IT-Sicherheitsforscher des Unternehmens Mandiant haben die Angreifergruppe "UNC3524" entdeckt. Die Gruppe soll Unternehmen über lange Zeiträume von bis zu 18 Monaten ausspioniert und deren E-Mails mitgelesen haben. Bei der Durchführung der Angriffe sollen die Angreifer einige besondere Vorgehensweisen eingesetzt haben.

Primäres Angriffsziel von UNC3524 seien Geräte gewesen, die typischerweise weniger überwacht werden, weniger Sicherheitsupdates erhalten und für die keine spezielle Sicherheitssoftware bereitstehe. Unter anderem seien Backdoors auf SAN Arrays (Storage Area Network), Load Balancern und Controllern für WLANs installiert worden. Die Systeme seien anschließend Ausgangspunkt für weitere Angriffe im Firmennetz gewesen.

Auch die Backdoor Quietexit, welche das verschlüsselnde SSH-Protokoll und eine modifizierte Version der Open-Source-Software Dropbear nutzt, wurde von UNC3524 eingesetzt. Einen zweiten Zugriffsweg bildete dabei die Webshell Regeorg, die die erneute Installation von Quietexit, nachdem es entfernt wurde, ermöglicht haben soll. Bei den weiteren Angriffen seien insbesondere Zugangsdaten zu Exchange-Postfächern angezielt worden, welche später zum Sammeln von E-Mails verwendet wurden.

Bislang sei unbekannt, wie die Täter anfänglich in die Netze eingedrungen sind. Mandiant stuft UNC3524 aufgrund der Kompotenz insgesamt als Advanced Persistent Threat (APT) ein. Weitere Informationen können Sie im Heise-Beitrag nachlesen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE