Meldung

Schädling mit gestohlenem Zertifikat

Kaspersky Lab hat mehrere Infektionen eines bisher unbekannten Trojaners entdeckt, der vermutlich vom chinesischsprachigen Bedrohungsakteur 'LuckyMouse' stammt. Die Malware ist mit einem außergewöhnlichen Treiber ausgestattet, der mit einem legitimen digitalen Zertifikat eines Herstellers für Security-Software signiert ist.
Die Gruppe LuckyMouse ist laut Kaspersky Lab [1] bekannt für zielgerichtete Cyberangriffe auf große Unternehmen weltweit. Die Aktivitäten der Gruppe stellen eine Gefahr für ganze Regionen dar, da ihre Angriffe eine politische Agenda zu haben scheinen. Erst im vergangenen Juni hatte die Gruppe ein Datenzentrum in Zentralasien im Visier. Kaspersky Lab vermutet aus der Analyse der Opferprofile und der bisherigen Angriffsvektoren der Gruppe, dass der entdeckte Trojaner möglicherweise für staatlich unterstützte Cyberspionage eingesetzt wurde.

Der entdeckte Trojaner infizierte einen anvisierten Computer mit einem Treiber, der von den Bedrohungsakteuren selbst erstellt wurde. Damit konnten die Angreifer übliche Aufgaben wie Befehlsausführung, Down- und Upload von Dateien ausführen sowie den Netzwerkverkehr abfangen. Der Treiber wurde offenbar mit einem gestohlenen digitalen Zertifikat versehen, das ursprünglich von einem Softwarehersteller für Informationssicherheit stammt, um ihn als vertrauenswürdig einstufen zu lassen. Damit sollte verhindert werden, dass die Malware-Samples von Sicherheitslösungen entdeckt werden – eine legitime Signatur lässt die Malware als legale Software erscheinen.

Obwohl der Akteur LuckyMouse in der Lage ist, selbst eigene schädliche Software zu erstellen, wurde für die verwendete Software scheinbar eine Kombination aus öffentlich zugänglichem Code aus öffentlichen Quellen und eigener Malware verwendet. Der Einsatz von gebrauchsfertigen Codes von Drittanbietern, anstatt eigenen Code zu schreiben, spart den Entwicklern Zeit und erschwert zudem die Zuschreibung (Attribuierung).
11.09.2018/dr

Tipps & Tools

Diese Nachricht zerstört sich selbst [17.10.2018]

Nicht nur IT-Profis sind von der Tatsache fasziniert, wenn sich Nachrichten wie im Spionagefilm nach dem Lesen selbst zerstören. Mit dem Onlinedienst von 'privnote.com' können Sie genau diesen Effekt in der Realität nachbilden. Natürlich nur im virtuellen Sinn, schließlich handelt es sich hier um eine elektronische E-Mail-Nachricht und nicht ein sich mit Feuer und Flammen auflösendes Stück Papier wie bei James Bond. [mehr]

Zeitzone in Firefox manuell anpassen [12.10.2018]

In der Regel passen die auf dem Rechner laufenden Anwendungen das Datum und die Zeit über das Betriebssystem an. Für den Browser kann es jedoch sinnvoll sein, die Zeit manuell einzustellen, denn so lässt sich der physische Standort nicht mehr über die Datums-API ermitteln. Mit einem Add-on 'Change Timezone' für Firefox verhindern Sie die automatische Änderung und sorgen für ein anonymeres Surfen. [mehr]

Fachartikel

IT absichern trotz zunehmender Vernetzung [17.10.2018]

Vernetzung im Zuge von Industrie 4.0 betrifft nicht nur die Fabrik- oder Prozessautomatisierung, sondern auch Bereiche wie Smart Farming, Smart City und Smart Energy. Wer sich jedoch mit der Vernetzung bislang alleinstehender Komponenten beschäftigt, muss sich heute zwangsläufig mit IT-Sicherheit auseinandersetzen. Der Fachartikel liefert dazu umfangreiche Hintergrundinformationen und erklärt, warum eine ganzheitliche Betrachtung von IT-Sicherheit derzeit wichtiger denn je ist. [mehr]

Buchbesprechung

Praxisbuch IT-Dokumentation

von Manuela und Georg Reiss

Anzeigen