- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Aktivitäten der Hackergruppe Callisto


Hackergruppe Callisto sammelte mit Hilfe von für Strafverfolgungsbehörden entwickelter Spyware nachrichtendienstliche Informationen über Außen- und Sicherheitspolitik in Osteuropa
Dass sich Hacker hochwertige Spyware auf Regierungsniveau aneignen konnten, sollte niemanden überraschen

- Anzeigen -





Einem Bericht der F-Secure Labs zufolge hat eine bis dato noch unbekannte Hackergruppe in den letzten Jahren aktiv nachrichtendienstliche Informationen über die Außen- und Sicherheitspolitik in Osteuropa und dem südlichen Kaukasus gesammelt. Der Bericht beschreibt die Callisto Gruppe als hoch motivierte und ressourcenstarke Hacker und ernst zu nehmende Bedrohung, die seit mindestens 2015 Cyberattacken auf Militärpersonal, Regierungsangestellte, Journalisten und Think Tanks durchgeführt hat.

Callisto war laut dem Bericht für eine Reihe von Cyberangriffe in 2015 und 2016 verantwortlich. Und obwohl deren Opfer nicht spezifisch genannt werden, identifiziert der Bericht eine klare Gemeinsamkeit unter den Zielen der Gruppe. Die angegriffenen Personen und Organisationen standen alle in Verbindung zur Außen- und Sicherheitspolitik in Osteuropa und dem südlichen Kaukasus, was Informationsdiebstahl als Motiv der Angriffe nahelegt.

Obwohl F-Secure Labs in Callistos Infrastruktur klare Verbindungen zu Organisationen in Russland, der Ukraine und China feststellte, konnte kein definitives Urteil darüber gefällt werden, wer genau hinter der Gruppe steht. Weiterhin hebt der Bericht hervor, dass es zwar Beweise für eine Verbindung zu einem Nationalstaat gibt, die genaue Art dieser Beziehung aber unklar bleibt.

"Ihre Vorgehensweise erinnert an staatlich-sanktionierte Angreifer, aber gleichzeitig fanden wir auch Beweise, die Callisto mit kriminellen Infrastrukturen in Verbindung brachten", sagt Sean Sullivan Sicherheitsberater bei F-Secure. "Demnach könnten sie eine unabhängige Gruppe sein, die im Auftrag einer Regierung handelt, oder eigenständig mit dem Ziel agiert, die gestohlenen Informationen an Regierungen oder Nachrichtendienste zu verkaufen. Doch das sind nur zwei von vielen möglichen Erklärungen und nach der momentanen Beweislage können wir noch kein endgültiges Urteil fällen."

Neben den Zielen und Motiven der Callisto-Gruppe, erklärt der Bericht auch die Angriffsstrategie, mit der die Hacker ihre Ziele unterwandern. Demzufolge bedient sich Callisto sowohl gezielten Phishing-Angriffen, um Anmeldedaten für E-Mail-Konten zu stehlen, als auch hoch personalisierten und sehr überzeugenden Spear-Phishing-E-Mails, die ihre Ziele mit Malware infizieren sollen. Verschickt wurden diese Spear-Phishing-E-Mails dabei oft von durch vorherige Phishing-Angriffe der Gruppe kompromittierte E-Mail-Konten.

Die auf diesem Weg übertragene Malware ermöglichte es den Angreifern, Informationen zu stehlen und weitere Malware zu installieren. Laut dem Bericht handelt es sich bei dieser Malware um eine Variante des Scout Tools der italienischen Überwachungsfirma HackingTeam. Das Scout-Tool war Teil des von HackingTeam an staatliche Organisationen verkauften Spyware-Toolsets, das in 2015 von Hackern gestohlen und online veröffentlicht wurde.

"Dass sich Hacker hochwertige Spyware auf Regierungsniveau aneignen konnten, sollte niemanden überraschen," sagt Erka Koivunen, Chief Information Security Officer F-Secure, für den Callistos Verwendung der für Strafverfolgungsbehörden entwickelten Spyware deutlich daran erinnert, welche Gefahren von Überwachungstechnologien ausgehen können.

"Überwachungs-Tools wie Scout sind von Grund auf dafür entwickelt worden, es Regierungen zu erlauben, die Privatsphäre ihrer Bevölkerung zu verletzen. In einer funktionierenden Demokratie werden diese Verletzungen von Gesetzen reguliert, und die Leute vertrauen dem Staat, solche Mittel verantwortungsvoll und nur unter strengster Kontrolle zu verwenden. Doch Datenschutzverletzungen und die folgende Verbreitung von professioneller Überwachungstechnologie im Netz eröffnet dieselben invasiven Möglichkeiten auch einer Vielzahl von Bedrohungsakteuren. Regierungen dürfen nicht vergessen, dass wir kein Monopol auf diese Technologien haben, und Söldner, feindliche Staaten und andere Bedrohungsakteure werden nicht zögern, die volle Macht dieser Überwachungstechnologien auch gegen uns einzusetzen."

