Norman entdeckt Netzwerk für Cyber-Spionage in Indien

Angriffe zielen weltweit auf Unternehmen sowie Einrichtungen der nationalen Sicherheit

Oslo / Düsseldorf – Der norwegische IT-Security-Spezialist Norman hat ein umfassendes, hoch entwic-keltes Netzwerk für Cyber-Angriffe entdeckt, das den aktuellen Erkenntnissen zufolge aus Indien stammt. In einem Bericht dazu erläutert Norman, dass die Angriffe seit drei Jahren von privaten Akteuren ausgeführt wer-den und derzeit weiter bestehen. Anhaltspunkte für einen staatlichen Hintergrund gibt es nicht. Die Attac-ken der weltweiten Command-and-Control-Infrastruktur richten hauptsächlich auf Ziele der nationalen Sicher-heit und auf privatwirtschaftliche Unternehmen.


„Die Daten, über die wir verfügen, zeigen, dass ein Initiator in Mittelpunkt steht, der zahlreiche Entwickler beauftragt, spezifische Malware zuzuliefern“, sagt Snorre Fagerland, Head of Research des Forschungs- und Analyse-Labors von Norman in Oslo. „Die Organisation scheint in Indien über Mittel und Verbindungen für Überwachungsangriffe in der ganzen Welt zu verfügen. Überraschend ist dabei, dass sehr unterschiedliche Branchen und Bereiche angegriffen werden, darunter Exploratoren von Rohstoffvorkommen, Telekommunikationsunternehmen, gesetzgebende Organe, die Lebensmittelindustrie und Restaurants sowie Produkti-onsunternehmen. Es ist unwahrscheinlich, dass die Orga-nisation Industriespionage für eigene Zwecke betreibt – was die Angelegenheit sehr besorgniserregend macht.“ Die Untersuchung verdeutlicht, dass die Erstellung von Frame-works, Modulen und Subkomponenten sehr professionell gemanagt wird. Offensichtlich erhalten einzelne Malware-Autoren bestimmte Aufgaben; Komponenten werden an freiberufliche Programmierer ausgelagert. „Dieses Vorge-hen wurde zuvor noch nie dokumentiert“, ergänzt Fager-land.


Infektionsquelle Spear-Fishing
Der Vorfall wird von nationalen und internationalen Behör-den untersucht. Die Ermittlungen begannen am 17. März 2013, als eine norwegische Zeitschrift berichtete, dass Te-lenor, einer der weltweit größten Mobilfunkanbieter und Norwegens bedeutendster Telefondienstleister, Anzeige wegen illegalen Eindringens in Computer erstattet hat. In-fektionsquelle waren vermutlich Spear-Fishing-E-Mails an das obere Management.


Kontinuierliche Angriffe
Verhaltensmuster und File-Struktur der Malware ermöglich-ten Security-Analysten und Partnern von Norman, interne und öffentliche Datenbanken mit Normans Analyse-Lösung Malware Analyzer G2 nach ähnlichen Fällen zu durchsu-chen. Aufgrund der sehr hohen Fundmenge ist davon aus-zugehen, dass das Eindringen bei Telenor kein Einzelfall war, sondern Teil einer fortlaufenden Angriffsserie auf Be-hörden und Unternehmen weltweit. Den Report benannte Norman nach dem dabei meistgenutzten Schadcode „Ope-ration Hangover“.


Opfer in mehr als zwölf Ländern
Der Untersuchung der IP-Adressen zufolge, die im Rahmen der Ermittlungen in Datenspeichern krimineller Herkunft entdeckt wurden, müssen Opfer in mehr als einem Dutzend Ländern angegriffen worden sein. Zu den Zielen gehören Regierungen, militärische Einrichtungen und Organisatio-nen sowie Unternehmen. Eine sehr weitreichende Analyse von IP-Adressen, Domain-Registrierungen und textbasier-ten Identifier im bösartigen Code selbst machten die Zu-ordnung der Ziele sehr wahrscheinlich. 


Bekannte Schwachstellen
Trotz der aktuellen Medienberichterstattung über Zero-Day-Exploits scheint sich Operation Hangover im wesentlichen auf bereits identifizierte Schwachstellen in Java, Word-Dokumenten und Browsern zu stützen. „Dieser Typ von Aktivitäten war in den letzten Jahren in erster Linie mit Chi-na in Verbindung gebracht worden. Nach unserem aktuel-len Kenntnisstand haben wir zum ersten Mal Belege für Cyberspionage aus Indien“, sagt Fagerland. „Unsere Un-tersuchung, die auf www.norman.com verfügbar ist, gibt Anhaltspunkte, worauf Security-Teams bei der Suche nach einem Angriff achten sollten.“

Contact Information

Stein Surlien, CEO Norman AS
Mob:+ 47 911 16 240 Email: stein.surlien@norman.com

Isabella Alveberg, CMO Norman AS
Mob:+ 47 957 30 578  Email: isabella.alveberg@norman.com