- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Aktivitäten der Hackergruppe Callisto


Hackergruppe Callisto sammelte mit Hilfe von für Strafverfolgungsbehörden entwickelter Spyware nachrichtendienstliche Informationen über Außen- und Sicherheitspolitik in Osteuropa
Dass sich Hacker hochwertige Spyware auf Regierungsniveau aneignen konnten, sollte niemanden überraschen

- Anzeigen -





Einem Bericht der F-Secure Labs zufolge hat eine bis dato noch unbekannte Hackergruppe in den letzten Jahren aktiv nachrichtendienstliche Informationen über die Außen- und Sicherheitspolitik in Osteuropa und dem südlichen Kaukasus gesammelt. Der Bericht beschreibt die Callisto Gruppe als hoch motivierte und ressourcenstarke Hacker und ernst zu nehmende Bedrohung, die seit mindestens 2015 Cyberattacken auf Militärpersonal, Regierungsangestellte, Journalisten und Think Tanks durchgeführt hat.

Callisto war laut dem Bericht für eine Reihe von Cyberangriffe in 2015 und 2016 verantwortlich. Und obwohl deren Opfer nicht spezifisch genannt werden, identifiziert der Bericht eine klare Gemeinsamkeit unter den Zielen der Gruppe. Die angegriffenen Personen und Organisationen standen alle in Verbindung zur Außen- und Sicherheitspolitik in Osteuropa und dem südlichen Kaukasus, was Informationsdiebstahl als Motiv der Angriffe nahelegt.

Obwohl F-Secure Labs in Callistos Infrastruktur klare Verbindungen zu Organisationen in Russland, der Ukraine und China feststellte, konnte kein definitives Urteil darüber gefällt werden, wer genau hinter der Gruppe steht. Weiterhin hebt der Bericht hervor, dass es zwar Beweise für eine Verbindung zu einem Nationalstaat gibt, die genaue Art dieser Beziehung aber unklar bleibt.

"Ihre Vorgehensweise erinnert an staatlich-sanktionierte Angreifer, aber gleichzeitig fanden wir auch Beweise, die Callisto mit kriminellen Infrastrukturen in Verbindung brachten", sagt Sean Sullivan Sicherheitsberater bei F-Secure. "Demnach könnten sie eine unabhängige Gruppe sein, die im Auftrag einer Regierung handelt, oder eigenständig mit dem Ziel agiert, die gestohlenen Informationen an Regierungen oder Nachrichtendienste zu verkaufen. Doch das sind nur zwei von vielen möglichen Erklärungen und nach der momentanen Beweislage können wir noch kein endgültiges Urteil fällen."

Neben den Zielen und Motiven der Callisto-Gruppe, erklärt der Bericht auch die Angriffsstrategie, mit der die Hacker ihre Ziele unterwandern. Demzufolge bedient sich Callisto sowohl gezielten Phishing-Angriffen, um Anmeldedaten für E-Mail-Konten zu stehlen, als auch hoch personalisierten und sehr überzeugenden Spear-Phishing-E-Mails, die ihre Ziele mit Malware infizieren sollen. Verschickt wurden diese Spear-Phishing-E-Mails dabei oft von durch vorherige Phishing-Angriffe der Gruppe kompromittierte E-Mail-Konten.

Die auf diesem Weg übertragene Malware ermöglichte es den Angreifern, Informationen zu stehlen und weitere Malware zu installieren. Laut dem Bericht handelt es sich bei dieser Malware um eine Variante des Scout Tools der italienischen Überwachungsfirma HackingTeam. Das Scout-Tool war Teil des von HackingTeam an staatliche Organisationen verkauften Spyware-Toolsets, das in 2015 von Hackern gestohlen und online veröffentlicht wurde.

"Dass sich Hacker hochwertige Spyware auf Regierungsniveau aneignen konnten, sollte niemanden überraschen," sagt Erka Koivunen, Chief Information Security Officer F-Secure, für den Callistos Verwendung der für Strafverfolgungsbehörden entwickelten Spyware deutlich daran erinnert, welche Gefahren von Überwachungstechnologien ausgehen können.

"Überwachungs-Tools wie Scout sind von Grund auf dafür entwickelt worden, es Regierungen zu erlauben, die Privatsphäre ihrer Bevölkerung zu verletzen. In einer funktionierenden Demokratie werden diese Verletzungen von Gesetzen reguliert, und die Leute vertrauen dem Staat, solche Mittel verantwortungsvoll und nur unter strengster Kontrolle zu verwenden. Doch Datenschutzverletzungen und die folgende Verbreitung von professioneller Überwachungstechnologie im Netz eröffnet dieselben invasiven Möglichkeiten auch einer Vielzahl von Bedrohungsakteuren. Regierungen dürfen nicht vergessen, dass wir kein Monopol auf diese Technologien haben, und Söldner, feindliche Staaten und andere Bedrohungsakteure werden nicht zögern, die volle Macht dieser Überwachungstechnologien auch gegen uns einzusetzen."

