Norman Shark, weltweit führender Sicherheitsanbieter mit Malware-Analyselösungen für Unternehmen, Service-Provider und Behörden, hat heute einen Bericht veröffentlicht, in dem eine große und komplexe Infrastruktur für Cyberangriffe beschrieben wird, die offenbar von Indien ausgeht. Die Angriffe, die seit drei Jahren von privaten Akteuren durchgeführt werden und noch andauern, zeigen keine Indizien für eine Beteiligung des Staats. Der Hauptzweck des weltweiten Command-and-Control-Netzwerks scheint jedoch das Sammeln von Informationen über Ziele aus dem Bereich der der nationalen Sicherheit und über private Unternehmen zu sein.
„Die uns vorliegenden Daten deuten allem Anschein nach darauf hin, dass eine Gruppe von in Indien ansässigen Angreifern möglicherweise mehrere Entwickler spezifische Malware erstellen ließ“, kommentierte Snorre Fagerland, Head of Research der Norman Shark Labs in Oslo. „Die Organisation scheint über ausreichende Ressourcen und Beziehungen in Indien zu verfügen, um Überwachungsangriffe überall auf der Welt durchführen zu können. Überraschend ist, dass sie extrem unterschiedliche Sektoren ins Visier nimmt, darunter natürliche Ressourcen, Telekommunikation, Recht und Gesetz, Nahrungsmittel und Restaurants sowie Herstellung. Es ist sehr unwahrscheinlich, dass diese Hacker-Organisation die Industriespionage nur für ihre eigenen Zwecke durchführt. Daher gibt sie großen Grund zur Sorge.“ Bei der Untersuchung wurden Indizien dafür gefunden, dass professionelle Projektmanagementverfahren verwendet wurden, um Frameworks, Module und Unterkomponenten zu entwerfen. Es sieht so aus, als wurden einzelnen Malware-Autoren bestimmte Aufgaben zugewiesen und Komponenten bei freiberuflichen Programmierern in Auftrag gegeben. „Etwas Derartiges ist noch nie dokumentiert worden“, fügte Fagerland hinzu.
Diese Entdeckung wird zurzeit von nationalen und internationalen Behörden untersucht.
Die Entdeckung begann am 17. März, als eine norwegische Zeitung berichtete, dass Telenor, einer der weltgrößten Mobilfunkanbieter und eines der Top-500-Unternehmen weltweit sowie größtes Telekommunikationsunternehmen in Norwegen, bei der Polizei Anzeige aufgrund eines Eindringens in seine Computersysteme erstattet hatte. Die Infektion schien über Spear-Phishing-E-Mails an leitende Führungskräfte eingeschleppt worden zu sein.
Aufgrund des Verhaltensmusters und der Dateistruktur der Malware-Dateien konnten Sicherheitsanalysten bei Norman Shark in internen und öffentlichen Datenbanken nach ähnlichen Fällen suchen. Dabei verwendeten sie das automatische Analysesystem Norman Malware Analyzer G2. Die Analysten von Norman und ihre Partner fanden erstaunlich viel Malware, und es wurde deutlich, dass das Eindringen bei Telenor kein einzelner Angriff war, sondern Teil einer fortlaufenden Bemühung, Behörden und Unternehmen weltweit auszuspionieren.
Norman Shark nannte den Bericht „Operation Hangover“ nach einer in diesem Fall häufig verwendeten Cyberspionage-Malware.
Eine Analyse von IP-Adressen, die aus während der Untersuchung entdeckten kriminellen Datenspeichern gesammelt wurden, lässt vermuten, dass potenzielle Opfer in über einem Dutzend Ländern angegriffen wurden. Spezifische Ziele sind Behörden, Einrichtungen des Militärs und Unternehmen. Eine umfangreiche Analyse von IP-Adressen, Website-Domänenregistrierungen und textbasierten Identifizierungsmerkmalen im Malware-Code ergab Indien als Ursprungsland.
Auch wenn die Medien in der jüngeren Vergangenheit vor allem über die so genannten Zero-Day-Exploits berichtet haben, bei denen ganz neue Angriffsmethoden verwendet werden, wurden bei Operation Hangover offenbar wohlbekannte, schon zuvor identifizierte Sicherheitslücken in Java, Word-Dokumenten und Webbrowsern ausgenutzt.
„Derartige Aktivitäten wurden in den vergangenen Jahren vor allem mit China in Verbindung gebracht. Unseres Wissens ist dies das erste Mal, dass Cyberspionage allem Anschein nach aus Indien stammt“, schloss Fagerland. „Unsere Studie, die auf der Website von Norman (www.norman.com) zur Verfügung steht, gibt Hinweise darauf, nach was Sicherheitsteams suchen müssen.“