MSUpdate-Trojaner attackierte Rüstungsfirmen
Als Lockvogel diente eine gut gemachte Einladung zu einer renommierten Konferenz. Sie schmuggelte dann Spionage-Software auf die Rechner der Firmenangehörigen.
Mit einer Einladung zu renommierten Fachkonferenzen haben Unbekannte versucht, einen Trojaner bei Firmen der Rüstungsindustrie einzuschleusen. Wer den angehängten Flyer im PDF-Format öffnete, handelte sich über eine bis dahin nicht bekannte Lücke im Acrobat-Reader Spionage-Software ein, erklären die Sicherheitsfirmen Seculert und Zscaler.
(Bild: Seculert)
Ziel der Angriffe waren den Angaben zufolge vor allem europäische und amerikanische Firmen im Regierungsumfeld, darunter Rüstungs- und Luffahrtunternehmen. Die Angriffe sollen bereits 2009 begonnen und ihren Höhepunkt im Herbst 2010 erreicht haben. Noch vor wenigen Wochen habe man kompromittierte Rechner entdeckt, von denen einige seit zwei Jahren infiziert waren, erklärte Aviv Raff, CTO von Seculert, gegenüber heise Security.
Über einen 0day-Exploit in Adobes Reader gelangte letztlich der Trojaner msupdater.exe auf die Systeme, der sich dann nach Kräften bemühte, auch wie ein ordentlicher Update-Prozess auszusehen. So verwendete er etwa URLs der Form http://domain.com/microsoftupdate/getupdate/default.aspx?ID=... Er enthielt ein so genanntes Remote Adminstration Toolkit, über das sich der Arbeitsplatzrechner dann überwachen und fernsteuern ließ.
Zum Zeitpunkt der Attacken flogen die Trojaner noch weitgehend unter dem Radar der AV-Hersteller; mittlerweile haben sie zwar längst Signaturen für die damals eingesetzten Exploits und Spionagaprogramme wie msupdater.exe nachgereicht. Ob sie die aktuell eingesetzten Spionage-Tools jedoch erkennen, darf man bezweifeln. (ju)
