Oslo – Der Sicherheitsanbieter Norman Shark http://norman.com hat eigenen Angaben zufolge den ersten großen Cyber-Spionageangriff aufgedeckt, der von Indien ausgeht. In einem Bericht beschreibt das norwegische Unternehmen eine komplexe Infrastruktur für Hacking-Attacken, die seit drei Jahren besteht und auch heute noch genutzt wird. Als Übeltäter werden private Akteure ausgemacht. „Es gibt keine Indizien für eine Beteiligung des Staates“, heißt es. Der Hauptzweck des weltweiten Command-and-Control-Netzwerks soll das Sammeln von Informationen über Ziele aus dem Bereich der nationalen Sicherheit und über private Unternehmen sein.
Professionell organisiert
„Die uns vorliegenden Daten deuten allem Anschein nach darauf hin, dass eine Gruppe von in Indien ansässigen Angreifern möglicherweise mehrere entwicklerspezifische Malware erstellen ließ. Unseres Wissens nach ist dies das erste Mal, dass Cyberspionage allem Anschein nach aus Indien stammt“, erklärt Snorre Fagerland, Head of Research bei Norman Shark.
Dem Experten zufolge soll die Organisation über ausreichende Ressourcen und Beziehungen in Indien zu verfügen, um Überwachungsangriffe überall auf der Welt durchführen zu können. „Überraschend ist, dass sie extrem unterschiedliche Sektoren ins Visier nimmt, darunter natürliche Ressourcen, Telekommunikation, Recht und Gesetz, Nahrungsmittel und Restaurants sowie Herstellung“, meint Fagerland.
Es sei „sehr unwahrscheinlich“, dass diese Hacker-Organisation die Industriespionage nur für ihre eigenen Zwecke durchführt. „Daher gibt sie großen Grund zur Sorge“, stellt der Security-Forscher klar. Bei der Untersuchung seien Indizien dafür gefunden worden, dass professionelle Projektmanagementverfahren verwendet wurden, um Frameworks, Module und Unterkomponenten zu entwerfen. „Es sieht so aus, als wurden einzelnen Malware-Autoren bestimmte Aufgaben zugewiesen und Komponenten bei freiberuflichen Programmierern in Auftrag gegeben. Etwas Derartiges ist noch nie dokumentiert worden“, so Fagerland.
Malware-Attacke bei Telenor
Diese Entdeckung, die zurzeit von nationalen und internationalen Behörden sehr genau untersucht wird, begann bereits am 17. März 2013. Damals berichtete eine norwegische Zeitung, dass Telenor http://telenor.com , einer der weltgrößten Mobilfunkanbieter und größtes Telekommunikationsunternehmen in Norwegen, bei der Polizei Anzeige aufgrund eines Eindringens in seine Computersysteme erstattet hatte. Als Norman-Analysten daraufhin die betroffenen Rechner genauer unter die Lupe nahmen, fanden sie erstaunlich viel Malware. Es wurde deutlich, dass das Eindringen bei Telenor kein einzelner Angriff war, sondern Teil einer fortlaufenden Bemühung, Behörden und Unternehmen weltweit auszuspionieren.
Eine Analyse von IP-Adressen, die während der Untersuchung aus entdeckten kriminellen Datenspeichern gesammelt wurden, lässt vermuten, dass potenzielle Opfer in über einem Dutzend Ländern angegriffen wurden. Spezifische Ziele sind Behörden, Einrichtungen des Militärs und Unternehmen. Die umfangreiche Prüfung von IP-Adressen, Website-Domänenregistrierungen und textbasierten Identifizierungsmerkmalen im Malware-Code ergab dabei Indien als Ursprungsland.
pressetext.redaktionAnsprechpartner: Markus Steiner
Verkehr: Indien als Ursprung von IT-Angriffen entlarvt (Foto: flickr.com/Shayan)