Cyber-Kriminelle nutzen Schwachstelle in Google Developers aus

Das Sicherheitsunternehmen FireEye hat eine Schwachstelle in Google Developers und dem Domain Name Service von Hurricance Electric entdeckt. Cyber-Kriminelle können sie ausnutzen, um an Unternehmensdaten zu gelangen.

Erste Anzeichen für Operation Poisoned Hurricane entdeckte FireEye im März 2014. Verdächtiger Traffic mehrerer Systeme – versteckter Command-and-Control-Datenverkehr – brachte es auf die Spur, heißt es in einem Blog. Demnach waren die Systeme mit dem Remote-Access-Tool (RAT) Kaba infiziert, einer Variante des bekannten Fernwartungstools PlugX.

Cyber-Kriminelle griffen FireEye zufolge Ziele in den USA sowie in Asien an. Betroffen waren vor allem Internet-Infrastruktur-Provider, Medienunternehmen, Finanzinstitute und eine asiatische Regierungsorganisation.

Um den Command-and-Control-Datenverkehr zwischen Malware und Server zu tarnen, setzten die Angreifer legitime digitale Zertifikate für die verwendeten Tools ein. Sie nutzten dazu Google Developers und den Domain Name Service (DNS) des amerikanischen Unternehmens Hurricane Electric.

Auf diese Weise konnten die Cyber-Kriminellen den Datenverkehr unbemerkt umleiten. Im Fall von Hurricane Electric konnten sie kostenlose Nutzerkonten anlegen, mit denen Auflösungen zu beliebigen bereits registrierten Domänen möglich waren.

Die Verbindungen maskierten die Angreifer, damit sie den Anschein erwecken, dass sie zu bekannten Webseiten wie adobe.com, update.adobe.com und outlook.com führen.

Auch für erfahrene Netzwerk-Administratoren schienen die Datenströme dem Sicherheitsunternehmen zufolge unauffällig. FireEye stellte mindestens 18 Domain-Namen fest, die bei dieser Kampagne von einem einzigen Angreifer zur Tarnung genutzt wurden. Da die eingesetzte Malware ein legitimes digitales Zertifikat verwendete, erweckte sie auch keinen Verdacht.

Sowohl Google als auch Hurricane wurden von FireEye informiert und entfernten die Mechanismen aus den Diensten, die die kriminellen Handlungen ermöglicht hatten.

Für CISOs hat das Unternehmen Tipps in einem weiteren Blog veröffentlicht. Unter anderem rät FireEye, keinen direkten Internet-Zugriff zu erlauben. Denn die Cyber-Kriminellen nutzten direkte DNS-Abfragen, um ihren Angriff durchzuführen. Zudem sollten CISOs Malware-Scanner einsetzen, die Multi-Vektor- und Multi-Stage-Malware-Ausführung erkennen können.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de