Der Bericht erinnert, dass die Gruppe immer noch aktiv ist, und es sei ungewiss, wie sie auf ihre Enthüllung reagieren wird. Er beinhaltet außerdem eine Reihe von Indikatoren zur Erkennung existierender Datenschutzverletzungen und Ansätze zur Risikominderung für potenzielle Ziele, die derartige Angriffe durch die Callisto-Gruppe oder ähnliche Bedrohungen befürchten. F-Secure Produkte bedienen sich momentan verhaltensbasierter, allgemeiner und weiterer Erkennungsmethoden, um Nutzer vor den Aktivitäten der Callisto-Gruppe zu schützen. (F-Secure: ra)

eingetragen: 18.04.17
Home & Newsletterlauf: 24.04.17


F-Secure: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Infektion über Filesharing-Seiten

    Mehr als eine halbe Million Nutzer sind von einer Malware-Kampagne betroffen, die infizierte Systeme zu einem Botnet hinzufügt. Die Malware ist komplex und extrem anpassungsfähig. So schaffte es "Stantinko", über fünf Jahre lang unentdeckt zu agieren und ein Botnet von mehr als 500.000 infizierten Systemen zu bilden. Das ist das Ergebnis einer umfassenden Untersuchung der europäischen Security-Software-Herstellerin Eset. Die meisten Betroffenen entdeckte Eset in Russland und in der Ukraine. Stantinko infiziert Systeme über Filesharing-Webseiten und lockt Nutzer mit kostenloser Software. Die Entwickler haben die Malware clever getarnt: Der Infektionsvektor installiert eine Reihe auffälliger Anwendungen, gleichzeitig wird das Schadprogramm unauffällig im Hintergrund installiert. Stantinko ist so komplex aufgebaut, dass die Malware nur schwer entdeckt werden kann.

  • Unfertige Spyware Rurktar aufgetaucht

    In den G Data Security Labs ist eine Spyware aufgetaucht, die ihren Ursprung scheinbar in Russland hat. Das lässt sich durch die internen Fehlermeldungen der Software zurückverfolgen. Ob hinter der Programmierung der Schadsoftware ganze Entwicklerteams oder eine einzelne Person stecken, ist indes noch unklar.

  • Mac-Version der Windows-Malware WERDLOD

    Forscher von Trend Micro haben die vor kurzem entdeckte Malware OSX_DOK eingehend analysiert. Dabei zeigte sich, dass der Trojaner ausschließlich Daten von Schweizer Nutzern abfängt, die er an ihrer IP-Adresse erkennt. OSX_DOK stellt die Mac-Version der Windows-Malware WERDLOD dar, die bereits 2014 in dem als "Operation Emmental" bekannten Angriff auf Schweizer Bankkunden verwendet wurde.

  • Wie eine Petya-Infektion abläuft

    Die besonders bösartige Ransomware-Familie Petya hat einige Ähnlichkeit mit der WannaCry-Ransomware Anfang Mai, doch wurde die Kampagne deutlich professioneller durchgeführt. Die Auswirkungen für Firmen waren deutlich schlimmer. Die Malware aus der Petya-Familie handelt. verhält sich laut Angaben von F-Secure wie ein Netzwerk-Wurm, der sich über die gleiche SMB-Schwachstelle wie WannaCry verbreitet. Dabei setzt die Ransomware auf das ExternalBlue Exploit, das von der NSA entwickelt und im Internet veröffentlicht wurde. Jarkko aus den F-Secure Labs beschreibt Petya in einem Blogpost von 2016 als eine Ransomware mit einem bösartigen Twist. Sie verschlüsselt nicht nur einzelne Dateien, sondern die komplette Festplatte. Bis die Infektion entfernt wurde, ist das System kaum nutzbar.

  • Weitere aggressive Ransomware

    Knapp eine Woche nach der WannaCry-Ransomware-Attacke haben Sicherheitsforscher eine weitere aggressive Ransomware entdeckt. XData hat bereits Hunderte von Rechnern in der Ukraine infiziert. In weniger als 24 Stunden ist es der Ransomware gelungen sich auf den infizierten Rechnern ein starkes Standbein zu verschaffen. Der Fakt allein wäre schon erwähnenswert. Es kommt aber noch etwas anderes hinzu, ausreichend interessant für enthusiastische Anhänger von kriminellen Intrigenspielen und konspirativen Theorien. Es hat sich herausgestellt, dass XData ursprünglich auf eine ältere Ransomware unter dem Namen AES-NI zurückgeht. Seit dem ersten Aufkommen der XData-Ransomware hat der vermutliche Entwickler von AES-NI zahlreiche Sicherheitsexperten und Journalisten angesprochen und jede Verbindung zur XData-Malware geleugnet. Unabhängig von den zugrunde liegenden Motiven schickt sich XData jetzt offensichtlich an, sich auch außerhalb der Ukraine zu verbreiten.