepaper und im Firmenblog beschreiben die Malwareforscher im Detail, wie die Cyber-Kriminellen im Einzelnen vorgegangen sind. Die Professionalität und der eindeutige Fokus auf einen Industriebereich lassen nur den Schluss zu, dass – ähnlich wie bei Stuxnet – eine hochspezialisierte Truppe hinter dem Angriff steckt. Wenngleich Night Dragon wahrscheinlich nicht politisch oder militärisch, sondern eine ausschließlich wirtschaftlich motiviert sein dürfte.

 

Die Hintermänner des Datenklaus will McAfee in China ausgemacht haben, den Betreiber der Command & Control-Infrastruktur sogar namentlich. Die identifizierte Person betreibt einen Web-Hosting-Service, der damit wirbt, keinerlei Aufzeichnungen zu behalten – und Server in den USA angemietet hat. Laut McAfee ist der C&C-Betreiber wahrscheinlich nicht der Kopf der Organisation, die Person steht aber wahrscheinlich in engem Kontakt zu den eigentlichen Drahtziehern.

 

Dem McAfee-Report zufolge begannen die Night Dragon zugerechneten Attacken im November 2009. Zum Einsatz kam das Best-of der modernen Cyber-Angriffe: Social Engineering, gezielte Phishing-Attacken (Spear Phishing), Missbrauch von Schwachstellen in Windows, Manipulationen des Active Directory der Opfer und bösartige Remote Administration Tools (RATs). RATs arbeiten ähnlich wie Citrix oder Windows Terminal Server und lassen einen Hacker aus der Ferne die infizierte Maschine vollkommen kontrollieren.

 

Eingestiegen sind die kriminellen Hacker dem Report zufolge über schlecht gesicherte Webserver der späteren Opfer. Per SQL-Injection verschafften sich die Angreifer Remotezugriff und luden dann gängige Hackertools auf die Maschinen hoch. Mit Hilfe dieser Tools schafften die Kriminellen dann den Übergang vom Extra- ins Intranet, wo sie Desktop-PCs und Server unter ihre Kontrolle brachten.

 

Anschließend wurde – wiederum mit gängigen Hackeranwendungen – Passworte geknackt und Passwort-Hashes mitgeschnitten, um noch mehr Nutzernamen und Passwörter einzusammeln. Diese wurden dann zum Einstieg in weitere Maschinen, auf denen sensible Informationen gespeichert waren, missbraucht. Zu Beginn mussten noch die eingangs gehackten Webserver als Behelfs-C&C-Server herhalten. Die Angreifer entdeckten dann aber, dass ein simples Ändern der Proxy-Einstellungen des Internet Explorers genügte, um Daten direkt an die eigenen C&C-Maschinen schicken zu können.

 

Zu guter letzt kam die RAT-Malware zum Einsatz. Mit dieser wurden die Rechner der Führungsetage aufs Korn genommen, um so an E-Mail-Archive und andere sensible Dokumente zu gelangen.

 

 

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.