Der Bericht erinnert, dass die Gruppe immer noch aktiv ist, und es sei ungewiss, wie sie auf ihre Enthüllung reagieren wird. Er beinhaltet außerdem eine Reihe von Indikatoren zur Erkennung existierender Datenschutzverletzungen und Ansätze zur Risikominderung für potenzielle Ziele, die derartige Angriffe durch die Callisto-Gruppe oder ähnliche Bedrohungen befürchten. F-Secure Produkte bedienen sich momentan verhaltensbasierter, allgemeiner und weiterer Erkennungsmethoden, um Nutzer vor den Aktivitäten der Callisto-Gruppe zu schützen. (F-Secure: ra)

eingetragen: 18.04.17
Home & Newsletterlauf: 24.04.17


F-Secure: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Fake-Version fordert Nutzer zur Zahlung auf

    Eset warnt vor einer Fake-Version des Microsoft-Programms "Windows Movie Maker", welches Cyberkriminelle derzeit erfolgreich verbreiten. Die Betrüger verlangen ein Entgelt für das eigentlich kostenlose Microsoft-Produkt. Die Besonderheit im aktuellen Fall: Das gute Google-Ranking führt zu einer massiven Ausbreitung der gefälschten Software. Offensichtlich wurde enormer Aufwand bei der Suchmaschinenoptimierung betrieben. Windows Movie Maker ist Teil des Windows-Essentials-Pakets und kann über die Microsoft-Webseite kostenlos bezogen werden. Installieren Nutzer jedoch das gefälschte Programm, werden sie darauf hingewiesen, dass es sich lediglich um eine Trial Version handelt. Im folgenden Gebrauch der Scam-Software erscheint immer wieder die Aufforderung, auf die kostenpflichtige Vollversion umzusteigen. Unter anderem können Nutzer ansonsten keine Dateien abspeichern.

  • Malware macht Geld

    Eset hat eine neue Bedrohung entdeckt, die Windows Web-Server infiziert und die Kryptowährung Monero "abgräbt". Monero ist eine neuere Alternative zum digitalen Zahlungsmittel Bitcoin. Die Cyberkriminellen modifizieren die Open-Source-Mining-Software von Monero für ihre Zwecke, um eine bekannte Sicherheitslücke in Microsoft IIS 6.0 auszunutzen. Im Laufe von drei Monaten haben sie durch die Kampagne ein Botnet von mehreren hundert infizierten Servern aufgebaut und Monero im Wert von über 63.000 US-Dollar anhäufen lassen. Microsoft hat inzwischen ein Update veröffentlicht, das die Sicherheitslücke schließt - aber noch immer sind viele Server ungepatcht.

  • Cyberangriffe auf Kryptowährungen

    Die Experten von Kaspersky Lab haben mit ,CryptoShuffler' eine Malware entdeckt, die Kryptowährungen aus Wallets entwendet, indem sie die Wallet-Adresse durch eine eigene ersetzt. Cyberkriminelle konnten so bisher fast 140.000 US-Dollar erbeuten. Ziel sind beliebte digitale Währungen wie Bitcoin, Ethereum, Zcash, Dash oder Monero. Für letztere identifizierten die Cybersicherheitsexperten mit ,DiscordiaMiner' auch einen neuen Trojaner zum Schürfen (Mining) von Kryptogeld. Zudem geht aus dem Spam- und Phishing-Report von Kaspersky Lab für das dritte Quartal 2017 hervor, dass vermehrt Spam-Mails mit dem Thema Kryptowährung im Umlauf sind.

  • Passwort-Schutz nur für Geldräuber

    Die Experten von Kaspersky Lab haben im Darknet ein Malware-Angebot gefunden, mit dessen Hilfe quasi jeder einen Geldautomaten ausrauben kann, sofern er Zugang zum Gerät bekommt. Für 5.000 US-Dollar ist die speziell für kriminelle Laien konstruierte, dreiteilige Software inklusive detaillierter Gebrauchsanleitung unter dem Namen "Cutlet Maker" erhältlich. Geldautomaten sind bereits seit längerer Zeit ein lukratives Ziel für Kriminelle. Während die einen brutale Gewalt walten lassen und die Geräte aufbrechen, manipulieren andere lieber die Software der Automaten. Das jüngst entdeckte Beispiel für Schadsoftware dieser Art zeigt nun, dass Malware-Hersteller inzwischen auch cyberkriminelle Laien ansprechen.

  • "Bad Rabbit" unter der Lupe

    Seit dem 24. Oktober 2017 ist eine neue Ransomware-Welle unterwegs, die bislang vor allem Russland, die Ukraine und Teile von Europa im Visier hat. SophosLabs-Spezialist Chester Wisniewski hat sich "Bad Rabbit" einmal näher angeschaut und ist nicht wirklich überrascht über dessen Auftritt. "Es war wohl tatsächlich nur eine Frage der Zeit, bis irgendjemand die Ideen und Techniken, die uns von WannaCry oder NotPetya bekannt sind, aufgreift und damit eine neue Attacke auf ahnungslose Opfer fährt." Die aktuelle Ransomware scheint sich nach bisherigen Erkenntnissen über einen gefälschten Installer des Adobe Flash Plyer zu verbreiten.