Kontrollserver auch in Deutschland: Detaillierte Analyse der Aurora-Attacke

Die eher unbekannte IT-Sicherheitsfirma Damballa hat eine ausführliche Analyse zur Malware Hydraq veröffentlicht, die beim so genannten Aurora-Exploit genutzt wurde. Der komplette Bericht ist 31 Seiten lang und beleuchtet verschiedene Aspekte zur Malware, zur Angriffsweise und zur Identität der möglichen Hintermänner. Auch wenn Aurora erstmals im Januar 2010 für Aufsehen sorgte, so geht Damballa davon aus, dass die ersten Angriffswellen im Juli 2009 starteten. Der Ursprung sei in China, so die Forscher weiter. Außerdem interessant: Zwar waren die Systeme nahezu weltweit verteilt, allerdings gibt es Hinweise, dass Daten nur von amerikanischen PCs abgegriffen wurden.

Die Hintermänner haben für den Aurora-Angriff mehrere voneinander unabhängige Botnets mit eigenen Kommando-Servern betrieben. Auch in Deutschland habe es laut den Forschern Aurora-Botnets samt passenden Kontrollservern gegeben. Die Kriminellen hätten für die Kontrolle der infizierten Rechner auf die Dynamic-DNS-Technik gesetzt, laut Damballa wird diese selten von Botnet-„Profis“ verwendet und deutet auf Anfänger hin. Der komplette Bericht kann hier kostenlos als PD heruntergeladen werden.

Unter dem Begriff Operation Aurora wird eine Attacke auf verschiedene Firmen zusammengefasst. Mit Hilfe einer Zero-Day-Attacke konnten sich die derzeit noch unbekannten Angreifer über den Internet Explorer Zugriff zu den Attackierten Systemen verschaffen. Zu den Opfern der Attacke zählen prominente Namen wie Google und Adobe. Microsoft musste mit einem außerplanmäßigen Patch für den Internet Explorer reagieren. (mja)